“按图索骥”不再是笑话绿盟科技发布《APT组织情报研究年鉴》护航数字经济

2022-03-15 05:33:00 [ 中关村在线原创 ] 作者：陈赫

数字经济在全球各国的经济占比中，比重越来越高，千行百业都在进行数字化转型。企业和机构在进行数字化建设的过程中，来自网络空间的安全威胁越来越大。长久以来，企业对于来自网络空间的威胁采取的是被动防御的手段，当网络攻击来袭时，被动防御的方法“抗”过攻击就是胜利。

APT攻击愈演愈烈

正所谓“知己知彼，百战不殆”，面对未知的网络攻击，进行有针对性的防御无疑更有效果。以美国为例，国土安全部的关键基础设施局CISA和MITRE合作，MITRE构建了ATT&CK，通过ATT&CK的TTP构建了120个APT团伙情报（可能部分没有公开），CISA则加载到NCPS国家网络空间保护系统（爱因斯坦系统发展而来）里面，NCPS涉及所有政府出口的边界安全，数据中心的基础设施安全，终端的终端安全，形成有效防御体系，实时追踪针对政府和关键基础设施的APT攻击。

绿盟科技发布《APT组织情报研究年鉴》

从近年来的数据来看，针对我国的有组织网络犯罪，在数字经济占比不断增加的情况下损失越来越高，攻击频次也越来越剧烈。绿盟科技平行实验室负责人肖岩军表示，“如何做到让APT组织可见，也是一个难点，所以绿盟科技平行实验室花费近3年的时间，在原有NTI的基础上对情报数据通过知识图谱进行整合，形成了归一化的APT组织档案馆，通过档案馆能力转化为威胁情报赋能安全产品和大数据平台，形成ISR情报监视侦察体系，有效进行APT组织的追踪。”

针对上述情况，绿盟科技平行实验室、伏影实验室和威胁情报实验室，联合广州大学网络空间先进技术研究院联合发布《APT组织情报研究年鉴》，借助网络空间威胁建模知识图谱和大数据复合语义追踪技术，对全球372个APT组织活动进行大数据追踪，从而对本年度新增和活跃的APT组织的攻击活动台式进行分析。

在风靡全球的电子游戏《精灵宝可梦》（宠物小精灵、口袋妖怪）中，要想了解一只宝可梦的特性和弱点，玩家可以在“图鉴”中进行查看。而在网络空间中，《APT组织情报研究年鉴》就承担着“图鉴”这一功能。通过认知图谱等人工智能技术，进行网络归因，对APT组织形成画像图鉴，进而优化APT追踪。

这两年，国内主管单位、公安部、网信办、工信部都非常重视有组织的网络犯罪，国家也开始建设国家级防御体系，组织专项APT检查，网络空间安全从合规走向实战的检测和防御。绿盟科技提供的档案和知识图谱，多次支撑了主管单位的检测、追踪、研判和响应。同时，支撑网络空间可视化，通过人工智能辅助，像玩电子游戏一样打击APT攻击，捍卫国家网络安全。

精准描绘APT威胁绿盟自创ISR体系

如何从浩如烟海的赛博世界中，将APT威胁精准进行描绘？绿盟科技伏影实验室通过蜜罐技术，构建养马场来研究APT攻击。同时，多个战队和安全服务体系，通过安全服务来处置APT。并且，绿盟科技平行实验室通过知识图谱和大数据对APT攻击进行追踪和情报收集。2018年，绿盟科技同广州大学网络空间安全研究院（方滨兴院士班）联合共建实验室。

一方面，通过灵活可扩展的爬虫框架从互联网海量数据源中进行原始数据爬取，结合NLP技术提取APT组织相关情报。另一方面通过基于知识图谱的大数据上下文感知计算框架在遥测数据中对APT组织的关键性IOC（CCIP、样本哈希、域名URL等）进行语义关联计算，实现了APT组织的实时追踪及归因；同时通过高仿真模拟APT靶场演练，积累提炼形成APT场景模型及相关的攻击链推理规则。

通过上述两个维度对APT的追踪，绿盟科技形成了APT的ISR情报监视侦察体系。

“I”即情报快速传播，互联互通互操作。

“S”即监视，采用大数据和人工智能技术发现可疑线索，追踪识别APT组织活动。

“R”即侦察，鉴于APT组织的高对抗性，需要专家主导，人工智能为辅的推理架构，正向推理危害意图，实现基于线索的侦察调查，反向归因画像，从而生产更多的情报。

绿盟科技平行实验室安全研究员赖智全总结道，“在过去几年里，区别于传统的以查询为核心的APT溯源方式，我们基于大数据和上下文复合语义技术，改进了大数据引擎，完成了基于语义的APT大数据实时追踪，实现了5分钟级的APT实时追踪预警能力。”

绿盟科技对392个APT组织的测绘和建档

不过，在建立APT年鉴的过程中，也并非一帆风顺。“最大的难题在于知识图谱建模，APT组织在攻击手段方面具有极强的隐蔽性，APT攻防是人的对抗，如何将人的智慧教给计算机。”赖智全表示。因此APT发现追踪，存在事件驱动、数据驱动、情报驱动和知识驱动，早期的APT均为事件驱动，事后响应应急，限于人力速度很慢，但是精确。数据驱动由大数据和各种算法组成，但是由于深度学习的不可解释性，导致无法定性。情报驱动则通过情报传递最新的IOC，有效提升的检测准确度。

“在进行情报采集和图鉴建立过程中，面临的主要问题是从哪些特征维度对APT组织进行画像以及如何从各种分析报告中准确提取组织特征并进行范式化的存储和情报关联，为了解决以上难题我们引入了知识图谱和自然语言处理技术来解决。通过AI引入，APT追踪迈入了知识+情报+大数据的APT情报监视侦察ISR体系，大幅提升了效率。”赖智全补充道。

结语

综上所述，整个APT年鉴以情报、监视和侦察（ISR）体系为总体思路，将整个报告主体分为情报篇、监视篇和侦察篇三个部分，可以相对全面地将绿盟科技围绕《APT组织情报研究年鉴》进行的相关工作进行概括。“绿盟科技逐步将平行实验室、伏影实验室和威胁情报中心相关的研究成果汇总之后，敲定了这个结构。因为它很好地体现了我们怎样通过知识图谱和NLP技术采集和知识化海量情报，怎样基于情报进行大数据实时监控，又怎样基于监控线索进行APT主动侦察发现这一套完整的思路。”绿盟科技平行实验室安全研究员王津介绍说。