威胁搜寻的形式
事实是,威胁搜寻最终目标在搜寻类型的整个分类中起着重要作用。搜寻事件从发现特定参与者的具体目标开始,这将这种类型的搜寻归类为以威胁为重点。同样,环境搜寻活动侧重于从技术角度学习整体环境的特定子集。对威胁搜寻的类型进行分类与威胁搜寻类型更改执行搜寻所需的 TTP 和数据源一样重要。搜寻也可能从环境搜寻开始,并可能在发现任何恶意活动时转变为以威胁为中心的搜寻。
这两种类型的搜寻对于组织保持完整的威胁搜寻计划生态系统都至关重要。以威胁为中心的搜寻侧重于已知的对手行为,并可以验证环境中是否存在已知参与者 TTP。以环境为中心的威胁搜寻可能会选择特定协议或已知来源,并查找尚未与参与者 TTP 关联的恶意行为。
虽然搜寻会搜索与特定攻击 TTP 相关的数据,但不存在围绕已知恶意参与者的设置。搜寻复杂攻击者时,包含有关特定攻击者的已知情报的以威胁为中心的搜寻可能会被环境搜寻跟踪,以查找攻击者 TTP 或未知攻击者 TTP 中的可能发展。
成功搜寻威胁的组成部分
威胁搜寻行动手册
以基本方式,行动手册为分析师提供了要遵循和执行的任务清单。在以威胁为中心的搜寻上下文中,搜寻 playbook 可以将威胁搜寻过程集中在与已知攻击者 TTP 相关的特定可识别操作上。对于环境搜寻,搜寻 playbook 可能更有可能揭示更大数据集中的恶意活动。威胁搜寻行动手册可能遵循类似于事件响应行动手册的安排。
事件响应方法提供了预先建立的操作,有助于响应者快速对抗网络内的攻击者(NIST,2016)。从这个意义上说,威胁搜寻行动手册为攻击者发现提供了预先建立的操作。但是,剧本不应限制威胁猎人的聪明才智和分析思维。虽然分析师应完成特定剧本的所有步骤以保证搜寻的完整性,但也应鼓励分析师在剧本任务范围之外进行开箱即用的调查。如果分析师发现超出剧本定义范围的不寻常或有效的方法,应鼓励分析师使用新方法修订或更新行动手册。
威胁情报
威胁情报提供了一个上下文源,用于通过分析特定攻击者的 TTP 来限定威胁搜寻的注意力范围。
事件作为核心组件提供帮助,并捕获对手在特定基础设施上针对受害者使用的能力或技能的情况。四个主要组件(对手、能力、基础结构和受害者)使分析师能够全面了解特定入侵。
“用于入侵分析的钻石模型”是一种描述深入攻击者入侵的方法,该方法提供了对攻击者行为进行分类的模型,是识别攻击者、其受害者、基础结构目标和功能的基础。最终,这为威胁情报提供了一种获取攻击者交易并形成 TTP 进行威胁搜寻的方法。除了 TTP 之外,威胁搜寻还使用此模型来识别调查的相关数据源。
图1.用于入侵分析的钻石模型
攻击者和受害者以活动组针对单个受害者或多个受害者执行攻击的意图为中心。攻击者不会将攻击归因于特定的国家、团体或个人,而是查看攻击的意图。在威胁搜寻的上下文中,威胁搜寻可能决定专注于特定区域内的攻击。
基础结构描述了攻击者用于对给定受害者发起攻击的系统集。基于指标的防御方法从互联网协议 (IP) 地址和域名等来源构建指标。IP 地址和域名都可以作为攻击基础设施的基于指标的描述符。对于利用和使用僵尸网络的攻击者,攻击基础设施将由僵尸网络中所有类型的计算机组成。然而,基础设施顶点不应完全由指标组成。威胁情报还应提供对攻击者行为的感知。例如,攻击者可能对 C2 使用编码的 DNS 消息。基础结构顶点可能包含与 DNS 服务器连接的 IP 地址,但也可以包含与攻击者的基础结构 TTP 相关的一些独特的 C2 行为。
该功能是从已知的攻击者入侵工具和技术发展而来的。定期获取这些知识来自威胁情报。威胁搜寻利用此情报将数据收集集中在有可能发现攻击者工具和技术的来源上。
杀伤链 ATT&CK 模型
分析攻击阶段的一种模式涉及分析整个网络杀伤链中的攻击者行为。网络杀伤链是一个框架,它提供了一种在常见攻击步骤范围内对攻击者行为进行建模的方法。杀戮链的替代方案是MITRE的ATT&CK模型。这两种模型都旨在概述和分类对手在攻击期间执行的整体操作。通过对操作进行分类,分析师可以识别可能适合每个模型特定阶段的攻击行为。相同的分析可用于评估威胁搜寻,方法是保证搜寻侧重于攻击者的所有操作范围。
图2.The Cyber Kill Chain和MITRE ATT&CK公司
现场寻线循环模型
威胁搜寻模型由五 (5) 个连续阶段组成:调查、保护、检测、执行和反馈。
调查在此阶段,主要目标是发现环境中的资产,确定对手最有可能瞄准的资产,并将传感器部署到资产以监视它们并收集有关任何恶意活动的数据。
安全锁定受监控的资产,以确保防止环境中已有的威胁横向移动并获得进一步的访问权限。安全阶段还可以防止执行新的恶意软件和其他漏洞利用。
检测 使用寻线传感器的自动检测和数据收集功能查找成功和失败攻击的证据,并通过分析收集的数据来识别对手。
执行通过中断对手的访问并阻止其重新获得来阻止攻击,修复受损资产的损坏,并将猎人采取的行动和仍需要解决的弱点通知相关人员。
反馈强度和缺点分析应以反馈的形式出现在威胁搜寻模型中的每个阶段。从威胁搜寻中发现反馈可能会确定内部开发团队需要开发其他IEC 60870-5-104分析工具。如果没有内部开发团队,则可以购买工具来填补空白。反馈阶段还可能识别寻线阶段中确定的假设或数据源中的缺陷。
使用威胁搜寻模型流程的组织提高了衡量搜寻整个覆盖范围的能力。通过将搜寻在与已知攻击者 TTP 相关的可用数据源中调查的证据相关联,它可能会计算搜寻的总覆盖范围。
模型中的每个阶段都扮演着对整个威胁搜寻过程至关重要的基本步骤。此外,该模型为参与狩猎的各种利益相关者塑造了一个框架,以提供和增加成功的结果。
总之,威胁搜寻模型为在组织环境中发现对手 TTP 提供了一种完整且专用的方法。通过执行威胁搜寻模型,搜寻的一般结果可以更好地跟踪目的并保留分析完整性。