前言
本文是对AIMOD2[1]的翻译。字数1.7w字。
文章目录
-
什么是对抗性拦截、面向任务的发现和破坏?
-
对抗性
-
拦截
-
任务导向
-
拦截
-
破坏
-
什么是威胁狩猎任务
-
威胁狩猎任务的三个层次
-
操作层
-
递归层
-
分析层
-
CAPEO:收集-分析-计划-执行-结果
-
收集
-
分析
-
计划
-
执行
-
结果
-
任务发现与结果
-
威胁狩猎数据语义
-
语义链:DAIKI
-
DAIKI和影响
-
DAIKI阶段
-
威胁狩猎任务类别
-
DAIKI应用于威胁狩猎任务
-
探索性数据分析(EDA)
-
基于假设的行动(HBO)
-
威胁情报驱动行动(TIO)
-
破坏性紫队行动 (DPO)
-
外部攻击向量发现
-
ADACOP 简介
-
框架设计原则
-
战术领域:发现与破坏
-
发现
-
破坏
-
战术领域:设计与防御
-
防御
-
设计
关于AIMOD2
AIMOD2是对威胁狩猎、数字取证、事件响应、军事理论、复杂性理论、数据分析和决策理论进行了三年的研究的结果。该框架旨在在不确定性和复杂性的背景下捕捉主动防御和网络弹性的努力。AIMOD2是一个模块化框架,结合了其他框架或模型的元素,借鉴了多学科的方法
-
CAPEO:定义威胁狩猎任务结构。 -
ADACOP:用于网络操作领域的操作性意义生成。 -
CYNEFIN和OODA:用于整体感知和决策。随着AIMOD2的进一步发展,将添加更多元素到框架中。
什么是对抗性拦截、面向任务的发现和破坏?
对手拦截任务导向的发现和破坏框架,即AIMOD2,是一种结构化的威胁狩猎方法,旨在主动识别、应对和防止网络威胁,从而拒绝或减轻对组织的潜在损害。AIMOD2的核心概念包括:
对抗性
该框架将网络冲突置于其章程的核心位置,因此,它努力从攻击者和防御者的角度思考和建模网络威胁。能够建模攻击路径(如MITRE Attack Flow框架所描述)并将对手的技巧融入到威胁狩猎任务的概念化中,有助于猎手专注于相关背景下的目标。当在任务中添加威胁模拟或紫队方法时,该框架的对抗性方面得到了增强。
拦截
拦截是指对一个代理人或对象的轨迹或行动进行破坏的一种类型。它假设威胁行为者采用了一些模式,因为没有人能免除这些模式,这些模式最终会成为塑造特定行动的趋势。因此,拦截的目的是阻止或破坏事件链的进展。这可以在各种情境下实现,例如拦截由C2传输的加密消息,或者拦截正在进行的网络钓鱼活动以阻挠其成功。
任务导向
AIMOD2中的所有内容都是任务。威胁狩猎任务是一个语义和操作单元,它围绕主题、主题、威胁行为者等来组织威胁狩猎工作。
拦截
将信息连续合成到不同的抽象层中,以帮助发展上下文意识和洞察力。发现领域的特点是同时对已知和未知领域进行侦察。发现活动涉及数据分析。
破坏
破坏的目标是打破对手通过有意训练或环境限制导致的重复记忆的模式。破坏是采用策略来使对手不稳定,以至于破坏其形成,导致即将失败。在网络作战中,破坏发生在对手的能力受到严重损害,被迫陷入混乱状态,而在试图恢复平衡时,操作成本很高。这种混乱状态为实现防御任务目标打开了机会之窗。
威胁狩猎任务
什么是威胁狩猎任务
威胁狩猎任务是一种语义和操作单元,它围绕特定主题、主题、威胁行为者等来组织威胁狩猎工作。
-
任务代表了一段时间的单位,通常在敏捷框架中以冲刺为度量标准。 -
狩猎任务是迭代的,可以进行改进,并根据需要执行多次。 -
狩猎任务理想情况下是集体努力,至少有两名猎手参与设计、开发和执行。 -
狩猎任务有明确定义的“任务负责人”,其角色是定位和推动任务目标。任务负责人对任务负责始终如一。 -
狩猎任务是虚拟结构,可以整合来自其他团队的资源,这些团队通常不仅专注于狩猎:SOC分析员、DFIR专家、紫队或红队成员等。 -
最后但并非最不重要的是,狩猎任务构成了一种迭代的创新方法:在任务开发过程中进行的研究可以迅速成为新的服务线或产品提供。
威胁狩猎任务的三个层次
威胁狩猎任务可以描述为三个相互关联的不同层次。这些层次中的每一个都可以并行或按顺序进行开发,但这三个层次对于成功执行狩猎任务是必要的。随着威胁狩猎任务的进行,每个层次都会生成特定类型的工件,这些工件捕捉了狩猎活动的演变过程。
操作层
在这层,我们监控狩猎任务的进展,包括谁、什么、为什么和如何。在这里,狩猎任务以组件的形式表示,帮助安排和监控其演变过程。这个层次帮助我们通过将狩猎任务分解为各个阶段和任务来组织它。AIMOD2在运行操作层面时采用的框架是敏捷方法,具体实施是SCRUM。我们在这个层次上追踪的活动类型包括:
-
狩猎任务的布局,包括各个阶段和任务 -
任务责任和整体狩猎进展 -
响应或破坏行动:对可疑事件(潜在的安全事件)、威胁情报可观测量(TIO)或安全控制风险的升级等
关联的工件:史诗、故事或任务。
递归层
在这层,我们从狩猎中获取上下文信息和数据洞察力,并将它们封装在可以复制和重复的工件中。威胁狩猎是一个迭代的过程,我们的狩猎和研究成果需要以可复制的格式记录下来,以便实现持续改进。我们改进狩猎任务的方式是通过手动或自动化的方式进行迭代。
关联的工件:威胁狩猎手册、迭代分析(仪表板、存储查询和警报、自动化脚本)
分析层
在这层,我们捕捉狩猎任务迭代的可衡量结果。这次狩猎的结果是独特的,代表了某个特定时间点的快照。在这个层次上,我们希望产生一个捕捉高级指标和记录观察到的风险的工件,通常以报告的形式呈现。还有其他有助于了解狩猎任务结果的工件:例如迭代速度和规模的元数据、狩猎结果的比较影响等,这些可以提供关于我们网络狩猎工作质量和增值的指示。
关联的工件:报告(狩猎的快照)、指标、通信。
CAPEO:收集-分析-计划-执行-结果
AIMOD2为其所有任务操作定义了一组阶段,称为CAPEO:收集(Collection)、分析(Analysis)、计划(Planning)、执行(Execution)和结果(Outcomes)。
收集
确保将威胁情报收集到威胁情报平台(TIP)中,并建立适当的通信渠道,使其对利益相关者可用,并突出显示重要或相关的网络威胁。
分析
分析阶段涉及一系列任务,用于对狩猎任务进行预评估和高级检查。它并不意味着对主题进行完整的调查。
初始研究
进行初始研究。在未来的网络威胁狩猎中,将制定一种系统的方法来对特定主题进行初始研究,但目前的过程将基于安全分析经验、开放源情报(OSINT)和已获取的研究技术。
