2023年2月14日,日本官方信息通信研究机构(NICT)的网络平台系统“cynex”发布了《事件分析中心(NICTER)观测报告2022》,本文就此梳理了日本该官方机构下的网络平台“网络安全信息融合平台“CURE”的概况和部分项目,供读者参考。
日本信息通信研究机构(National Institute of Information and Communications Technology,NICT)是日本唯一专门研究信息通信领域的官方研究机构,隶属于日本总务省,旨在促进信息通信技术(ICT)的研究和开发,振兴信息通信业务等。总部位于日本东京都小金井市,理事长为德田英幸;下设电磁波研究所、网络研究所、网络安全研究所、未来ICT研究所、量子ICT协创中心等。
日本NICT发布“NICTER观测报告2022”
作者:网安观察员 乔
全文摘要与关键词
1.日本官方最大的网络安全信息融合平台“CURE”概况:大规模集成网络安全相关信息,由日本官方信息通信研究机构NICT下设网络安全实验室开发,几个组成部分,2022年开发的”数据浓缩“新功能可大大提高掌握网络攻击实际情况的准确性,并有望生成更高质量的威胁信息
2.《事件分析中心NICTER观察报告2022》要点:①针对Telnet(23/TCP)的攻击比例上升;②利用物联网设备零日漏洞的攻击;③DRDoS攻击呈大规模地毯式,导致攻击次数减少、攻击持续时间增加、攻击中利用的服务类型增加等特点
3. 简评:日本网络安全方面的官方研究主要由日本信息通信研究机构NICT旗下网络安全研究所主要负责,旨在通过与工业界和学术界的密切合作,利用 NICT 的中立性,成为全球网络安全研发中心。近年来,该研究所正在开发大规模收集积累网络攻击相关信息、交叉分析技术、安全数据利用技术,并进行量子计算机时代的加密技术安全性评估相关研发;此外,还计划组建一个国内分析师社区来分析网络安全信息,并通过发布共同平台来提高日本的网络安全响应能力,培养网络安全人力资源。
01 日本网络安全信息融合平台
1.1 日本网络安全信息融合平台“CURE”概况
日本网络安全信息融合平台“CURE”(Cybersecurity Universal REpository)是一个大规模集成网络安全相关信息的安全信息融合平台,由日本官方信息通信研究机构(NICT)下设网络安全实验室于2019年6月开发。
为了掌握网络攻击的实际情况,需要收集和分析种类繁多的网络安全相关信息,例如网络攻击观测信息、外部机构发布的安全报告等,并需对其进行多方面分析。为此,NICT开发了安全信息融合平台“CURE”,开展网络安全相关信息的大规模集成和横向分析研究。该平台作为一个安全信息融合平台,可以一元化的集成网络安全相关信息,实现不同类型信息之间的横向分析,还可自动连接分散的信息,阐明网络攻击的隐藏结构,并实时可视化。
图:NICT网络安全研究所下属网络安全研究室的“CURE”示意图
1.2 日本网络安全信息融合平台“CURE”组成
事件分析中心“NICTER”:对无差别攻击的观测
NICTER(Network Incident analysis Center for Tactical Emergency Response)是一种用于快速了解互联网上发生的无差别攻击并导出有效应对措施的复合系统。其通过对暗网(未使用的IP地址空间)的大规模观测、和对恶意软件的收集分析等得到信息,并进行相关分析、查明其原因。
网络攻击诱导平台“STARDUST”:目标攻击的观测
“STARDUST”是用于长期分析攻击者的行为(例如目标型攻击)的攻击诱导平台。为了从外部引导攻击者,其自动构筑精巧的模拟环境“并行网络”,执行用于目标型攻击的恶意软件,在模拟环境中实现高隐身性的实时观测和分析。
网络攻击综合分析平台“NIRVANA改”:组织内警报和端点信息的收集
“NIRVANA改”通过对组织内的各种安全设备发出的警报进行集中、分类和相关分析,能够进行警报的分类(赋予优先顺序)、切断异常通信(自动应对)等。
漏洞管理平台“NIRVANA改贰”:整体掌握漏洞处理情况
“NIRVANA改贰”把对组织内服务器设备的漏洞扫描结果进行实时可视化,从而可以对漏洞处理情况进行整体掌握,了解漏洞详细信息。
网络威胁信息汇集系统“EXIST”:从各种信息源获取威胁信息
“EXIST”是一种Web应用程序,可以自动收集从各种信息源公开或有偿提供的威胁信息,并允许分析人员通过WebUI或WebAPI进行横向检索。
网络媒介型网络攻击对策项目(WarpDrive)
在网络攻击持续多样化、巧妙化的当前,仅浏览网站就感染恶意软件的网络媒介型攻击造成的损害也层出不穷。网络媒介型攻击只对浏览特定网站的用户进行攻击,所以被动的网络攻击观测网很难把握其实际情况。因此,日本NICT、KDDI综合研究所(国际电信电话株式会社(KDD)研究所2001年与株式会社京瓷DDI未来通信研究所合并,更名为株式会社KDDI研究所)、横滨国立大学、神户大学、构造计划研究所、金泽大学等研究机构致力于“面向网络媒介型攻击对策技术实用化的研究开发”,从2018年6月开始进行用户参与型的实践实验。
网络媒介型网络攻击对策项目“WarpDrive”(Web-based Attack Response with Practical and Deployable Research Initiative)旨在在用户的PC等环境下运行安全代理,对Web媒介型攻击进行观测·分析,收集信息,并阻止恶性Web网站。内容包括:在用户的Web浏览器中进行网络媒介型攻击的观测、分析;检测到攻击时阻止对恶意网站的浏览;对用户进行警告和建议;反复进行信息汇集、横向分析等。
图:网络媒介型攻击的流程
1.3 日本网络安全信息融合平台“CURE”最新技术发展与挑战
截止目前,“CURE”已经可以将网络安全相关信息集中起来,并实现不同信息之间的横向分析。发展至今,“CURE”已经融合了各种观测信息(Artifact)和分析信息(Semantics),但为了提高掌握网络攻击实际情况的准确度,其也面临着挑战:
“CURE”中存储的网络安全相关信息的数量和质量如何才能不断提高?
