介紹
從本質上講,網絡世界中的威脅狩獵可能與現實世界中的狩獵非常相似。它需要具有獨特技能的專業人員,他們具有一定的耐心,批判性思維,創造力和敏銳的洞察力,通常以網絡行爲異常的形式發現獵物。
“但是獵人到底在尋找什麼呢?以及爲什麼我們需要它們?“ 很多CEO問。“既然我們已經實施了最新的網絡安全解決方案,我們部署了最新的設備,我們的系統是否得到了充分的保護?”這是一個簡單的問題:威脅搜尋的核心可以理解爲一個簡單的事實,即沒有系統可以被視爲100%受保護。即使使用最好,最新的技術,也總是存在一些高級威脅能夠逃避你的防禦方案和設備,而這正是我們正在尋找的東西。
從以往的經驗上講,大多數公司都採用一種方法,即一旦部署了安全解決方案,它就會着重於防禦大多數已知攻擊。例如,在採用反惡意軟件的解決方案的情況下,對於已知公開代碼的惡意軟件奏效。如果它是全新的代碼,那麼即使是基於人工智能的最新解決方案也可能很難檢測到它。
這就是爲什麼需要威脅搜尋的原因,它創建了一個新的安全範式:它假定由於不可能阻止每一次攻擊,因此公司網絡將受到威脅,但你可以通過獵物留下的痕跡,去追蹤獵物,發現攻擊行爲。
那麼您是否有興趣參加狩獵活動?以下是您創建有效的網絡威脅搜尋程序應瞭解的一些基本要點:
什麼是威脅獵人?
通常很多人喜歡使用網絡安全威脅分析師這個名字,但是我認爲這不是很酷。通常情況下,他們是通過安全服務提供商或公司內部自己的安全運營中心(SOC)進行工作的,他們可以採用手動和軟件輔助技術來檢測網絡內可能已存在的威脅事件,而這些威脅事件信息淹沒在海量的事件之中。
想要從中搜尋到威脅,這絕非易事,不僅需要網絡安全方面的知識,還需要業務知識和企業運營的高技能專業人員。例如,檢測網絡異常行爲可能是非常簡單的,通過發現與該公司沒有業務往來的國家/地區的流量增加來識別異常行爲。但不幸的是,並非每次攻擊都會使用這種方式。
高級威脅可能是非常的複雜,和正常行爲沒有什麼區別。例如,許多數據傳輸攻擊技術都使用了加密或隱蔽通道,例如DNS隧道。在這種情況下,數據在DNS查詢和響應中進行了編碼,乍一看,它看起來與普通連接幾乎相同。但是,優秀的獵人會迅速注意到異常,例如請求和響應的大小、每個IP地址、域內的DNS流量等。
威脅獵人需要哪些工具?
如前所述,尋找網絡威脅並非易事,即便是沒有經驗的獵人,沒有合適的工具,也很可能失敗。一些基本需求包括:
數據:獵人將需要訪問網絡上任何設備的有意義的日誌:這包括服務器,網絡設備(即防火牆,交換機,路由器),數據庫和終端設備。聽起來像很多數據,是因爲有一點是非常重要,即擁有一個集中的位置來收集數據並進行分析,包括我們剛剛提到的幾個不同數據點中的關鍵步驟,例如數據收集,關聯和規範化。在這種情況下,一個好的SIEM解決方案會是獵人的最好朋友。
基線:如果獵人希望檢測到異常,則具有網絡流量行爲的基線可能具有巨大的價值。從廣義上講,基線將定義預期和授權的事件,從而更容易發現異常並進行調查。
威脅情報:網絡犯罪分子相互合作,共享信息,代碼和惡意工具並不罕見。隨着使用類似技術的攻擊越來越多,它增加了團體或公司在淪陷之前發現它的機會。威脅情報(也通常稱爲網絡威脅情報)是通過多種來源獲取有關對環境的威脅的可行知識的過程。
具有新攻擊情報的獵人可能能夠快速發現網絡中的IOC(攻擊指示)或IOA(攻擊指示)並根據此信息採取行動。
威脅獵人應該尋找什麼?
這一點可以回溯到最初的CEO問題:“獵人正在尋找什麼?”實際上,威脅搜尋的一個非常重要的起點就是確定優先級的情報需求(PIR)。從本質上講,PIR是高級問題,一旦得到回答,它將爲戰略性網絡安全響應提供要素。
例如,PIR可能基於一組推測,例如:威脅來自何處?網絡威脅是否隱藏在噪音,每天處理的大量日誌和警報中?對潛在威脅最誘人的重要公司資產/信息是什麼,他們將如何設法獲得它?這種高級別的詢問將使威脅搜尋者可以查找更具體的信息。是否有多個低級警報連接到單個指示器?新的威脅情報信息是否與過去30或60天內的日誌相匹配?遠程會話中是否存在異常,例如使用以前未見的命令?
