常见威胁狩猎框架
Sqrrl威胁狩猎参考模型[1](2015):定义了假设驱动的威胁狩猎过程,分为四个阶段:创建假设、通过工具和技术进行调查、发现新模式和TTPs、通知并丰富自动化分析。
TaHiTI框架[2](2018):由荷兰支付协会创建,结合了Sqrrl框架的部分内容,增加了数据驱动的狩猎类型,并将威胁情报(CTI)整合到威胁狩猎过程中。
PEAK威胁狩猎框架
PEAK[3](Prepare + Execute + Act + Knowledge)代表“准备、执行、行动和知识”。
狩猎类型和结构:定义了三种威胁狩猎类型:假设驱动的威胁狩猎、基线威胁狩猎和模型辅助威胁狩猎(M-ATH)。每种类型都包括三个阶段:准备、执行和行动。
假设驱动的威胁狩猎
基于研究和经验制定假设,寻找可能的威胁行为。
准备阶段:选择威胁狩猎主题,进行研究并生成假设,定义威胁狩猎范围和计划。 执行阶段:收集数据,预处理数据,进行分析,修订假设,升级关键发现。 行动阶段:保存威胁狩猎记录,记录发现,创建检测规则,将主题重新添加到待办事项中,与相关利益相关者沟通发现。
基线威胁狩猎
通过建立正常行为基线,寻找偏离正常行为的异常活动。
-
准备阶段:选择数据源并进行研究,定义狩猎范围。 -
执行阶段:收集数据,创建数据字典,审查分布,调查异常值,升级关键发现。 -
行动阶段:保存威胁狩猎记录,记录基线,创建检测规则,与相关利益相关者沟通发现。
模型辅助的威胁狩猎(M-ATH)
使用机器学习 (ML) 技术来创建已知良好或已知恶意行为的模型,并寻找偏离或符合这些模型的活动。可以将其视为假设驱动和基线的混合,但具有来自机器学习的大量自动化。
-
准备阶段:选择主题,进行研究,确定数据集,选择算法。 -
执行阶段:收集数据,预处理数据,开发模型,应用模型。 -
行动阶段:保存威胁狩猎记录,记录发现,创建检测规则,与相关利益相关者沟通发现。
如何选择合适的威胁狩猎类型
“隐性复杂性”:当数据包含许多具有复杂关系的变量,或者编写显式算法可能具有挑战性或不切实际时,就存在隐性复杂性。对于大多数具有隐性复杂性的问题,M-ATH 搜索是一个不错的选择。
如何衡量威胁狩猎成熟度
威胁狩猎成熟度模型
威胁狩猎成熟度模型(HMM)[4]最初由David Bianco于2015年发表,为首席信息安全官(CISO)和其他狩猎领导者提供了一种简单的衡量威胁狩猎项目成熟度的方法。
威胁狩猎关键指标
-
检测数量的创建或改进: -
新增检测数量:衡量因威胁狩猎工作而新增的自动化检测数量,体现对检测能力的改进。 -
改进现有检测:减少误报或新增对边缘情况的检测,展现自动化检测的优化成果。 -
威胁狩猎期间或之后触发的安全事件数量: -
不仅追踪威胁狩猎期间触发的事件,还需追踪因新增或改进检测而触发的后续事件。 -
通过追踪这些事件,明确哪些安全事件是因威胁狩猎工作直接导致被发现并解决的。 -
识别和修复的缺口数量: -
缺口类型:数据可见性、访问权限、文档或工具不足等。 -
跟踪记录:记录发现的缺口数量和最终修复的数量,体现威胁狩猎团队对安全能力的推动作用。 -
基于 ATT&CK、杀伤链或痛苦金字塔的技术狩猎: -
跟踪狩猎的独特技术数量(例如,“本季度威胁狩猎了 9 种对手技术”)。 -
使用框架(如 MITRE ATT&CK、杀伤链、痛苦金字塔)评估威胁狩猎活动的覆盖范围和优先级,优化威胁狩猎策略。 -
发现和修复的漏洞及错误配置数量: -
漏洞报告:记录发现的漏洞、错误配置或过时软件。 -
修复进展:跟踪因报告而最终修复的漏洞数量,评估威胁狩猎工作的实际效果。
参考资料
Sqrrl Archive: https://www.threathunting.net/sqrrl-archive
[2]TaHiTI Threat Hunting Methodology: https://www.betaalvereniging.nl/wp-content/uploads/DEF-TaHiTI-Threat-Hunting-Methodology.pdf
[3]Introducing the PEAK Threat Hunting Framework: https://www.splunk.com/en_us/blog/security/peak-threat-hunting-framework.html
[4]A Simple Hunting Maturity Model: http://detect-respond.blogspot.com/2015/10/a-simple-hunting-maturity-model.html
原文始发于微信公众号(玄月调查小组):Splunk威胁狩猎框架:PEAK
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论