至少,研究过程应捕捉当前文献对特定战术、技术或过程的描述。这涉及参考材料,如在线文章、现有文档、代码存储库等。
进行可行性评估
评估拟议的威胁狩猎主题的可行性和可行性。这涉及考虑不同因素,如数据可用性、可用信息的质量、技能集、资源限制和时间表等。在威胁狩猎成熟度的初期阶段,该过程将更多地基于启发式和威胁对组织的重要资产、重大漏洞或新兴威胁的相关性的判断。在威胁狩猎成熟度的早期阶段,没有系统的方法。
定义过程威胁狩猎团队应该制定威胁狩猎优先级模型,制定一种系统的方法来进行可行性评估,以确定主题是否符合狩猎任务的要求。
业务和技术负责人的确认
在分析阶段,重要的是确定与资产、服务或应用程序的业务和技术联系相关的文件。如果在狩猎范围和资格认定过程中涉及这些领域的问题,这些信息可能会证明很有用。
识别与其他团队合作的要求
在某些威胁狩猎任务中,为了实现预期的目标,可能需要与其他团队进行合作,无论是在网络安全垂直领域内还是在外部。为了确保成功的合作,重要的是在威胁狩猎阶段的早期阶段确定和评估这些要求,确定其他团队所需的参与程度和预期的可交付成果。如果与其他团队进行合作是实现任务目标所必需的,分析阶段应仔细评估并记录这些要求。
计划
指定任务负责人
威胁狩猎团队将指定一名任务负责人,负责狩猎任务的全面交付。
评估和定义范围
根据分析阶段的结果,必须确定狩猎操作的范围:
-
确定战术目标。目标代表我们任务中必须实现的目标,以实现我们的目标。这些战术目标将作为高级主题,狩猎团队将通过进一步的研究、调查或侦查来深入了解。 -
为狩猎的持续时间分配预期时间。这作为了解完成狩猎所需的迭代要求的基础。此外,它将稍后以两个不同的指标捕捉,即“总狩猎持续时间”,代表从初始研究到发布报告的总持续时间,以及“执行阶段持续时间”(通常不超过总狩猎持续时间的75%,以便将狩猎总持续时间的四分之一分配给报告撰写)。
确定狩猎小组的组成
-
任务负责人的任务是引入所需的资源,以实现任务目标,即指定一个或多个威胁猎人成为狩猎小组的一部分。 -
应联系成员并表达参与意愿。 -
完成以上步骤后,威胁狩猎小组将形成。
设置小组通信渠道
任务负责人应根据组织的最佳实践建立适当的通信渠道。这些渠道应用于快速的日常信息共享,并被视为任务协调的中心渠道。狩猎操作可以被赋予一个代号,以使事情更有趣或有趣,但它仍然需要符合命名规则。例如:“EAVD01 - Barracuda Muffin”或“EAVD01 - Phishing Campaign Interception”(其中EAVD代表外部攻击向量发现)。有关狩猎操作的具体内容的通信应在此聊天渠道中进行。其他成员可以根据需要被邀请参与。
在敏捷/Scrum中正式制定行动计划
-
根据战术目标制定行动计划 -
根据您的敏捷或迭代管理软件组织计划的结构
执行
发现
发现是与发现战术领域相关的网络防御的关键活动。在我们的探索阶段,我们的目标是执行以下活动:
-
数据源发现:了解与狩猎操作相关的数据源,以获得最佳结果,包括数据在哪里、数据类型和模型等。对于这方面的知识可以在整个狩猎过程中进一步发展。 -
识别相关的利益相关者:可以提供关于我们狩猎主题的重要信息或支持的人员,例如业务负责人、技术支持团队等。 -
查找可用的基础设施知识:体系结构图、知识库文章、政策、流程等,这些可以帮助我们了解与我们的狩猎工作相关的人员、流程和技术。 -
调查以前的安全数据:任何相关的安全事件工单、渗透测试/红队报告、风险或相关信息,这些可以提供关于以前的安全事件、漏洞或整体风险的见解。 -
对数据进行查询:运行有系统性的查询,以帮助您在实现任务目标方面取得进展。 -
数据收集:数据收集是发现战术领域的另一个关键活动。数据收集是一项持续的活动,为我们所有的狩猎工作提供信息。一些需要考虑的活动包括: -
在CRM或系统中记录临时发现的结果。 -
从有见解的数据查询中收集可用的证据,并确保为Playbook的开发和战场情报进行标记。
破坏
破坏活动是破坏战术领域的重要组成部分。术语“破坏”指的是有意拦截网络对手,具有两个主要的战术目的:拦截和迫使。
-
通过应用数据分析技术来拦截异常行为,区分信号和噪音。 -
升级可疑活动(SEOI),以便下游团队可以根据我们的事件响应计划迅速采取行动,遵循升级流程。 -
提高紧急可见性的缺口:如果日志中断影响我们的狩猎或检测对手行动的能力,需要按照可见性缺口流程提出。 -
隔离终端或帐户:如果观察到活动威胁正在展开并且已确定资产,立即与您的DFIR团队联系,评估威胁遏制技术。
结果
一次威胁狩猎完成后,会产生一些结果。在狩猎后阶段,这些结果会以三种不同的文档形式进行记录:
-
威胁狩猎Playbook:结合了研究文档和代码示例。Playbook是一个数据分析故事。最好的模型是应用于数据科学研究的Jupyter Notebooks。威胁狩猎Playbook是一个迭代的成果,随着每次相同狩猎任务的迭代而改进。Playbook不关注指标。 -
威胁狩猎报告:报告是狩猎任务迭代中结果的快照。报告是指标的容器,我们应该在这里捕捉狩猎任务的不同运营指标。 -
沟通:一旦报告和Playbook创建完成,威胁狩猎任务需要以故事的形式向目标受众进行沟通。沟通通常以电子邮件或新闻通讯的形式分发。它们至少应该传达狩猎任务的背景,即是什么促使了它,以及调查结果的摘要。我们越是通过我们的发现讲述一个故事,它们就越容易记住,即使没有作为狩猎结果发现安全事件。
在任务发现和结果部分,我们介绍了作为威胁狩猎任务结果应该捕捉和沟通的实际发现。
受众:重要的是要确定应该成为目标受众的利益相关者。他们将是您狩猎发现的主要接收者。努力识别那些能够将您的发现转化为可行动信息的利益相关者,以便您的发现将有助于改善组织的整体安全状况。
任务发现与结果
关于威胁狩猎,人们最常犯的错误在于认为它仅仅是“寻找失陷迹象”。如果您没有发现可疑活动,那么威胁狩猎努力就失败了。但狩猎远不止于此,威胁狩猎是通过应用于攻击向量破坏的发现活动来创造积极的风险影响。它旨在通过减少攻击面来提高组织的风险暴露。事实上,根据目标环境的成熟度,80%至90%的时间您不会发现“邪恶”。但这并不意味着您找不到“风险向量”。您揭示了哪些安全控制问题?您识别了哪些可见性缺口?您遇到了哪些检测机会?您找到了哪些威胁情报可观察项?您如何扩展与组织相关的领域或主题的知识图?您为SOC或IR团队创建了哪些新的分析能力?
