威胁狩猎(Threat Hunting)也被称为威胁猎捕、威胁搜寻等,是一种重要的主动安全防御方法与过程,通过主动、持续地分析入侵痕迹,捕获正在进行的入侵,从而缩短攻击驻留时间,阻止攻击者完成其攻击目标,降低攻击对业务造成更大损害。
威胁狩猎有一个重要的前提,那就是无法百分百阻止安全攻击的入侵,并且高级别攻击隐蔽性、潜伏性比较强,甚至个别情况下检测设备也没有产生有效告警,这时就需要威胁猎手在适当时候、适当条件下去进行更广泛、更深入的威胁猎捕活动。
正因如此,威胁狩猎属于安全成熟度模型的主动防御阶段,强调人为驱动依据数据、情报、资产线索进行主动分析挖掘,而非简单地对已经发生的安全事件进行调查与响应。与一般安全运营人员相比,威胁猎手通常需要对安全攻击具有更强的敏感性,并且具有更丰富的安全攻防知识与技能。
相比于安全监测与事件调查响应,威胁狩猎更加关注威胁行为背后的人,威胁方发起威胁行为必须具备意图、能力和造成损害的机会三个要素,威胁猎捕重点关注这三个特征,进而在网络环境中搜寻威胁对手,以能够尽可能提前进行威胁预警以及事件处置止损。
很多组织威胁狩猎水平并不乐观,高级威胁攻击(APT)的检测与响应时间可能长达几个月甚至一年,因此威胁狩猎需要比事件调查响应的介入时间更加前置,以便能够有效地提高遏制攻击伤害速度,此外还应该帮助组织减少攻击面与暴露因素。
简单来讲,威胁狩猎需要设定具体目标,合理地进行条件假设,利用专业知识、经验与工具才能完成。因此,推动威胁狩猎成熟度,核心要素是“专业人员+数据”。除此之外,搜索与可视化、数据上下文丰富化、自动化,同样是非常重要的要素。
威胁猎手可以是安全运营团队一部分,也可以作为一个单独职能存在,部分威胁猎手也可能扮演安全运营+威胁狩猎的双重角色。无论与安全运营团队何种关系,威胁狩猎团队应与网络与安全团队通力合作。威胁猎手需要充满激情与好奇、充分了解威胁形势和组织,善于利用多种安全分析工具,能够富有创新性地提出问题并寻找答案。
威胁猎手需要查看大量数据,以便能够从海量单一的片段数据中,揭示威胁行为的关联关系。如果收集的数据不足,无论多少经验丰富的威胁猎手,多么昂贵的专业工具,都无法发挥作用。威胁狩猎不但需要安全告警数据,还需要应用、主机、网络层面的日志数据,以及威胁情报等外部相关数据。当然这些数据的收集不是盲目的,需要具有丰富的网络攻防与威胁狩猎经验的输入,来作为知识库指导数据的收集。
在威胁猎捕工具方面,威胁狩猎并不存在万能的单一工具,SIEM、SOC、UEBA、SOAR等安全运营平台同样适用,其中的搜索与可视化、数据上下文丰富化、自动化都是很好的功能。除此之外,威胁猎手也会根据自己喜好编写脚本或者研发工具,甚至可以直接使用成熟的SaaS服务。或许威胁猎手使用工具更加广泛与深入,但这并不是威胁狩猎与日常安全运营的本质区别,最为根本的是二者使用工具的目标与出发点是不同的。
研究机构SANS将威胁狩猎成熟度分为Ad Hoc Search、Statistical Analysis、Visualization Techniques、Aggregation、Machine Learning/Data Science五个阶段,而安全厂商splunk针对不同成熟度阶段,给出的工具分别为enterprise、es、 uba等。由此可见,威胁狩猎并非一个功能或平台,而是一种职能以及过程。
以国内的安全市场环境,“威胁狩猎”这么好的宣传噱头,不包装成产品实在是不太明智的。如果非要形成平台或功能,在上文中提到的关键点之外,应该对攻击对手、攻击事件过程以及攻击趋势进行分析。
攻击对手分析包括攻击者画像、历史攻击行为、攻击者习惯的技战术等;攻击事件过程包括攻击时间维度、阶段维度、技战术维度的分析等;攻击趋势包括威胁情报/漏洞维度、保护对象维度的研判分析等。
总之,威胁狩猎伴随着安全运营的的存在而存在,并随着安全运营水平的提高而深入。
作者:李鹏飞(转载请获本人授权,并注明作者与出处)
欢迎加入知识星球
![威胁狩猎不是新兴事物,它只是一直在不断发展]( "威胁狩猎不是新兴事物,它只是一直在不断发展")
阅读更多文章▼▼
原文始发于微信公众号(微言晓意):威胁狩猎不是新兴事物,它只是一直在不断发展
评论