威胁狩猎的重要性
威胁狩猎之所以重要,是因为缜密复杂的威胁可以突破自动化网络安全防线。
尽管自动化安全工具以及第一层和第二层安全运营中心 (SOC) 分析师应该能够处理大约 80% 的威胁,但仍然需要为剩下的 20% 而担忧。
这剩下的 20% 的威胁更有可能包含可导致重大损害的复杂威胁。如果有足够的时间和资源,攻击者将会闯入任何网络,平均会在长达 280 天的时间里安然躲避检测。
有效的威胁狩猎就有助于缩短从入侵到发现的时间,从而减少攻击者造成的损害。
在被发现之前,攻击者往往已潜伏数周乃至数月。他们耐心地等待时机窃取数据,并发现足够的机密信息或凭证,以解锁进一步的访问权限,从而为重大数据泄露做好准备。
潜在威胁会造成多大程度的损害?根据"《数据泄露损失报告》,"一次数据泄露平均会让一家公司损失近 400 万美元。数据泄露的有害影响可能会持续数年。系统故障和部署响应之间的时间越长,组织耗费的成本也就越高。
威胁狩猎的理念
成功的威胁狩猎计划基于环境的数据可繁殖性。换句话说,组织必须首先有一个企业安全系统来收集数据。从该系统收集到的信息为威胁狩猎者提供了宝贵的线索。
网络威胁狩猎专员为企业安全带来人为元素,补充了自动化系统的不足。他们是技能熟练的IT安全专业人员,能够在威胁可能导致严重问题之前搜索、记录、监控并消除威胁。理想情况下,他们是公司 IT 部门的安全分析师,熟知公司的运营情况,但有时也会是外部分析师。
威胁狩猎的艺术在于发现环境中的未知数。它超越了传统的检测技术,例如:安全信息和事件管理 (SIEM)、端点检测和响应 (EDR) 等等。威胁猎杀者会梳理安全性数据。他们会搜索隐藏的恶意软件或攻击者,寻找计算机可能遗漏或误判为已解決的可疑活动模式。他们还会协助修补企业的安全系统,防止此类网络攻击再次发生。
威胁狩猎的类型
猎杀者从基于安全数据或触发器的假设开始。该假设或触发器可作为对潜在风险进行更深入调查的跳板。这些更深入的调查包括结构化猎杀、非结构化猎杀及情境式猎杀。
结构化狩猎
结构化狩猎基于攻击指标 (IoA) 以及攻击者的战术、技术和程序 (TTP)。所有狩猎行为都基于攻击者的 TTP,并与其保持一致。
通常情况下,狩猎者甚至可以在攻击者对环境造成破坏之前就识别出攻击者。这种猎杀类型采用 MITRE Adversary Tactics Techniques 和 Common Knowledge (ATT&CK) 框架 ,同时使用 PRE-ATT&CK 及企业框架。
非结构化狩猎
非结构化狩猎是基于触发器发起的行为,该触发器是众多失陷指标 (IoC) 之一。此触发器通常会提示狩猎者寻找检测前和检测后的模式。通过指导他们采用相应的方法,狩猎者可以追溯到最早保留的数据,以及以前相关的攻击行为。
情境或实体驱动
情境假设来自于企业的内部风险评估或其 IT 环境特有的趋势与漏洞分析。面向实体的线索来自于众包攻击数据,经过审查,这些数据可以揭示当前网络威胁的最新 TTP,然后威胁狩猎者就可以在环境中搜索这些特定行为。
狩猎模式
基于情报的狩猎
基于情报狩猎是一种反应式狩猎模式 ,它使用来自威胁情报源的 IoC。狩猎行为由此遵循通过 SIEM 和威胁情报建立的预定义规则。
基于情报的猎杀可使用计算机应急响应小组 (CERT) 等情报共享平台提供的 IoC、散列值、IP 地址、域名、网络或主机工件。可从这些平台导出自动警报,并以结构化威胁信息表达式(STIX) (链接位于 ibm.com 网站外)以及可信的情报信息自动交换形式(TAXII)(链接位于 ibm.com 网站外)输入到 SIEM 中。SIEM一旦收到基于 IoC 的警报,威胁猎杀者就可以调查警报前后的恶意活动,以识别环境中的任何隐患。
假设猎杀
假设猎杀是一种使用威胁猎杀库的主动猎杀模式,它与 MITRE ATT&CK 框架保持一致,并使用全局检测手册来识别多组高级持续威胁和恶意软件攻击。
基于假设的猎杀使用攻击者的 IoA 和 TTP,猎杀者根据环境、域和攻击行为识别攻击者,建立与 MITRE 框架一致的假设。一旦识别出行为,威胁猎杀者就会监控活动模式,以检测、识别和隔离威胁。通过这种方式,猎杀者可以在攻击者对环境造成破坏之前就主动将它们揪出来。
定制猎杀
定制猎杀基于态势感知和基于行业的猎杀方法。它可以识别 SIEM 和 EDR 工具中的异常情况,并能根据客户要求而量身定制。
定制猎杀或情境式猎杀基于客户的要求,或是根据地缘政治问题和有对性的攻击等情况主动执行。这些猎杀活动可以使用包含 IoA 和 IoC 信息的基于情报和基于假设的猎杀模式
猎杀者使用来自 MDR、SIEM 和安全分析工具的数据作为猎杀的基础,还可以使用打包分析器等其他工具来执行基于网络的猎杀。但是,使用 SIEM 和 MDR 工具需要集成环境中的所有必要资源和工具。这种集成确保 IoA 和 IoC 线索足以提供相应的猎杀方向。
安全信息与事件管理(SIEM)
通过结合使用安全信息管理 (SIM) 和安全事件管理 (SEM),安全信息和事件管理 (SIEM) 可实时监控和分析事件,以及跟踪和记录安全数据。 SIEM 可以揭示用户行为异常和其他违规行为,为更深入的调查提供重要线索。
安全分析
安全分析力求超越基本的 SIEM 系统,更深入地洞察安全数据。通过将安全技术收集的大数据与更快、更复杂、更一体化的机器学习和人工智能相结合,安全分析师可以为网络威胁猎杀提供详细的可观察性数据,加快威胁调查进程。
威胁猎杀和威胁情报之间有什么区别?
威胁情报是关于企图入侵或成功侵入的数据集,通常由具有机器学习和人工智能的自动化安全系统收集和分析。
威胁猎杀则利用这些情报在系统范围内地毯式搜索居心不良的攻击者。换句话说,威胁猎杀的地点是威胁情报的终点。更重要的是,成功的威胁猎杀可以识别出那些仍逍遥法外的威胁。
此外,威胁猎杀使用威胁指标作为猎杀的线索或假设。威胁指标是恶意软件或攻击者留下的虚拟指纹、陌生的 IP 地址、网络钓鱼电子邮件或其他异常的网络流量。