揭开威胁猎杀(Threat Hunting)概念的神秘面纱

  • A+
所属分类:安全闲碎

揭开威胁猎杀(Threat Hunting)概念的神秘面纱

文:Josh Liburdi


TLDR:

- 威胁猎杀不一定要复杂,但不是每个人都能做到。
- 知道如何开始和结束Hunting比知道如何进行Hunting更重要。
- 从哪里开始?关注威胁形势的趋势(根据我们的观察,每天大概会有10个左右的新技战术出现),并关注您没有自动警报/检测的威胁。
- Hunting是一个创造性的过程。


    暂时忘掉你所知道的既定的威胁猎杀计划、流程或模型,从最简约的角度考虑:像任何活动一样,威胁猎杀有开始、中间(过程)和结束。开头描述了你打算Hunt什么,过程描述了你如何去做,而结尾描述了你如何处理结果。根据我的经验,有效的Hunt并不是由调查行为(过程)决定的,而是由一个人如何选择开始(开始)和如何对新获得的信息做出反应(结束)决定的。


1.从哪里开始?


    开始的行为可能是有效猎杀中最复杂的一步。它需要了解目标网络、安全运营团队的能力和使用的工具,以及目标威胁的能力。虽然其中每一项都可以单独成为猎杀开始的“Idea”,但最好对每一项都有一个整体的了解。以下是几组问题,可以让你开始建立对每个组成部分的理解:


- 网络的拓扑是怎样的?网络中运行着哪些操作系统?操作系统上运行着哪些工具和服务?网络中的关键资产是什么(或在哪里)?使用这些问题来确定网络中的正常和异常情况。


- 安全运营团队已经在寻找什么?有哪些自动检测,其准确度如何?(用这样的问题来确定你已经能找到的东西 - 不要Hunt你已经能找到的东西。)


- 威胁行为体针对哪些资产?威胁行为体使用什么工具和战术?威胁行为体在过去是如何运营的?使用这样的问题来确定威胁行为体可能在你的网络中做什么。


    从我的角度来看,最有用的是来自威胁情报的问题和理解。将威胁情报报告(无论是外部的还是内部的)分解成不同层次的细节,可以降低利用威胁情报进行猎杀的要求;实现这一目标的方法之一是不完全关注报告中描述的技术指标,而是衍生出对威胁环境趋势的更广泛的理解。举例来说,在建立Hunt的背景下,知道威胁行为者AAA在日期EEE从IP地址FFF启动时,使用文件名为BBB的PowerShell脚本对行业CCC中的目标进行攻击,对我来说可能不如更广泛的理解 "攻击者继续使用PowerShell进行攻击 "有用。


2.进行Hunting


    当分析师谈论威胁猎杀时,他们往往关注Hunt的中间环节 - 检索数据、处理数据和调查数据的阶段。这也是Hunt过程中记录最详实的部分。


- 收集用于Hunt的数据 - 这个步骤极其重要,因为它直接影响到后面的一切。

- Hunt是一个创造性的过程。一个人的抽象思维、挑战想法、不怕失败的能力,会比那些每次都用同样方式做的人获得更多的知识和突破。在应用Hunt技术时,创造力的概念变得非常重要 - 有这么多技术可供选择(基于文本的搜索、可视化、机器学习算法等)。


3.结束Hunting


    Hunt的目标是扩大威胁检测的覆盖面(无论是通过识别新的机会还是改进现有的机会)。如果没有这一点,Hunt工作很可能不会对组织产生持久的影响。



往期精选


围观

威胁猎杀实战(六):横向移动攻击检测


热文

全球“三大”入侵分析模型


热文

实战化ATT&CK:威胁情报



天御攻防实验室:

    专注威胁感知、威胁猎杀、高级威胁检测,Adversary Simulation、Adversary Detection、Adversary Resilience

天御蓝军:
    全球高级威胁研究与对抗



揭开威胁猎杀(Threat Hunting)概念的神秘面纱

↑↑↑长按图片识别二维码关註↑↑↑


揭开威胁猎杀(Threat Hunting)概念的神秘面纱

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: