지식 그래프를 기반으로 APT 조직 추적 및 거버넌스를 수행하는 방법

첨단 지속 위협(APT)은 정부와 기업의 중요한 자산에 대해 무시할 수 없는 사이버 공간의 주요 위협으로 점점 커지고 있습니다. APT 공격은 공격 의도가 분명한 경우가 많고, 공격 방법이 고도로 은폐되고 잠복해 있기 때문에 기존 네트워크 탐지 방법으로는 일반적으로 효과적으로 탐지할 수 없습니다. 최근 몇 년 동안 APT 공격 탐지 및 방어 기술은 점차 다양한 국가의 정부와 네트워크 보안 연구원들의 관심을 끌었습니다.

1. 선진국 APT 조직의 거버넌스에 관한 연구

1.1 미국은 전략적 차원에서 '미국 우선주의'와 '힘을 통한 평화 촉진'을 강조합니다

트럼프 행정부는 '국가안보전략보고서', '국방부 사이버전략'과 '국가사이버전략'은 트럼프 대통령의 '미국 우선주의' 전략을 해석해 '사이버 억제'와 '힘을 통한 평화 촉진'을 강조하고, 사이버전의 중요성을 강조하고, 군사력과 무력의 역할을 외교와 국정보다 우선시하고, 미국의 지속적인 번영을 보장하기 위해 미국 인프라 보호를 강조했다. 동시에 인공지능(AI)이 경제성장에 미치는 중요성도 강조됐다.

1.2 규제 수준에서 미국은 APT 조직을 추적하는 법률을 제정합니다

2018년 9월 5일 미국 하원은 APT 조직을 방지하는 것을 목표로 하는 "2018년 사이버 억제 및 대응법"을 통과시키기로 결정했습니다. 그리고 미국의 정치적, 경제적, 중요 인프라를 피해로부터 보호하기 위해 미국에 대한 향후 국가 지원 사이버 공격을 제재합니다. 이 법안은 미국 ​​대통령이 지능형 지속 위협(APT) 조직 목록을 식별하고 이를 연방 관보에 게시하고 정기적으로 업데이트하도록 요구합니다.

1.3 공격 수준에서는 미군이 지식 그래프를 기반으로 첨단 사이버전 도구를 개발한다

2010년 9월 "*****"는 미 국방부가 사이버전에서 선제타격과 기만을 달성하기 위해 노력하고 있다고 폭로했다. 거부, 분리, 다운그레이드, 파괴된 "5D" 효과. 사이버 전쟁의 공격 수준에 대한 연구는 항상 미국 정부와 산하 연구 기관의 초점이었습니다. 최근 미국이 사이버 전쟁과 관련하여 구축한 모델에 따르면 전장 네트워크를 다중으로 매핑하는 것이 중요합니다. -수준의 지식 그래프와 범위 연습을 결합한 모델 검증을 수행합니다.

1.3.1 DARPA의 Plan X는 지식 그래프를 사용하여 전장 지도를 묘사하여 VR 작전을 지원합니다.

PLAN 사이버 환경에서 사이버 전쟁을 이해, 계획 및 관리합니다. 잘 확립된 범용 지도를 기반으로 군 네트워크 운영자가 시각적 방법을 사용하여 전장에서 네트워크 침입 작업을 수행하는 데 도움이 됩니다. PLAN 전투원에게 최적의 침공경로와 침공계획을 제공합니다.

1.3.2 MITRE의 CyGraph 프로토타입은 네트워크 작업을 지원합니다.

CyGraph는 그래프 모델 연구를 위한 MITRE의 프로토타입 시스템입니다. CyGraph는 네트워크 인프라, 보안 상태, 사이버 위협, 임무 종속성의 4가지 수준의 그래프 데이터를 포함하는 계층적 그래프 구조를 사용하여 공격 표면 식별, 공격 상황 이해 등 주요 자산 보호 작업을 지원합니다.

그림 1.1 CyGraph의 다층 그래프 구조

1.4 방어 수준에서는 ATT&CK를 기반으로 한 차세대 APT 설명 언어 모델이 개발되었습니다.

ATT&CK는 CyGraph의 공격 행위를 반영하는 모델이자 지식 기반입니다. 각 공격 라이프사이클. ATT&CK는 지식 기반을 사용하여 상대 공격 방법을 분석하고 기존 보호 시스템을 평가합니다. 또한 사격장과 결합하여 공격 시뮬레이션 테스트 및 자동화된 검증을 수행할 수 있습니다. 동시에 많은 외국 보안 제조업체가 이를 탐지하고 추적합니다. APT 조직의 실제 효과.

그림 1.2 ATT&CK Lazarus와 APT15에 대한 TTP 성능 비교 분석

2. 지식 그래프 기반 APT 조직 추적 실습

지식 그래프 기반 APT 추적 실습은 위협 원시 모델을 핵심으로 함 , 하향식 방식으로 APT 지식 그래프를 구축합니다.

