IBM以知识图谱技术重建APT攻击者痕迹,更要推论出易受攻击潜在弱点

“当你的公司遭到入侵的时候,你怎么在最快的速度找到攻击者?”2019台湾安全大会中,IBM软件研发中心台北实验室、研创团队负责人林俊睿指出,未来高端持续性威胁(Advanced Persistent Threat, APT)将越来越常见,如何掌握攻击者的犯罪手法(Tactics, Techniques, and Procedures, TTP)、发掘潜在的危机,甚至防堵未来的攻击,AI将扮演重要角色。

他引述世界经济论坛2019全球风险调查结果,数据欺诈或窃取(Data fraud or theft)、网络攻击(Cyber​​-attacks)的发生率分别是第4、5名;网络攻击、重要信息基础建设故障(Critical information infrastructure breakdown)的冲击力也占据第7、8名,由此可知,网络攻击是2019年需要慎防的问题。

而网络攻击的动机又可大致分为4种,分别是获取信息(Access to information)、获取财物(Financial profit)、黑客行为(Hacktivism)、网络战(Cyber​​war )。 2018年获取信息(45%)的案例胜过获取财物(33%),但在金融界,网络攻击的目的仍以获取财物为主。

以抢银行组织APT 38为例,这个黑客组织的任务动机是财务导向,他们使用网络间谍攻击手法,曾经部署26支定制化的恶意软件在目标对象的网络与系统架构,更能随着杀毒软件的更新而高端修正、不被侦测;从威胁情资报告中,也难以发现攻击者的目的与身份。

林俊睿更表示,等到对方要撤退时,可能先大规模瘫痪硬件设备,让银行顾此失彼无暇抓人,更甚者还留下其他Malware来误导调查。因此,未来APT的威胁将更难以预测,“如何在对方完成目的之前,先用犯罪的线索找到幕后黑手,就是IBM在安全引进AI技术想要实现的目标”。

靠AI自动产生安全报,引进Knowledge Graph推论潜在危机

“找出攻击者为什么重要?”林俊睿表示,市面上的杀毒软件功能,大多仅为了扫描入侵威胁、阻挡问题IP、修补安全漏洞等,无法更积极地推论出攻击者的目的、找到他是谁,进而阻挡新形态的APT攻击;就连IBM持续针对内部的攻击(Offenses)进行分析,也有高达99%在现有威胁情资报告中找不出攻击者。

因此,IBM开始在产品中使用了知识图谱技术(Knowledge Graph)技术来侦查网络犯罪的痕迹,先搜集企业内部的“疑似攻击信息”后,将可疑的IP、文件散列值(Hash)以及域名(Domain)等数据,与知识图谱数据库内的信息来比对,不只可以找出这些来自企业内疑似攻击信息间的关联,甚至可以扩大找出更多情报,例如从可疑IP的相关知识图谱信息,可以进一步找出此IP背后相关的攻击者或病毒家族(Malware Family),再从这些攻击者过去手法的情报,进一步推测黑客这次攻击这家企业的可能目的。过去得通过安全研究员层层人工解读、比对才能搭建出来的攻击脉络痕迹,IBM首次应用知识图谱技术后,现在可以自动完成一份安全报告,来推论潜在威胁供企业或安全人员参考。

IBM先利用文本处理AI技术,大量截取各种非结构化的数据,包括安全新闻、最新研究报告、安全通报等,来构建一套安全知识图谱,例如搭建出一个攻击木马excel文档,背后相关的攻击者、攻击事件、类似攻击木马或手法等脉络情况,再利用AI技术来推论潜在威胁,并自动产生一份结构化的情报资料威胁报告。

为了先创建一套可用来推论潜在威胁用的安全知识图谱模型,IBM安全实验室先利用US-CERT网络安全情报(Cyber​​ Security Intelligence, CSI)的入侵指标( Indicators of Compromise, IOC)进行ML训练,将训练用的数据分出十分之一,作为测试验证效果用的数据,反复训练与测试后,目前这个知识图谱已有超过80%的正确率;IBM也用于分析IBM内部发生过的攻击事件信息,过去99%的情况下都无法辨认攻击者,现在采用知识图谱模型可以找出93%事件背后的攻击者。

林俊睿说明:“从黑客所部署在企业内的小东西,可以推测出到底是谁在攻击你。”就像警察寻找连锁犯罪一样,同一个犯罪组织、或相似攻击目的的攻击程序可以找出共同性。但是各种情报数据非常庞大,通过AI自动产生威胁情资报告,就可以在可能遭黑客攻击的途径中进行防御。例如通过重新调整网络架构,有效避开特定类型的网络攻击等。

至于为何不用ML技术,林俊睿解释,采用ML会有黑箱方法的疑虑,可能产出无法解释的结果,但若使用Knowledge Graph来推论攻击痕迹,则较容易解释推论过程。