序言
序言
安全运营中心的主要功能就是检测安全威胁。安全工具,例如扩展检测和响应以及 SIEM,有助于识别可疑或恶意活动并向SOC分析师提出,然后由他们确定活动的有效性和严重性并定义适当的响应操作。这些任务的有效性决定了一个关键的安全指标:平均检测时间。
应对威胁是SOC 的次要功能。响应通常通过事件后修复所需的平均时间或MTTR来衡量。MTTD 和 MTTR 之间的联系很明确:越快识别威胁,就能越快对其做出响应。
威胁检测和响应计划最初应侧重于检测受监控系统和网络中的威胁。对这一步提供了全面的可见性、高级分析和能够扩展大量数据并因此改进 MTTD 指标的分析引擎。
然而,成熟的威胁检测和响应计划不仅仅是简单地识别威胁,而是跟踪特定于威胁背后参与者的指标。
下面谈谈 SOC 团队在跟踪威胁参与者时应考虑的一些因素。
如何理解威胁
以下可被视为威胁:
漏洞利用:例如Log4Shell、SQL 注入和 CVE;
战术:例如侦察、横向移动和指挥与控制;
目标:即勒索软件、数据泄露和商业电子邮件泄露。
任何参与者都可以使用威胁,并且多个参与者依赖于相同的威胁。
SOC团队应触发对上述威胁的检测,因为它们可能会影响组织的运营,并且通常没有合法用途。一旦建立了触发检测,威胁检测程序就可以开始超越威胁,了解使用这些威胁的参与者的周围特征和行为。
网络安全专业人员使用入侵分析钻石模型来演示攻击者如何利用基础设施中的功能来瞄准受害者。
如何理解威胁参与者
了解威胁参与者很复杂,但可以在威胁检测和响应方面产生巨大的回报。可以使用入侵分析的钻石模型跟踪和理解特定于参与者的指标。
它记录了四个不同的顶点:对手、能力、基础设施和受害者。
对手
对手一词用于描述攻击者的独特特征。示例包括脚本和恶意软件中的加密钱包地址或商标。通过了解这些指标,安全响应者可以更有效地检测和响应威胁。指标需要适当加权,因为大多数是低保真度的调查触发器,不适合自动检测。然而,当智能应用时,它们可以帮助分析。
能力
能力用于描述对手青睐的战术、技术和程序 (TTP)。通过了解受青睐的 TTP,SOC 知道下一步该去哪里进行检测以及攻击者的下一步行动可能是什么,从而使 SOC 能够使用有针对性的缓解或遏制响应行动来破坏攻击。
能力顶点还着眼于对手的目标。通过了解妥协的预期最终目标,攻击者可以被击败——例如,通过关注勒索软件参与者的横向移动或如果数据泄露是目标,则审查数据库访问。
全面的响应行动确保妥协得到整体解决,而不仅仅是被视为妥协的症状。
基础设施
基础设施描述了用于传递 TTP 的内容,例如 IP 地址、电子邮件地址或域。通过了解基础设施,SOC 可以监控连接并捕获以前可能未知的零日漏洞或脚本。当执行威胁搜寻的分析师定期手动审查捕获的数据包时,监控基础设施已对零日漏洞和新兴漏洞提供早期预警。
受害者
受害者是指目标对象或对象。通过了解攻击者所针对的组织或系统的类型,SOC 成员可以采取适当的预防措施为他们做好准备。
跟踪威胁背后的参与者是一项艰巨的工作,只能由希望增强其威胁检测和响应能力的成熟 SOC 执行。如果操作正确,SOC 可以显着降低关键的 MTTD 和 MTTR 指标,甚至可以从一开始就防止发生妥协。
结束
原文始发于微信公众号(安全架构):SOC识别和检测威胁信息
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论