2.1 위협 기본 모델 기반 엔터티 클래스 구성

APT 지식 유형 정의는 CAPEC(Common Attack Pattern Enumeration and Classification of Attack Mechanisms), 악성코드 속성 열거 및 특성(MAEC) 등 다양한 최신 보안 표준 및 사양을 참조합니다. ) 및 공개 취약점 및 노출(CVE) 등 12가지 지식 유형(공격 모드, 캠페인, 방어 조치, ID, 위협 지표, 침입 세트, 악성 코드, 관찰 가능한 엔터티, 보고서, 공격자, 도구, 취약점)이 설계되었습니다.

2.2 APT 지식 그래프 온톨로지 구조

지식 유형 정의는 APT 조직의 특성을 설명하는 관련 정보로 격리된 지식 노드만 형성합니다. 지식 노드 간에는 의미론적 관계가 없습니다. 한편, 시맨틱 설계는 미국 NVD(National Vulnerability Database)에 포함된 취약점, 취약점, 자산 및 공격 메커니즘과 관련된 전문 지식을 추출합니다. 둘째, STIX에서 정의한 7가지 유형의 관계를 말합니다. STIX2.0 개체 관계는 아래 그림 2.1에 나와 있습니다.

그림 2.1 STIX2.0 구조 다이어그램

"지시", "활용", "속함" 및 기타 의미 관계를 포함하여 APT 보고서에 포함된 여러 유형의 의미 관계를 요약하고 온톨로지 구조를 구축합니다. 그림 2.2에 표시된 대로.

그림 2.2 APT 지식 그래프 온톨로지 구조

2.3 APT 공격 조직 지식 베이스 구축

이 글에서는 APT 지식 베이스를 하향식으로 구축합니다. 먼저, 정보 추출 및 정렬 작업이 수행됩니다. APT 지식 그래프를 사용하여 온톨로지를 기반으로 대용량 데이터에서 APT 조직과 관련된 지식 개체, 속성, 지식 관계를 추출합니다. 이후, APT 지식 온톨로지에 정의된 지식 속성을 기반으로 속성 명확화 및 융합을 수행하여 APT 지식 베이스가 출력된다.

APT 조직 관련 정보 소스에는 정형 데이터(정형 인텔리전스 데이터베이스, STIX 인텔리전스), 반정형 데이터(Alienvault 등 오픈 소스 인텔리전스 커뮤니티 웹사이트, IBM x-force 인텔리전스 커뮤니티 웹사이트, MISP, ATT&CK), 비정형 데이터화 데이터가 포함됩니다. (Talos 보안 블로그, Github APT 보고서)

2.4 실험 및 적용

이 기사에서 구성된 APT 테마 지식 그래프에는 그림 2.3에 표시된 것처럼 현재 257개의 APT 조직이 포함되어 있습니다.

그림 2.3 APT 조직 개요

구성된 지식 그래프 온톨로지 구조와 결합하여 의미 검색을 통해 그림 2.4 및 2.5와 같이 APT32 공격 조직의 초상화가 만들어졌습니다.

그림 2.4 APT32 다이아몬드 모델

그림 2.5 APT 32 초상화

프로필 정보에는 APT32 조직이 관리하는 인프라, 기술적 수단 및 공격 도구가 포함됩니다. APT 초상화에 대한 지식과 결합하여 APT 조직 특성에 대한 실시간 모니터링 및 비교를 통해 이벤트의 조직 관련성을 표시하고 APT 조직 활동에 대한 실시간 모니터링 및 통계를 달성합니다.

특정 환경의 IDS 및 샌드박스 프로브 장비를 기반으로 6월 2일부터 6월 9일까지의 기간 동안 지식 그래프에서 제공하는 APT 조직 프로파일 특성과 결합된 4개의 서버로 구성된 빅데이터 분석 클러스터 실험 환경, 2019년에는 총 5개의 APT 조직이 활동하는 것으로 확인되었으며, 그 결과는 그림 2.6과 같습니다.

그림 2.6 APT 조직 추적

3. 대책 및 제안

1. APT 공격 관련 정책 및 규정 제정을 개선합니다. 현재 중국 정부는 APT 공격에 대응하기 위한 구체적인 정책과 규정을 아직 ​​발표하지 않았으며, 이는 국내 APT 공격 분석 및 탐지를 촉진, 표준화 및 안내하는 데 매우 해롭습니다.

2. 공동구축, 공동연구, 공유의 연구생태계를 추천합니다. 업계와 국가 차원에서 채택할 수 있는 기술 솔루션과 모델 표준을 구축하려면 중국 정부와 기업 간의 협력을 더욱 심화해야 합니다.

3. 통일된 인텔리전스 공유 형식을 구축하고 인텔리전스 공유를 강화합니다. GB/T 36643-2018 "정보 보안 기술 - 네트워크 보안 위협 정보 형식 규격"은 시행 이후 국내 정부와 기업에서 널리 사용되지 않았습니다.

4. 보편적 위협 메타 언어 모델 구축을 강화합니다. 우리나라는 통합 위협 인텔리전스 표현 형식과 APT 관련 위협 인텔리전스 및 지식 공유를 지원하기 위한 공통 위협 기본 요소 세트를 아직 완전히 구축하지 못했습니다.

위 내용은 지식 그래프를 기반으로 APT 조직 추적 및 거버넌스를 수행하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!