AIMOD2定义了威胁狩猎团队在威胁狩猎任务中可能揭示的6个初始发现类别。威胁狩猎团队很少会无法填充至少一种这些发现类别。
可见性差距:是否存在数据收集或解析差距,阻止您的组织识别潜在威胁?
安全控制问题:您是否发现任何安全控制层存在缺陷,这些层旨在防止网络威胁?
检测机会:您是否发现了检测网络威胁的新方法,应将其转化为检测器、签名或用于异常机器学习模型的特征工程?
狩猎机会:在狩猎任务过程中,您是否发现了迄今未识别的相关狩猎主题?
可疑安全事件:这是大多数威胁狩猎团队努力寻找的经典发现,即指向可疑活动的数据模式,应向SOC和IR团队报告以进行进一步调查。
感兴趣的威胁情报事件:您的狩猎工作可能会导致扩展关于某种策略、技术或程序的知识图,这些新节点可能是可观察项或有趣的信息,可传递给威胁情报团队或自动化流程。
数据语义
威胁狩猎数据语义
威胁狩猎框架经常被忽视的一个方面是对数据符号学和语义学的处理,即从数据中产生意义和提取含义的结构是什么。威胁狩猎最终是数据科学和网络安全的结合。
数据语义学是解释数据的能力,以获得对底层关系和模式的更深入理解,这可以为数据集提供更高级别的洞察力。这是AIMOD2框架的核心概念,因为它有助于揭示数据背后更深层次的关联性。
然而,威胁狩猎框架将其数据语义明确描述的另一个原因是为了描述带来不同狩猎类型的差异因素。
语义链:DAIKI
一些威胁狩猎框架按触发器(即哪个团队或流程触发了特定的狩猎)来划分狩猎类型,另一些按数据类型来划分,例如网络数据与终端数据。所有这些方法都会导致令人困惑的狩猎结构,并忽视了威胁狩猎的真正目的:从数据中提取意义,并设计出识别行为模式的方法。在这方面,威胁狩猎与数据科学方法没有什么不同。
对于AIMOD2而言,狩猎类型是通过我们在从数据到洞察力的路径中开始数据分析的位置来区分的,即从原子的、不相关的数据点到高度相关的、基于洞察力的影响的路径。我们将这个模型称为DAIKI:数据(Data)-> 信息(Information)-> 知识(Knowledge)-> 洞察力(Insight)。这个模型是对已知的DIKW金字塔[2](数据、信息、知识和智慧)的改编。
DAIKI和影响
任何威胁狩猎任务的目标都是产生影响。AIMOD2是以任务为驱动因素的,因为它是以影响为驱动因素的。影响可以定义为活动、事件或决策对组织弹性产生的效果。在网络威胁狩猎中,我们的目标是减轻威胁并帮助降低组织的风险暴露,从而增强组织的弹性。
但是影响与数据语义有什么关系呢?AIMOD2认为,影响是由威胁狩猎团队在语义链的每个层级上产生的。然而,你在语义链中越往后产生结果,对组织提供的影响和附加值就越大。同时,你从语义链的越后面开始你的猎捕任务,就越容易将结果推进到洞察阶段。
将团队的焦点限制在原子和不相关的数据上,例如使用哈希算法扫描环境,与团队利用威胁情报衍生的综合知识相比,并不能产生相同的影响。
DAIKI阶段
从低度连接的数据到高度连接的洞察力的推进,是由组织中的一个或多个团队进行的一系列综合操作驱动的。连接不同阶段的过渡状态意味着从中提取意义,从而彻底改变信息的质量。
信息可以被描述为具有上下文的数据,知识是解释后的信息,洞察力是吸收的知识,成为一种新的行为和思考方式。这些过渡状态由什么(数据到信息),为什么(信息到知识)和如何(知识到洞察力)所主导。
推动每个阶段的过渡的是有限适用性的概念,这个概念借鉴自[Cynefin复杂性框架](https://cynefin.io/wiki/Cynefin_Domains “”),我在这里已经多次提到过,这里[3]和这里[4]。Cognitive Edge的术语表将有限适用性定义为:
不同和矛盾的事物在不同的有限空间中起作用的概念
换句话说,没有无上下文的情况。在DAIKI中,当从一个阶段过渡到下一个阶段时,我们会做出选择,这些选择意味着我们关注某些数据集,而不是其他数据集,并选择导致特定解决方案的模型,而不是其他模型。在这个过程中,我们舍弃了一些情景,并限制了我们处理的数据量。
威胁狩猎任务类别
DAIKI应用于威胁狩猎任务
如果我们记住网络威胁狩猎是将数据科学应用于发现和打击网络威胁,那么使用DAIKI来清晰地解析威胁狩猎过程中的数据分析方法是有意义的。DAIKI可以用来区分威胁狩猎任务类型,取决于它们在语义链的哪个阶段操作。因此,根据我们所处理的信息连接程度,有四种主要的狩猎方法:
探索性数据分析(EDA)
这些任务类型从我们的数据语义链的最底层开始,它们的目的是帮助我们理解“什么”:我们正在处理的数据是什么,它是结构化的还是非结构化的,数据的形状是什么样的,它的基本组成部分是什么,收集数据的情况如何,收集数据时涉及了哪些过程等等。大多数狩猎任务都有一定的探索性数据分析阶段。从这个意义上讲,威胁狩猎团队的运作方式与数据科学团队非常相似。
想象一下,您想了解一个组织是否有日志记录,以提供关于使用Microsoft O365 Exchange套件进行数据外泄的证据。
首先,您需要了解该组织如何整体记录数据(是否有SIEM,是否有数据湖,是否有任何日志保留政策,是否在O365租户级别启用了日志记录等),然后探索数据可能存储在哪里,如何解析和存储数据,提供了什么级别的细节。在研究过程中,您可能会遇到O365统一审计日志。UAL是一组复杂的嵌套日志结构,您需要弄清楚每种日志类型的含义,以及如何记录用户活动,最常见的活动类型与较少观察到的活动类型有哪些等。
根据手头数据的复杂性和分析所采用的技术,这个努力本身可能会成为一次完整的狩猎任务,为了准备第二次任务的迭代,你将对数据结构有更深入的了解,从而帮助你实现任务目标。
一旦你对数据进行了初步处理,你不仅会得到数据,还会开始从这项初步工作中积累知识,并且能够更好地将你的搜索任务转变为基于假设的操作。
有很多方法可以探索您的数据。最初,AIMOD2认为EDA的两个子类型是:基线和机器学习辅助建模(例如,无监督聚类算法如k-means)。我们将在AIMOD2的后续版本中定义这些子类型。
定义过程:威胁狩猎团队应该为EDA猎取任务中的数据进行统计、可视化、机器学习辅助和通用手动检查定义一个过程。这个过程不应过于详尽和极其详细,但至少应概述在数据基线化过程中最有用的不同方法,并根据组织中可用的技术确定最佳实现方式。
基于假设的行动(HBO)
当我们对正在处理的数据有一定的背景了解,但缺乏足够的情境意识将这些数据整合到威胁行为者档案和威胁可能性中时,我们需要根据低到中等置信度的假设情景来集中我们的搜索努力。
为了驱动基于假设的场景,我们应该已经回答了数据的“什么”。我们现在对手头的数据有了更全面的理解。基线、统计、聚类和手动检查技术给了我们对数据更一致的想法。
在这一点上,我们更有可能提出一个假设,我们有很大的机会得到答案,因为我们对底层数据结构有一些基本的了解。
这些狩猎任务涉及根据从各种数据源收集到的对抗性商业技巧信息制定和测试假设或理论。基于假设的狩猎的成功关键在于概念的情境意识:
-
了解行业知识,以了解哪些威胁最有可能针对您的业务 -
基础设施意识,了解自身的优势和劣势,例如某些网络段中是否存在未打补丁的服务器?哪些系统有控制例外?云和容器遥测的状态如何? -
安全控制的意识:我们的环境中部署了哪些技术,不同的控制堆栈由谁拥有? -
风险管理知识:组织中的风险框架是什么?由哪些团队进行管理?风险如何报告,风险矩阵是什么样的? -
威胁情报,了解威胁环境以及根据地缘政治和技术手法因素确定与您业务相关的威胁行为者 -
技术领域,了解哪些新兴技术可能挑战您的网络防御模式
上述数据为这些狩猎类型提供数据,并可以由组织中的同一团队或不同团队在不同层次上进行整理。威胁狩猎团队需要根据启发式或明确的资格规则综合这些数据,以帮助突出最相关的主题进行关注。
有很多方法可以执行基于假设的操作。最初,AIMOD2认为HBO的两个子类型是:基于假设的狩猎和攻击向量发现。我们将在AIMOD2的后续版本中更详细地定义这些子类型。然而,在高层次上,我们可以说:
-
假设驱动的狩猎。他们运用启发式和对威胁环境的基本了解,构建值得追踪的可信攻击场景。我们还没有达到知识的阶段,因此我们缺乏威胁情报团队或专门第三方所能提供的信息处理能力。
-
攻击向量发现。攻击向量发现与攻击路径建模和受控攻击路径密切相关(我在这里[5]和这里[6]都提到了),它是一项基于假设的任务,我们的目标是识别可能影响组织的攻击行动的早期迹象。一个例子是在它们启动之前寻找钓鱼活动(通过新域名注册分析、克隆网站识别、DOM哈希相似性等)或者无意中被网络犯罪分子泄露的恶意软件变种,这些可以提醒我们有新的针对我们业务的恶意软件。攻击向量发现任务充分利用了网络犯罪分子也会犯操作安全错误的概念。我们的工作是利用这些操作安全错误来获取优势。
定义流程:威胁狩猎团队应该为信息收集、优先级排序和综合定义一个流程,以便将其转化为具有上下文的知识和可操作的洞察力。
注意:要明确的是,所有的威胁狩猎任务都是基于假设的操作的某种子类型。任何狩猎行动都有一个根本的假设,即假设遭到入侵。但除此之外,威胁狩猎是关于发现未知的事物,假设通过利用数据分析和其他技术(如欺骗)可以了解它。
威胁情报驱动行动(TIO)
这是行动威胁情报至关重要的领域。威胁情报通常代表已经处理成知识或洞察力的更高级别数据。在这个阶段,我们的威胁狩猎工作可以采取更高回报率的方法,因为大部分相关信息的可靠性已经由威胁情报功能(可能是与威胁猎人所在的团队相同或不同的团队)建立起来。
AIMOD2定义了TIO的三种基本子类型:
-
威胁情报狩猎。也被称为“战术情报猎取”,这是由威胁狩猎团队执行的敏捷任务,旨在分解威胁报告(无论是来自CTI团队还是其他来源,如红队行动),并对我们的数字环境中的威胁指标进行积极评估。通过获取相关的威胁指标(行为和原子级别),在我们的数字基础设施中进行搜索以寻找任何匹配项,并最终通过这次评估获得的扩展知识来丰富我们的威胁情报平台。 -
攻击建模。作为威胁建模的一个子集,我们在这里感兴趣的是理解攻击链和TTP之间的关系。攻击建模只能在语义层面上进行,因为我们需要经过提炼的威胁情报和对可行攻击路径的实际知识(例如,通过红队行动或渗透测试报告)。 -
欺骗性行动。威胁狩猎是网络欺骗的驱动力。作为周密的网络欺骗策略的一部分,这些任务将帮助规划策略的参与方面,遵循像MITRE ENGAGE[7]这样的行业最佳实践。这些任务还将旨在部署诱导和诱饵系统,并根据可用的威胁情报和攻击路径模型制定专门的诱饵系统。
破坏性紫队行动 (DPO)
在认识论层面的洞察力上,要真正开始寻找威胁是极其困难的。洞察力意味着已付诸实践并内化为行为的具体知识(这些行为反过来又为我们的安全控制和风险状况提供信息)。
然而,紫队联合行动通过将红队的洞察力与蓝队的防守知识相结合来实现这一目标,红队可以制定真实的攻击路径,进入组织的核心资产,而蓝队则提供了防御方面的知识。
威胁狩猎任务类型
外部攻击向量发现
标准的威胁狩猎活动通常侧重于内部攻击向量,从“假定遭到入侵”的立场出发,在组织系统中寻找威胁指标(基于原子、行为或异常)。与此相反,外部攻击向量发现是一种威胁狩猎任务,旨在在对我们组织产生重大影响之前发现外部威胁。我们不再假定遭到入侵,而是假定威胁行为者有意图,这意味着我们假定威胁行为者将首先建立操作基础设施来进行有针对性的攻击,并积极对我们的边界进行侦察。此服务有三个目标:
威胁猎捕的标准方法通常侧重于内部攻击向量,采用“假定遭到入侵”的立场来识别组织系统中的威胁指标(原子、行为或异常基础)。与此相反,外部攻击向量发现代表了一种积极主动的方法,旨在在威胁对组织造成可察觉的伤害之前揭示外部威胁。与假定入侵不同,这种方法假定威胁行为者有意图,并将努力集中在对抗性操作的两个重要方面上:
-
网络犯罪分子确实会犯OpSec错误,他们的操作人员并不总是同样熟练,他们遵循的操作程序也可能存在问题,我们的目标是利用这些操作安全错误。 -
我们假设威胁行为者将首先建立运营基础设施,以进行有针对性的攻击活动,并积极对我们的边界进行侦察。
我们的目标是在对手行动发展的早期阶段拦截并破坏他们的努力。这些狩猎任务的主要目标是:
-
寻求积极识别针对组织客户和员工的可能性极高的外部威胁 -
试图拦截正在逐渐增长势头的钓鱼活动和恶意软件变种,他们以针对组织的客户和员工为目标。 -
利用威胁行为者OpSec的错误,揭示对手的意图和基础设施
为了实现这些目标,我们将利用能够提供对可信数字表面之外发生情况的洞察力的工具和服务,以及传统的SIEM和EDR遥测。
注意:在AIMOD2的未来版本中,我们将对上述提到的所有狩猎任务子类型进行定义,目前我们提供了对外部攻击向量发现的定义,这是解释攻击向量发现狩猎的一种方式,也是威胁情报驱动行动(TIO)的一个子类型。
基础:主动防御对抗性网络行动
主动防御对抗网络行动框架(ADACOP)是一个用于理解和分析主动防御不同领域之间关系的框架。ADACOP描述了四个战术领域,分别是:设计、发现、破坏和防御。ADACOP是AIMOD2的基础框架之一,因为它提供了一个帮助主动防御者理解战场的感知设备。ADACOP旨在构建整合被动和主动防御方法的问题空间。我们以德勒兹的问题空间概念为基础,将其视为一个生成空间。要更好地理解这一点,您可以在我们的threathunterz博客文章[8]中查看。
ADACOP 简介
框架设计原则
ADACOP旨在作为一组松散耦合的实用领域来使用,以帮助描述网络防御行动的战术活动。网络防御行动的战术框架应关注能够描述参与环境并为实际行动提供指导的行动类别。构建这个框架时,我尝试遵循的设计原则是:
-
抽象而非具体化。框架无需关注具体实现的细节。通过这样做,它保持灵活性,适应多种应用方法。 -
描述性而非规定性。该框架的目标不是规定要做什么,以及以何种顺序进行。相反,它旨在提供一个描述性的地图,帮助组织、团队和个人了解他们正在防御或利用的战术行动的各个方面。 -
多功能而不是单功能。该框架可以用于理解防御性网络行动和攻击性网络行动。这意味着该框架可以用来描述对抗性行动,无论是从攻击者、防御者还是同时从两者的角度来看。在这样做的过程中,我并不是在帮助威胁行为者,而是在质疑仅仅关注保护方面、忽视现实攻击性安全场景的天真态度。 -
简单而不是复杂。该框架的目标是尽可能简单(但不是过于简单,也不是“简单化”),避免通过过度限制自身的结构来过度确定其潜在应用。我们希望促进新事物的出现,为此,我们需要一些启发性的限制,正如Cynefin所称之为的。 -
战术而非程序性。该框架应描述战术环境以及与这些环境最相关且最有用的高级战术。它不应关注从不同战术中衍生出的技术或程序,以及它们如何被操作化。 -
分形性而非均匀性(或整体性)。该框架不应该代表一个完整的模型。相反,它遵循自相似性或分形性的复杂性属性。框架中的每个领域在更高或更低的层次上都可以虚拟地复制相同(或相似)的结构。例如,当您处于“防御”领域时,您还有一个设计阶段,在该阶段您配置您的保护空间和资产,一个破坏性方面,您的防御行动会破坏敌方力量,一个发现方面,您的防御会建立一个新的监视区域并扩大领土范围,以及一个防御方面本身,在这个方面,您会再次保护已经得到保护的内容,这是一个使得纵深防御(多层保护)等概念成为可能的双重自反动作。对于发现等领域也是如此,威胁狩猎小组不会轻率行事,而是会装备自己以正确的保护措施并采取防御原则(“不要在生产系统上运行恶意软件”等),以及采取破坏性实践(例如,对抗性诱捕的网络欺骗)等。
战术领域:发现与破坏
发现
故形人而我无形,则我专而敌分。《孙子兵法》
发现是将信息持续合成为不同的抽象层次,以帮助发展上下文意识和洞察力的领域。发现领域的特点是同时对已知和未知领域进行侦察。了解您的数字基础设施、攻击面或外部威胁环境是一项永无止境的工作,旨在调查技术能力、了解弱点、秘密通道、利用途径、优势、自然倾向以及任何对手入侵的痕迹。
探索
不知山林、险阻、沮泽之形者,不能行军;《孙子兵法》
探索是指寻找和发现新的或未知的事物的行为。在探索活动中,我们可能对所冒险的地形几乎一无所知。我们的目标是寻求对我们和对手所处环境的更深入的理解。从网络战的角度来看,探索涉及侦察和地形绘制,即获取有关威胁环境的信息和情报的技术过程。探索可能涉及或不涉及数据收集,但数据收集对于进一步提炼和洞察信息至关重要。
收集
数据收集是收集、分类和测量感兴趣变量信息的过程,理想情况下是以系统化的方式进行,以便回答研究问题、测试假设和评估结果。数据收集过程可能涉及原始数据的收集,以及数据的处理、准备和分析,以便使其可用于研究目的。网络防御中的数据收集可能涵盖以下活动:在基础设施中放置传感器、收集数字系统(服务器、终端、OT设备等)的原始遥测数据,利用可用的威胁情报、内部资产数据库(CMDB)等。
数据收集阶段也适用于GRC(治理、风险和合规)程序,例如从公共政策或利益相关者那里收集需求。最终,数据收集的目标是获取准确可靠的数据,将其转化为信息,并用于回答研究问题和决策。为了从数据到信息的转化,必须以一种允许进行分析和解释的方式收集和组织数据。
