本文阅读大约需要6分钟;
为了更有效地保护网络安全,我们需要主动出击,积极寻找潜伏在网络中的攻击者,将威胁扼杀在萌芽状态。这就是威胁狩猎 (Threat Hunting) 的精髓。
根据笔者的实践与理解,总结以下六个步骤:
编号 | 内容描述 |
步骤1: | 根据威胁情报、历史事件或已知的攻击模式制定假设。 |
步骤2: |
从各种来源收集数据,例如日志、网络流量或端点遥测。。 |
步骤3: | 使用自动化工具和手动技术分析数据,以识别模式或异常。 |
步骤4: | 调查任何发现,以确定它们是否代表潜在的威胁或安全事件。 |
步骤5: | 记录和沟通调查结果,包括任何建议的缓解或补救措施。 |
步骤6: | 根据经验教训和不断变化的威胁改进和迭代威胁狩猎过程。 |
威胁狩猎并非盲目的搜索,它需要科学的方法和专业的技能。以下我将结合实战经验,深入解析威胁狩猎的六个关键步骤,并以一个贯穿始终的案例, 帮助您更好地理解和实践威胁狩猎。
1. 制定假设
威胁狩猎需要有明确的目标,才能有的放矢。制定假设,就是明确狩猎的方向,例如,攻击者是如何入侵的?他们使用了哪些攻击手段?他们窃取了哪些数据?等等。
选择合适的技术手段,例如日志分析、网络流量分析、恶意代码分析等,来验证假设。 制定详细的狩猎计划,明确狩猎的目标、范围、时间、人员、工具等,并进行分工协作。
推荐工具: 威胁情报平台、安全运营中心平台 (SOC) 、入侵检测系统 (IDS) 、 网络流量分析工具等。
假设 1: 攻击者利用 VPN 漏洞入侵了内部网络,并尝试横向移动到其他服务器。-
假设 2: 攻击者在内部网络中安装了 Cobalt Strike 恶意软件,并建立了 C2 通道,用于远程控制受感染主机。
2. 收集数据
然后,与 IT 运维团队、安全运维监控团队等合作,获取所需的数据、并确保数据的安全性和合规性。根据假设的内容,确定要收集哪些数据,例如,如果假设是攻击者利用 VPN 漏洞入侵,则需要收集 VPN 服务器的日志、网络流量等数据。使用安全信息和事件管理 (SIEM) 平台、网络流量分析工具、端点检测与响应 (XDR) 工具等, 收集和存储数据。制定数据收集流程,明确数据收集的范围、方式、频率等、并确保数据的完整性和准确性。
推荐工具:SOC 平台、 网络流量分析工具 (例如 Wireshark、 tcpdump) 、 EDR/XDR/NTA工具等。
VPN 服务器日志: 记录所有 VPN 连接的详细信息,例如连接时间、用户名、IP 地址、访问资源等。网络流量数据: 记录所有进出内部网络的流量,包括源 IP 地址、目的 IP 地址、端口号、协议类型等。-
端点安全日志: 记录所有终端设备的系统日志、应用程序日志、安全事件日志等。
3. 分析数据
技术: 使用各种数据分析工具和技术, 例如统计分析、 关联分析、 机器学习等,对数据进行分析,识别异常行为和可疑事件。程序: 制定数据分析流程,明确分析方法、分析指标、告警阈值等,并定期评估分析结果的有效性。推荐工具: SOC平台、威胁情报平台、数据分析工具 (例如 Splunk、 Elasticsearch、Kibana) 、 恶意代码分析工具等。代码或脚本: 可以使用 Python 或其他脚本语言,编写自定义的分析脚本,例如,根据威胁情报平台提供的恶意 IP 地址列表,编写脚本分析网络流量数据,识别与这些 IP 地址通信的流量。
4. 调查发现
数据分析的结果可能会产生一些“疑点”,需要进一步调查,才能确定这些“疑点” 是否代表真实的威胁。调查发现,就是对“疑点” 进行深入分析,验证其真伪, 就像侦探破案,收集证据,还原真相。将调查结果作为判断威胁等级和制定防御策略的依据,避免误判和漏判。安全团队需要建立有效的沟通机制,与其他部门协同配合,例如 IT 运维团队、应用程序开发团队等,以便获取更多信息, 验证调查结果。
技术: 使用各种安全工具和技术,例如恶意代码分析工具、网络取证工具、 端点取证工具等,对“疑点” 进行深入分析、收集更多证据。程序: 制定调查流程,明确调查方法、证据收集标准、报告格式等,并确保调查过程的规范性和透明度。-
推荐工具: 恶意代码分析工具 (例如 VirusTotal、 Any.Run) 、 网络取证工具 (例如 Wireshark、 tcpdump) 、端点取证工具 (例如 FTK Imager、 EnCase) 等。
5. 记录和传达调查结果
技术: 使用报告模板、可视化工具等,将调查结果清晰地呈现出来,例如, 使用时间线图表展示攻击过程,使用表格列出受影响的系统和数据等。程序: 制定调查结果报告流程,明确报告内容、报告格式、报告接收人等, 并确保报告的准确性、完整性和及时性。推荐工具: 报告模板、可视化工具 (例如 Visio、 Power BI) 、安全事件管理系统 (SIEM) 等。
6. 改进和迭代威胁狩猎过程
技术: 更新威胁情报数据库,改进安全工具的配置,例如,将新的恶意软件签名添加到入侵防御系统 (IPS) 的规则库中。-
程序: 制定威胁狩猎流程改进计划,明确改进目标、改进措施、责任人和时间节点。
加强 VPN 服务器安全: 修复了VPN漏洞,并加强了VPN服务器的身份验证和访问控制机制。部署 XDR: 在所有终端设备上部署 XDR,实时监控端点行为,并及时检测和阻止恶意软件的执行。-
完善网络流量监控: 在网络边界部署更加精密的流量分析设备,并改进流量分析规则, 提高对恶意流量的识别能力。
总结:
如果您觉得文章对您有所帮助,还请您关注我!
原文始发于微信公众号(再说安全):进行威胁狩猎操作的过程是什么?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论