文:Josh Liburdi
TLDR:
暂时忘掉你所知道的既定的威胁猎杀计划、流程或模型,从最简约的角度考虑:像任何活动一样,威胁猎杀有开始、中间(过程)和结束。开头描述了你打算Hunt什么,过程描述了你如何去做,而结尾描述了你如何处理结果。根据我的经验,有效的Hunt并不是由调查行为(过程)决定的,而是由一个人如何选择开始(开始)和如何对新获得的信息做出反应(结束)决定的。
1.从哪里开始?
开始的行为可能是有效猎杀中最复杂的一步。它需要了解目标网络、安全运营团队的能力和使用的工具,以及目标威胁的能力。虽然其中每一项都可以单独成为猎杀开始的“Idea”,但最好对每一项都有一个整体的了解。以下是几组问题,可以让你开始建立对每个组成部分的理解:
- 网络的拓扑是怎样的?网络中运行着哪些操作系统?操作系统上运行着哪些工具和服务?网络中的关键资产是什么(或在哪里)?使用这些问题来确定网络中的正常和异常情况。
- 安全运营团队已经在寻找什么?有哪些自动检测,其准确度如何?(用这样的问题来确定你已经能找到的东西 - 不要Hunt你已经能找到的东西。)
- 威胁行为体针对哪些资产?威胁行为体使用什么工具和战术?威胁行为体在过去是如何运营的?使用这样的问题来确定威胁行为体可能在你的网络中做什么。
从我的角度来看,最有用的是来自威胁情报的问题和理解。将威胁情报报告(无论是外部的还是内部的)分解成不同层次的细节,可以降低利用威胁情报进行猎杀的要求;实现这一目标的方法之一是不完全关注报告中描述的技术指标,而是衍生出对威胁环境趋势的更广泛的理解。举例来说,在建立Hunt的背景下,知道威胁行为者AAA在日期EEE从IP地址FFF启动时,使用文件名为BBB的PowerShell脚本对行业CCC中的目标进行攻击,对我来说可能不如更广泛的理解 "攻击者继续使用PowerShell进行攻击 "有用。
2.进行Hunting
当分析师谈论威胁猎杀时,他们往往关注Hunt的中间环节 - 检索数据、处理数据和调查数据的阶段。这也是Hunt过程中记录最详实的部分。
- 收集用于Hunt的数据 - 这个步骤极其重要,因为它直接影响到后面的一切。
- Hunt是一个创造性的过程。一个人的抽象思维、挑战想法、不怕失败的能力,会比那些每次都用同样方式做的人获得更多的知识和突破。在应用Hunt技术时,创造力的概念变得非常重要 - 有这么多技术可供选择(基于文本的搜索、可视化、机器学习算法等)。
3.结束Hunting
Hunt的目标是扩大威胁检测的覆盖面(无论是通过识别新的机会还是改进现有的机会)。如果没有这一点,Hunt工作很可能不会对组织产生持久的影响。
往期精选
围观
热文
热文
天御攻防实验室:
专注威胁感知、威胁猎杀、高级威胁检测,Adversary Simulation、Adversary Detection、Adversary Resilience
天御蓝军:
全球高级威胁研究与对抗
↑↑↑长按图片识别二维码关註↑↑↑
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论