传播
传播是指将信息或思想传播给更广泛的人群或受众的行为。它可以通过各种渠道进行信息传播,例如通过媒体、通过通信网络或通过公开演讲和展示。传播可以用于与更多的人分享研究成果、新闻、文化活动或任何其他类型的信息。
注意:在未来版本的框架中,传播(Disseminate)可能会转变为Communicate,作为一种更广泛和复杂的活动。
破坏
不战而屈人之兵,善之善者也。故上兵伐谋,其次伐交,其次伐兵,其下攻城。《孙子兵法》
破坏是网络行动的关键。破坏的目标是打破对手已经记住的模式,无论是通过有意的训练还是由于环境限制而产生的重复。这些模式涉及对手文化的任何方面(例如,他们根据地理位置和该文化中的常规工作时间操作的时间),生物学、行为或数字(例如,他们的僵尸网络基础设施部署)倾向。中断是使用策略来使对手不稳定到一定程度,使其编队解体,导致即将失败。在网络操作中,当对手的能力受到如此严重的损害以至于他们被迫进入混乱状态时,破坏就会发生,这会对操作造成高昂的代价,同时试图恢复平衡。这种混乱状态打开了一个机会窗口,以实现任务目标。
道德经向我们提供了一个最美丽、最有力量、最启迪人心和最有洞察力的教导,它说:“胜人者有力,自胜者强。”你也可以这样重新表达:征服自己者为力量之源。战士们知道,要达到真正的掌握,我们必须将自己视为最可怕的对手,我们必须成为自己最伟大的对手和教师!征服自己意味着培养一种以恢复力和不断实践为基础的成长心态,这是自我掌握的方式。
但是在网络安全的背景下,这意味着什么呢?简单来说,我们不能等到网络犯罪分子突破我们的防线,我们必须努力先行突破它们;我们不能等到国家级威胁侵害我们的系统,我们必须坚持不懈地设法使他们自己让步。
破坏是指成为一种能够破坏我们自己的防御行动和对手行动的力量。这需要一种巨大的心态转变,从被动防御转变为主动防御。这是网络自我掌握的道路,从简单地对外部挑战做出反应和防御转变为主动寻求改进和增长的机会:内在动机而不仅仅是外在动机。所需的转变包括采取主动的方式来发展网络防御,并积极努力识别和解决弱点或不平衡的领域。这需要愿意应对困难情况,而不是回避或否认它们。
一些发现这些弱点的方法是通过模拟网络威胁:漏洞扫描模拟攻击、桌面推演、网络准备计划、渗透测试试图找到现有应用和服务的可利用途径、红队和紫队模拟真实世界的威胁行为等。
欺骗
兵者,诡道也。故能而示之不能,用而示之不用,近而示之远,远而示之近。《孙子兵法》
一切都始于欺骗,这是一种与人类冲突本身一样古老的策略。欺骗是影响的艺术。欺骗是通过使用虚假或误导性信息来误导或欺骗他人的行为,隐藏自己真正的意图。欺骗的目标是影响对手的行为,以获得战术优势,帮助我们要么削弱对手的行动,要么避免对我们自身地位和资产造成负面后果。
欺骗是破坏领域的一项重要活动,其目标是最终对对手的行动进行欺骗。
网络欺骗在网络战中至关重要,因为它可以区分完全入侵和仅仅是尝试入侵之间的差别。网络欺骗在安全操作中有许多不同的形式:
-
蜜罐 -
蜜网(全面的诱饵网络) -
蜜罐令牌(如Azure KeyVault诱饵、用于虚假账户的内存会话凭证等) -
其他诱饵(文件)
欺骗主要通过实施四个组成部分来完成:
-
诱导(decoy):用于误导目标的虚假或模仿对象。 -
诱饵(lure):与诱饵不同,诱饵旨在引诱或吸引目标接近诱饵。 -
人物(persona):对目标的分析,用于进行欺骗性行动。 -
过程(process):基于情报的过程,可以部署和监视所需的基础设施,将人物、诱饵和诱饵联系在一起。
参与
能使敌人自至者,利之也;能使敌人不得至者,害之也。《孙子兵法》 出其所不趋,趋其所不意。《孙子兵法》
破坏领域的特点是采用任何旨在积极破坏网络操作的策略,无论是为了改进和加强自身的控制,还是为了破坏和挫败对手的行动。
因此,破坏也是有意识地将其他领域(发现、防御等)的努力有针对性地应用于预期的力量形式的过程。预期的空间使得主动防御能够投射假设的攻击向量并部署对策,就像这些攻击向量实际上正在发生一样。
目标是对网络操作造成损害。这种有针对性的活动可以被描述为在网络威胁发生之前主动参与。参与空间有两个主要目的来定义其战术目标:拦截和胁迫。
参与是一个由专门的侦察人员组成的小团队,通常是威胁猎人,负责勘察区域并提供有关环境和潜在危险的宝贵信息。威胁猎人应接受秘密行动和拦截战术的培训,并利用他们的技能收集、分发和共享有关敌人和网络战场状况的关键情报。他们的专业知识对于确保网络行动的成功至关重要。
参与对抗行动需要将收集到的数据处理成信息信号。这需要借鉴其他领域(如“设计”)的知识,通过使用聚合、重组、聚类和其他推理算法来分析可用数据,以对网络安全环境有更深入的理解。侦察的目标是拦截对抗行动,确保及早破坏,对威胁行为者的活动造成更高的操作成本。为了做到这一点,信息需要被情境化并应用于有针对性的努力,其结果是更高层次的洞察力。
拦截参与
拦截是指对代理人或物体的轨迹或行动方式进行破坏的一种类型。它假设威胁行为者采用了一些模式,这些模式最终成为塑造特定行动方式的倾向。这种行动方式是根深蒂固的模式的结果,如果没有对手投入大量精力,很难改变。因此,拦截旨在阻止或破坏通常由特定威胁行为者表现出的事件链的进展。这可以在各种情境下实现,例如拦截由C2传输的加密消息,或者拦截建立中的网络钓鱼活动以阻碍其成功。
强迫参与
强迫是对敌人或自己施加限制的行为。战斗的目的是迫使对手采取行动,破坏他们的计划、防御和总体立场。当针对对抗性的参与时,与更一般的背景相比,强迫采取了威慑或迫使的形式。前者旨在阻止对方采取行动,而后者旨在迫使对方采取一种明确定义的行动,通常由网络战略家控制。威慑和迫使都旨在影响对手的行为。