這些問題的答案構成了獵人將要走的路。這是通過收集數據並根據可用的任何信息/工具解釋結果,發現異常並採取必要措施阻止活動威脅來實現的。
如何定義理想的狩獵成熟度水平
重要的是要了解威脅搜尋程序有多個成熟度級別。必須考慮三個基本因素:
- 收集的數據質量
- 用於收集和分析數據的工具
- 威脅獵人的技能和經驗
在初始成熟度級別(請參見下表),組織將主要依靠自動警報,很少或沒有常規的數據收集功能,而人力基本上將集中在警報解決上。在這一點上,即使在經驗豐富的獵人的幫助下,組織也不會被視爲具有威脅搜尋能力。
達到較高的成熟度水平是需要付出一些努力,但是,正如預期的那樣,結果和預期存在巨大差異。例如,一個已經達到成熟度級別的組織(在擁有活躍獵物計劃的組織中最常見)將能夠定期應用經過修改的程序來收集/分析數據,從而使威脅獵物成爲現實。
由於每個成熟度級別之間的差距以及狩獵結果之間的差距都可能很大,因此評估和確定威脅狩獵程序的理想水平非常重要。
如何創建威脅搜尋過程
一旦瞭解了威脅搜尋程序的所有要素,就可以輕鬆創建一個簡單但非常有效的流程。基本步驟是:
-
收集和處理數據:同樣,如果沒有高質量的數據,就不可能尋找威脅。預先計劃並定義必須收集哪些數據以及將在何處集中和處理這些數據非常重要。如前所述,SIEM解決方案是獵人的最好朋友。
-
**建立假設:**知道您要尋找的東西非常重要,這一切都始於基於實際公司環境的面向業務的假設。最好的方法是從對公司的網絡安全策略有意義的簡單,高層次的問題開始。這將使獵人專注於實際情況,從而產生更有效的威脅獵取程序。
-
Hunt:現在好玩了!好吧,也許不是那麼有趣。有時,威脅搜尋可能只不過是處理數據並解釋幾個小時的結果,只是發現一個假設尚未得到證實。
如前所述,獵人必須在技術專長方面表現出色,將信息安全,法醫科學和情報分析等領域相結合,但也必須有足夠的耐心。
-
識別威脅:正如預期的那樣,在某些時候,您的假設將被證明是有效的,並且將識別出威脅。現在是時候瞭解它如何影響公司了。這是正在進行的重大安全事件嗎?這是剛剛開始的網絡攻擊嗎?是否有可能是虛假警報?
在確定最佳行動方案之前,獵人必須回答所有這些問題。
-
響應:在確認威脅並知道攻擊的程度之後,下一步就是創建適當的響應。當然,有必要停止當前的攻擊,刪除最終的惡意軟件文件,並將更改/刪除的文件恢復爲原始狀態,但並不僅限於此。爲了提高安全性並防止將來發生類似的攻擊,瞭解發生了什麼也很重要。
例如,可能有必要採取措施,例如更新防火牆/ IPS規則,開發新的SIEM警報,部署安全補丁和/或更改系統配置。換句話說:採取所有必要步驟,以確保不太可能發生另一次攻擊事件。
結論
威脅搜尋可以爲網絡安全策略提供重要價值。在沒有系統100%安全的簡單前提下,有經驗的威脅獵人可以主動檢測並阻止最偷偷摸摸的攻擊者。
不出所料,創建有效的威脅搜尋程序將需要一些努力:在實施特定策略之前,擁有合適的專業人員和必要的工具至關重要。一個好的方法是首先定義將爲公司提供實際價值的成熟度級別,確認現有資源是否足夠,並創建經驗豐富的專業人員,數據收集/處理工具和可行的情報的正確組合。讓狩獵開始!
思考
從“如何創建威脅尋找過程”來思考紅藍對抗磨礪藍隊威脅狩獵成熟度。
數據收集、標準化,這在威脅狩獵過程中是非常重要的,沒有高質量的數據很難幫助藍隊追蹤威脅。那麼我們需要採集什麼樣的日誌,什麼樣的日誌滿足藍隊的狩獵需要?這是每一個藍隊成員都要思考的問題。
建立建設,爲什麼需要建立假設?當一個新的業務上線,藍隊都需要去評估自己的系統,假設可能存在哪些風險,從攻擊者的角度思考通過哪些方式攻擊過來(未知攻焉知防),重點關注風險點。
Hunt,萬事俱備只欠東風麼?不是,當你準備好一切,準備大幹一場的時候,你會發現總會有各種各樣的問題,導致你無法準確地進行狩獵。具體什麼原因就不多說了,每個人的情況可能不一樣。理想和現實,現實會給你一大嘴巴。
識別威脅,藍隊在發現威脅之後,如何識別紅隊現在在做什麼?下一步要做什麼?這很重要,並不是所有的解決方案都是拔網線、斷網!這裏建議你可以去看看MITER關於ATT&CK的介紹,全面系統的瞭解紅隊的常用技戰術。
響應,當藍隊發現紅隊的攻擊程度之後,藍隊就可以進行適當的響應。