代号:Cyber-Holmes
在政企机构网络服务广泛上云的大背景下,攻击者继续沉闷,并采纳多样化的攻打手法对指标发动攻打,因而仅仅依赖 PC 时代的检测引擎是不够的。只有多种平安能力合作,梳理拼接攻打碎片,能力实现对残缺攻打事件的剖析研判。因而须要更加高效,笼罩场景更广,可能检测威逼事件全貌的平安方法论,腾讯平安威逼情报智能剖析引擎应运而生。
就像福尔摩斯探案一样,平安钻研人员首先面对的是不残缺的事件告警片断,腾讯平安部署在云端的流量或行为探针、蜜罐零碎每天获取的各类威逼事件告警信息数千万条,可疑样本文件上百万个。如此大的数据量,远远超出人工可处理的能力,同时对剖析处理引擎的性能有极高的要求,否则迅猛增长的告警和可疑样本文件会迅速拖垮零碎。
对企业平安运维人员来说,碎片化的事件告警,几乎不堪其扰:解决吧,告警不明不白无头无尾,告警的重大水平也较难评估。不解决吧,会不会有严重威胁被放过呢,而告警数量又较多,该如何下手?企业平安运维团队陷入抉择难题,在人手不足的状况下,问题放一放拖下去的可能性较大。
腾讯平安技术核心将每天数千万条告警事件抽丝剥茧,整顿出攻打脉络,对上百万的可疑样本文件进行自动化的行为剖析,找出攻击者的作案法则,主动还原网络攻击事件全过程,并对攻击者行为进行画像,其难度堪比福尔摩斯探案。将海量的平安告警数据化繁为简、化未知为已知,是威逼情报智能剖析引擎的根本任务。
腾讯平安技术核心给这一整套智能引擎外部代号取名为“Cyber-Holmes“,寓意“网络空间威逼神探”。“Cyber-Holmes“引擎,已成腾讯平安剖析、关联威逼事件的发动机。
Cyber-Holmes 引擎总览
腾讯平安 Cyber-Holmes 引擎基于腾讯云端平安告警数据和腾讯平安常识图谱,集成若干种威逼剖析检测引擎与事件自动化考察引擎的能力,提供威逼告警与可疑样本智能剖析服务。
引擎底层为数据层,汇聚上报威逼事件告警和危险文件;中间层为威逼检测与威逼剖析模块,提供多维度的告警检测与自动化的事件剖析能力。Cyber-Holmes 引擎将威逼检测与威逼剖析能力输入给腾讯平安全系列产品应用。
腾讯平安 Cyber-Holmes 引擎可利用于腾讯平安企业级、生产级平安产品的后端反对,目前已接入多个云原生平安产品:接入腾讯主机平安(云镜)后,间接推动了云原生预警系统的开发利用。接入腾讯云平安经营核心(云 SOC),创造性的推出威逼考察性能,客户通过登录腾讯云 SOC,可全面检视威逼事件的工夫线,并对威逼事件进行一键处理。
数据层
腾讯平安 Cyber-Holmes 引擎的数据层接入端包含腾讯平安在云端部署的流量或行为探针、蜜罐零碎;腾讯平安产品捕获的平安告警事件、云主机告警数据、可疑流量剖析、可疑过程剖析,以及第三方开源威逼情报数据,并应用腾讯平安自研的常识图谱零碎与可解释知识库合并参加实时剖析计算。
引擎层
引擎层蕴含两大模块:
1. 威逼检测模块
次要利用攻打武器检测技术、实时流剖析检测技术、未知威逼剖析检测技术笼罩攻打的三种类型,别离是已知攻打、带有特色的攻打、未知新型攻打。具备多类已知威逼与未知威逼的检测能力。
攻打武器检测技术是对已知攻击者应用过的攻打武器建设特色,作为检测未知威逼时的一种检测办法。以后武器攻打规定命中某个可疑事件时,就可判断该事件疑似具备某种攻击能力。联合其余检测办法的后果,综合评估某威逼告警或样本文件的最终性质。(例如:远控等具备已知攻打武器特色的威逼检测。)
实时流剖析检测技术是对可疑行为链进行实时预警与处理。通过在腾讯云主机部署威逼流量和行为探针、蜜罐捕获可疑威逼事件,威逼探针会捕获可疑过程、过程链及高危命令。通过实时流剖析检测威逼事件或提取危险样本做进一步检测剖析。(例如:利用 confluence 近程代码执行破绽发动的多起攻打,均被腾讯平安捕捉,已实现实时检测预警。)
未知威逼剖析检测技术是对未知威逼的复盘检测,通过周期性复盘可疑行为特色与文件特色的数据量变化趋势,辨别失常操作与攻击者操作,实现攻打暴发前提前感知新型攻打。(例如:胜利预警 YAPI 近程代码执行 -0DAY 在朝利用)
威逼检测模块蕴含三种检测技术
2. 威逼剖析模块
次要利用威逼情报与图谱关联定性技术、入侵路径分析技术、入侵行为画像技术笼罩攻打溯源的三个阶段,别离是溯源遭逢何种攻打被谁攻打,攻击者如何发动的攻打,攻击者理论造成那些影响,具备威逼自动化溯源剖析能力。
威逼关联定性分析基于威逼情报中经营的精准威逼家族与常识图谱关联的家族数据对攻击行为进行分类定性,可实现攻打自动化分类定性。
入侵路径分析技术基于专家教训制订的全局溯源门路,串联可疑文件与行为自动化生成可疑的入侵门路与横移门路。
入侵行为画像技术将威逼事件中各个行为归类并主动映射到 MITRE ATT&CK 中的攻击者行为映射表,用以判断攻击者流动影响到哪些阶段,各阶段具体应用了什么攻打技巧。
威逼剖析模块蕴含三种剖析技术
腾讯平安 Cyber-Holmes 引擎 7×24 小时不间断无人值守运行,Cyber-Holmes 引擎已申请相干专利十余项,剖析归因沉闷病毒黑产家族 1922 个,该引擎已是形成腾讯平安中台能力的基石引擎。其能力目前已接入腾讯主机平安(云镜)、腾讯云平安经营核心(云 SOC),性能体现为云原生预警系统和威逼事件调查能力,Cyber-Holmes 引擎将继续接入腾讯更多企业级、生产级平安产品,服务于整体客户。
重磅举荐
腾讯主机平安旗舰版发布会将于 2022 年 1 月初召开,更多利用实例和技术解读,敬请关注腾讯平安威逼情报中心公众号更新!