在网络世界中,强迫的一个例子是在AD和AAD中开发受控的攻击路径。这意味着利用如Bloodhound之类的工具来:(a)了解当前可用于升级到域管理员或类似角色的攻击路径,(b)构建一个虚假的攻击路径,利用欺骗手段,旨在成为威胁行为者所采取的路径,(c)修剪弱攻击路径并塑造您的AD林以引诱(强迫)威胁行为者选择您的虚假攻击路径作为最简单的路径。通过执行上述操作,您将通过迫使网络对手遵循最低阻力路径(即您控制的路径)来实现强迫。
仿真
知彼知己,百战不殆 《孙子兵法》
不战而屈人之兵,善之善者也。《孙子兵法》
仿真是指系统能够模仿或复制另一个系统的功能。仿真的特点是古希腊世界所称的“mimesis”(μίμησις),即再现或模仿某物的行为。仿真不仅仅是计算机系统的特征,而是复杂系统为了动态适应变化条件而采用的一种策略。在历史、戏剧、艺术、生物有机体等背景下思考仿真。在生物界中,例如,模仿可以发生在一个生物模仿或复制另一个生物的行为、动作或特征时。这可能发生出于各种原因,比如在特定环境中获得一些优势或避免成为捕食者的目标。在这个背景下,模仿可以发生在一个物种在外貌上与另一个物种非常相似的情况下。例如,某些蝴蝶物种可能会模仿有毒或不好吃的物种的外貌,以避免被捕食者攻击。模仿还可以发生在一个物种观察并复制另一个物种的行为时。例如,一些灵长类动物,如黑猩猩,被观察到模仿他们的人类照顾者的面部表情和手势。仿真可以广泛应用于多种情境中,比如当孩子从父母那里学会说话时,当个体通过观察和模仿学习某种行为或技能时等等。我们甚至可以谈论“基因仿真”,当一种物种进化得与另一种物种非常相似以便利用相似的生态位时,比如非洲马拉维湖的一些慈鲷鱼物种进化得与其他物种相似以更好地竞争资源。在网络安全的背景下,仿真有很多形式:
-
漏洞扫描:当使用可以模拟对我们系统进行真实攻击尝试的技术时。 -
红队行动:模拟真实世界的威胁行为者,试图侵入我们的基础设施并展示可行的攻击链。 -
渗透测试:模拟应用程序攻击,以识别攻击者可能利用的任何弱点,目标是确定系统的安全性。
战术领域:设计与防御
防御
防御领域专注于一套策略,旨在保护防御者最有价值的资产和资源。强大的防御可以威慑攻击,因为攻击的潜在成本和风险可能超过潜在利益。我们的防御应该利用攻击者的任何弱点或漏洞,并将其用于我们自己的优势,同时保持强大而有凝聚力的团队,成员之间具有良好的沟通和协调能力。
保护
系统保护是网络安全中的经典和基本概念之一。它指的是使系统和网络更加抵抗数字攻击的方法。保护是基于实施措施,确保我们的系统保护CIA三要素(机密性、完整性和可用性)的所有组成部分。在保护策略的核心,有两个主要活动:攻击预防和系统加固。攻击预防涉及实施措施,以防止未经授权访问系统或网络,并防范可能利用系统中的漏洞进行的攻击。这可以包括安装和维护防火墙、入侵检测/入侵防御系统、终端检测与响应、防病毒软件、加密等。系统加固是指通过减少其易受攻击的表面来增强其安全性的过程。通常通过减少系统执行的功能数量来实现,因为执行较少功能的系统具有较小的攻击面。为了加固系统,可以采取多种控制措施,如更改默认密码、删除不必要的软件、禁用不必要的服务和协议、应用安全补丁等。互联网安全中心(CIS)提供了一个经典的加固框架。加固的目标是减少攻击者可能入侵系统的潜在途径数量。
检测
检测是指在计算机网络中识别安全威胁或入侵的过程。通常,这涉及使用各种工具和技术来通过收集远程数据(遥测),分析这些数据,并寻找异常活动的迹象,这可能表明有人试图攻击或妥协系统。检测的目标是尽快识别威胁,以便采取适当的对策来防止或减轻潜在的损害。检测由三个主要组成部分组成:
-
传感器:用于在目标设备上本地或远程(遥测)收集数据的设备或系统。术语“传感器”指的是一个抽象的设备,可以采取任何形状,如EDR(一个本地系统传感器,可以挂接到系统调用并收集多种类型的数据)、IDS(从网络通信中感知和收集数据)等。检测利用了发现领域的策略来实现这一目标。例如,像勘探这样的策略,用于调查内部基础设施并了解数据收集的覆盖范围和差距;收集策略用于有效地收集所需数据并将其集中存储在数据湖或SIEM中。 -
信号(数据):由传感器收集并用于识别威胁存在的信息。这些信息通常在到达下一个阶段之前经过预处理和精炼。 -
算法:用于分析信号并确定其是否达到检测阈值的过程。算法可以是一个简单的基于规则的系统,也可以是一个更复杂的统计、行为或风险模型。利用UEBA和异常检测的机器学习算法来寻找可疑信号是后者的一个例子。当这些组件组合在一起时,它们产生一个检测器(detector)。检测器是一种根据传感器收集的数据实现某种类型逻辑(算法)的工具,旨在检测特定类型的可疑活动。探测器根据威胁类型和可用的遥测信息定义不同的阈值(触发条件)。
响应
在网络空间中的实体需要持续警惕和保护,以建立一层抵御潜在攻击的弹性,以减轻损害并降低未来的风险。因此,网络事件响应提供了战术和操作能力,以最有效的方式防御网络攻击。在数字网络领域中,我们可以将响应定义为由于对业务运营构成威胁的破坏而触发的一系列有组织的行动。这种破坏不需要立即对业务的连续性造成损害,但它有可能造成损害。网络响应是协调努力以识别、遏制、驱逐和纠正网络威胁的过程,旨在最小化组织损害并减少未来发生的可能性。响应的目的与其他网络安全策略相同:管理风险。响应通常以“事件响应”作为一个功能的形式出现,但由于我们的框架并没有明确定义功能、团队或部门,因此响应战术活动指的是对我们的数字资产或服务中的连接组织发生破坏的任何类型的反应。从这个意义上讲,任何可以在防御背景下使用的计划活动都可以被视为响应战术:灾难恢复计划、业务连续性计划、紧急响应计划、风险管理计划等。