为了增加数据的量,可以整合新的信息源;而为了提高数据质量,则需要“数据浓缩”功能,通过向数据提供附加信息,提高数据的有用性和可靠性。
2022年6月14日,NICT宣布开发了“数据浓缩”(data enrichment)新功能,实现了该平台安全信息分析能力的进一步升级。该功能通过向积累的数据提供各种附加信息,提升数据用途,并将多种信息源新集成到CURE中,可大大提高掌握网络攻击实际情况的准确性,并有望生成更高质量的威胁信息。
图:“CURE”整体示意图(使用“Enricher”检测类似IP地址),中央浅蓝色球体是“CURE”,外侧蓝色和橙色小球体分别是存储观测信息(Artifact)和分析信息(Semantics)的数据库(DB)组。粉红色球体是“Enricher”,它提供附加信息并检测显示类似行为的 IP 地址。
02 事件分析中心NICTER 2022观察报告
2.1 日本NICT网络平台组织cynex
NICT的网络平台组织“cynex”(Cyber security Nexus)于2021年4月启动,旨在成为日本网络安全领域工业界、学术界和政府的“连接点”。该平台其由四个部分组成,分别是:
Co-Nexus A(用于大规模数据收集及共同分析)
Co-Nexus S(用于稳态分析、数据提供等)
Co-Nexus E(用于产品化支援和长期运用验证)
Co-Nexus C(用于培养人才和开发演习)
发布网络安全相关信息由Co-Nexus S负责。此次发布的《NICTER观察报告2022》就是通过Co-Nexus S发布的。
2.2《事件分析中心NICTER观察报告2022》要点
NICTER系统,是一种用于快速了解互联网上发生的无差别攻击并导出有效应对措施的复合系统,作为日本NICT的一个重要项目,该项目中建立了大规模的网络攻击观测网(暗网观测网),并从2005年开始观察网络攻击相关通信。
此次发布的《NICTER观察报告2022》要点包括:
1.NICTER项目的大规模网络攻击观测网在2022年观测到的网络攻击相关通信较2021年略有增加,针对Telnet(23/TCP)的攻击比例有所上升。
2.观察到利用物联网设备零日漏洞的攻击。
3.在DRDoS攻击的观察方面,显示出的趋势变化包括:由于大规模地毯式DRDoS攻击规模的缩小导致DRDoS攻击次数减少、攻击持续时间增加、攻击中利用的服务类型增加等。
NICT称,将进一步利用 NICTER 的观察和分析结果,推进安全措施的研究和开发,以提高日本的网络安全。
03 简评
NICT由旗下的网络安全研究所负责“网络安全”研究,旨在通过与工业界和学术界的密切合作,利用 NICT 的中立性,成为全球网络安全研发中心。此外,还根据日本政府政策,开展网络安全演习、网络安全合作基地建设、物联网设备排查等活动。
近年来,其正在开发大规模收集积累网络攻击相关信息并交叉分析的技术、安全数据利用技术,进行量子计算机时代的加密技术安全性评估相关研发;还计划组建一个国内分析师社区来分析网络安全信息,并通过发布共同平台来提高日本的网络安全响应能力,以培养网络安全人力资源。
参考资料:
[1] https://www.nict.go.jp/press/2023/02/14-1.html
[2] https://csri.nict.go.jp/about.html
[3] https://cynex.nict.go.jp/
[4] https://www.nict.go.jp/press/2022/06/14-1.html
[5] https://www.nict.go.jp/press/2022/05/31-1.html
[6] https://www.nict.go.jp/publication/NICT-News/0607/research/index.html
[7] https://cloud.watch.impress.co.jp/docs/event/1417935.html
本文观点不代表本公众号立场。欢迎交流讨论,批评指正。
声明:本文来自认知认知,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。