全文共计1316字,预计阅读6分钟
近年来,威胁狩猎已成为网络安全的重要组成部分。然而,威胁狩猎的定义仍然是一个问题。根据你询问的对象不同,对于威胁狩猎以及如何使用它有着不同的解释。
威胁狩猎是什么
威胁狩猎是一种主动和可持续的网络安全方法论,旨在提前识别和缓解威胁,避免其对组织造成重要影响。与依赖于响应的威胁检测技术不同。威胁狩猎的核心是基于假设驱动的原则,鼓励安全专业人员采取更主动和持续的监控方式,寻找到可能已经绕过传统防御措施的威胁痕迹和证据。
威胁狩猎所需要具备的能力
要识别和检查威胁,需要熟悉MISP等威胁情报平台以及Splunk, ELK等安全信息和事件管理平台(SIEM)工具。对MITRE ATT&CK框架的了解也有助于识别某些攻击中所使用的不同战术和技术。
对威胁狩猎的误解
正如上面提到的,许多人误以为威胁狩猎是一项被动反应的任务。简单地说,威胁狩猎不应该以网络安全告警作为狩猎的契机或只是通过一组IOC来调查。这些活动应是网络安全分析师工作的一部分。下面我列举了一些例子来说明我的观点:
好的例子(基于假设驱动的威胁狩猎)
-
攻击者正在使用恶意的计划任务维持权限持久化
-
狩猎方法:根据名称,可执行文件,计划任务的频率来查找异常的计划任务 -
攻击者正在泄漏大量数据
-
狩猎方法:基于大量的网络遥测数据,查找对于文件上传网站的异常访问
坏的例子
-
从威胁情报报告中提取IOC,比对数据源中是否有命中的情况
-
调查一个用户机器上的恶意文档所产生的告警
基于之前的例子,假设威胁猎手能够访问所需的遥测数据。如果有特定的数据源无法使用或者缺失,威胁猎手应该记录遥测数据的缺陷,创建追踪案例并修复缺失。
威胁狩猎的实战流程
在本节中,我将使用上面给出的一个威胁搜寻示例,来解释这个过程的不同步骤。
基于攻击技术的狩猎实例
1. 建立假设
寻找源自 MicrosoftWord 文档的可疑进程执行活动。
-
Mitre ATT&CK ID: T1204.002 (Execution)
2. 建立证据
-
Winword.exe 创建了子进程。 -
Winword.exe 向其它进程中注入了恶意代码。 -
Winword.exe 从公网服务器上下载了二进制文件。
3. 识别数据源
-
进程执行日志 -
注册表修改日志 HKCU:SOFTWAREMicrosoftOffice16.0WordSecurityTrusted DocumentsTrustRecords
4. 识别字段和值
-
ParentProcessName: winword.exe
-
ProcessName: (cmd.exe|powershell.exe|rundll32.exe|regsvr32.exe|wscript.exe|cscript.exe|mshta.exe)
5. 查询数据 Splunk查询:
Source=*sysmon* EventCode=1 ((ParentImage=”*\WINWORD.EXE”) AND (Image=”*\cmd.exe” OR Image=”*\powershell.exe” OR Image=”*\rundll32.exe” OR Image=”*\regsvr32.exe” OR Image=”*\mshta.exe” OR Image=”*\certutil.exe” OR Image=”*\wscript.exe” OR Image=”*\cscript.exe”))
6. 分析数据 下图是所查询和观察到的可疑行为:
威胁狩猎的目标和指标
尽管人们赋予威胁狩猎不同的含义,但总体目标是相同的。这些核心目标包括:
-
主动搜索威胁
-
调查异常现象
-
调查遥测数据差距
-
减少威胁检测告警的误报率
-
减少威胁检测时间
基于节省的时间和安全事件的潜在影响,组织可以获得高投资回报率(ROI)。此外,所有上述威胁狩猎目标的成功都可以被衡量和跟踪。其中一些指标可能包括:
-
狩猎发现的数量
-
遥测数据的缺口
-
安全提升建议
-
一次成功的威胁狩猎之后创建的检测规则数量
安全管理团队可以使用这些指标来展示威胁狩猎团队的影响和价值,以及威胁狩猎的结果如何直接转化为组织节省的资金。
请关注SecLink安全空间获取我们最新的更新
欢迎加入SecLink安全空间探讨安全问题!
原文始发于微信公众号(SecLink安全空间):『威胁狩猎』基础概念以及流程实例分享
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论