设计
夫未战而庙算胜者,得算多也;未战而庙算不胜者,得算少也。《孙子兵法》
设计领域实施策略,以帮助解决问题或满足需求的计划或解决方案的制定过程。它涉及识别产品、服务或系统的需求或要求,并制定满足这些需求的方法。为了有效地设计某物,我们需要对我们试图解决的问题或需求有清晰的理解,以及我们必须使用的材料、资源和限制条件。设计通常需要具备创造性思维的能力,并提出创新的想法来解决问题或满足需求。有效的沟通和传播是设计过程中重要的组成部分。沟通是必要的,以便清楚地阐明您试图解决的问题或需求,并从可能参与设计过程的其他人那里收集意见和反馈。因此,传播是设计过程的必要部分,以便与相关利益相关者分享潜在或最终的结果。
分析
分析是将某物分解为其组成部分的过程,以便更好地理解它。通常涉及对数据或信息进行检查和评估,以识别模式、趋势和关系。这个词源于古希腊语ἀνάλυσις(analysis),意为“分解”,“解开”(来自ana-“向上,贯穿”和lysis“松动”)。分析可以是定性的,重点是理解和解释数据或信息的含义;也可以是定量的,重点是使用统计或数学技术来测量和评估数据或信息。分析策略不区分“分析”和“综合”作为相反的活动,而是将两者作为互补的活动组成。在这个框架的背景下,分析是指为了识别、推理和解决给定问题而进行的任何活动。
计划
计划涉及考虑实现特定目标所需的行动,并预测可能的结果。它依赖于想象和制定替代未来的能力(也被称为远见,即心智时间旅行的基本能力),被认为在人类进化中起到了关键作用。从神经学的角度来看,计划涉及到一系列的脑功能,包括目标设定、决策和问题解决。它需要激活大脑的特定区域,如前额叶皮质,它参与计划和决策等高级认知功能,以及基底神经节,它参与行动的选择和启动。计划还涉及协调各种脑区和认知过程,如注意力、记忆和语言,以生成和评估潜在的行动方案。
建模
设计也是分析收集到的数据并开发模型、模式、框架和图表的过程,这些帮助我们理解通过探索收集到的数据。在这个阶段,我们必须从数据转化为信息。数据是原始的、未经加工的事实和数字,而信息是经过处理和组织的数据,以一种有意义和有用的方式。为了从数据转化为信息,通常需要进行某种建模和分析。从数据到信息的过程不仅仅是寻找答案,而是创造新的问题和可能性。建模使我们能够识别数据中可能并不立即明显的模式和关系。它还可以帮助我们进行预测和预测。通过建立一个系统可能行为的模型,我们可以对未来可能发生的事情做出有根据的猜测。建模信息可以成为获得洞察力和理解复杂系统的强大工具。在网络安全领域,建模活动的一些例子有:
-
分析威胁情报数据,揭示可以归因于特定威胁行为者的模式 -
对新系统或应用进行威胁建模,以了解它们可能受到的威胁 -
攻击路径建模,使用诸如MITRE Attack Flow[9]的工具,以了解组合攻击者行为的集合。
战场威胁情报
AIMOD2 认为,在执行狩猎任务期间收集相关信息对于未来任务的成功至关重要。
未完待续
AIMOD2方法论后续等待原作者更新
参考
AIMOD2: https://aimod2.com/
[2]DIKW金字塔: https://en.wikipedia.org/wiki/DIKW_pyramid
[3]The Threat Hunting Shift. Part 1: The Way of the Intercepting Fist I: https://threathunterz.com/the-threat-hunting-shift-part-1/
[4]# The Threat Hunting Shift. Part 3: Adversarial Framework for Tactical Cyber Defense Operations I: https://threathunterz.com/the-threat-hunting-shift-part-3/
[5]The Threat Hunting Shift. Part 1: The Way of the Intercepting Fist I: https://threathunterz.com/the-threat-hunting-shift-part-1/
[6]The Threat Hunting Shift. Part 1: The Way of the Intercepting Fist I: https://threathunterz.com/the-threat-hunting-shift-part-1/#fn:4
[7]MITRE ENGAGE: https://engage.mitre.org/
[8]The Threat Hunting Shift. Part 3: Adversarial Framework for Tactical Cyber Defense Operations I: https://threathunterz.com/posts/threat-hunting/the-way-of-the-intercepting-fist-part-3/
[9]MITRE Attack Flow: https://ctid.mitre-engenuity.org/our-work/attack-flow/
原文始发于微信公众号(无界信安):威胁狩猎方法论:AIMOD2
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论