有效威胁捕捉的五个建议
星云
数世咨询
数世咨询
微信号
dwconcn
功能介绍
中国数字产业领域中立的第三方调研机构,提供网络安全行业的调查、研究与咨询服务。
发表于
收录于合集
每一天,组织和机构都能随着网络情况的变化而发现新的挑战。信息泄露问题和勒索病毒活动都在进一步发生,而一些组织正在试着通过“万物自动化”的方式描绘威胁状态。虽然说自动化是一个很领先的理念,但它依然只是安全拼图中的一块,而非全部。我们依然在自动化的基础上需要人类,或者一些其他被动检测机制进一步挖掘数据,发现未知的问题。
在这一层面上,就需要威胁捕捉(Threat Hunting)。威胁捕捉现在几乎已经是每个全面的安全分析师的必备技能。所谓威胁捕捉,简单而言,就是发现恶意迹象、行为,或者不基于被动监控能力的检测方式 。换句话说,就是主动发现并识别在环境中未被检测到的威胁或者非正常迹象。
何为威胁捕捉?
一提到威胁捕捉的目标,第一反应就是人工行为和活动,比如恶意行为的迹象、被攻击的痕迹等等。这些确实都是威胁捕捉的目标,但是我们不应该将捕捉局限于发现攻击者的行为痕迹。威胁捕捉也可以是发明了一种新的检测方式,或者之前一种之前无法使用的监测指标。具体而言,我们可以通过以下五个有实践经验的建议:
建议一:猜想并测试
在威胁捕捉中,第一步是提出能形成一个猜想的问题。安全人员必须先退一步问自己:“这么做安全吗?”为了解答这个问题,需要再进一步问:“如果我要对这个环境进行攻击,我会怎么做?我会想要接入哪些资产?谁会成为我的目标?”这些问题的回答会成为威胁捕捉猜想的基础。
举个例子,假如一名威胁捕捉人员认为某个特定机器会成为目标——比如一台有着重要代码的工程师机器,威胁捕捉人员会开始根据攻击者从该机器获取数据的方式形成自己的攻击理论。他们可能会开始寻找一些异常的服务、网络连接、操作行为等任何这个设备或者在该环境下不应出现的迹象。在验证最初猜想的过程中,会有更多的问题出现,从而完善成为一个更准确的假说。
很多时候,威胁捕捉未必有正面结果,但这不代表猜想不成立。这些猜想并不是死板不变的,而是可以基于收集到的数据灵活改变、补完。可能只观察工程师自己的机器时没有任何异常现象,但当同样的请求被应用到更多设备时,异常现象就出现了。即使最终异常现象也没有被发现,安全人员写的请求脚本也能和告警系统关联,作为新的被动检测方式。无论哪种结果,捕捉行为本身都产生了正面价值。
建议二:活用导图
盲目地开始进行猜想和验证显然是不合适的。尽管说直接从数据中的异常情况就能识别恶意行为,但是如果有一个框架对发现的情况进行关联并分类,威胁捕捉就能事半功倍。这个时候,就需要MITRE ATT&CK框架、Lockheed Martin Cyber Kill Chain进一步完善自己的理论,并作为验证的指导思想。
如果发现了一些异常活动,下一步该做什么?一种方式是借鉴框架,定位自己发现的问题在杀伤链中处于什么位置,以及攻击者下一步会做什么。举例来说,如果在机器的启动文件夹里发现了未被授权的脚本;在检查了脚本中的内容后,发现该脚本机制属于“持久化”。基于这些信息,通过框架发现大部分情况,攻击者在获得“持久化”后,会进行“提权”。这样就能形成攻击者在该环境下如何进行提权的猜想,从而就能意识到需要去查看哪些东西。
建议三:保持全局观
尽管说框架提供了有帮助的指导性方向,但它们依然是静态信息;可以通过使用外部的情报进一步提升其价值。这些信息可以包括其他环境的“事后报告”、新发布的攻击方式、或者最近的威胁研究。威胁捕捉人员需要时刻关注这些新闻,并不断反问自己这些信息能如何应用到自身环境中,或者是否有其他替代的攻击方式会被应用于自身环境中。
把任何威胁报告中的变量作为一个可以被用于验证的猜想。如果有一个关于某个软件中任意代码执行的漏洞,可以反问如下问题:内部是否有这个漏洞?这个漏洞能否被应用于类似软件中?这个漏洞是否能被用于其他攻击?
建议四:态势感知管理
每个组织都有些自己特殊的考量,而这些考量往往无法通过外部资源来解决。这个时候就需要内部的信息。因此,需要对过去威胁捕捉收集的数据,以及任何内部事件响应团队输出的报告进行整理。每份报告都有一些有价值的信息,从而反思是否有遗漏的情况。对过去的事件进行反省,并思考每份记录的攻击行为揭示了自身环境中哪些弱点。
对于威胁捕捉而言,了解自身环境相当重要,如:自身拥有哪些资产?使用了哪些操作系统?有哪些软件列表?
这些都是关键的问题——毕竟任何人都无法防御不可知以及看不到的东西。攻击者会扫描整个环境去寻找弱点,因此威胁猎手也需要同样的可视度来确保自己不会处于不利的位置。威胁捕捉人员也需要熟悉环境里的用户和用户行为,包括正常的运行时间、一般访问的网站、常用应用等等;所有的这些都有助于过滤数据并识别异常行为。
建议五:从大见小
威胁捕捉的最后一步是缩小关注点。前四步给了威胁捕捉一个更宏观的视角,但他们依然需要进一步挖掘信息——这代表着需要进一步查看网络中发生的事件,以及在这些终端上的情况。
就像交警会观察州际车流然后叫停某些司机并检查他们的车辆一样,威胁捕捉人员也会先从宏观层面测试他们的猜想来发现异常流量。他们可能会去发现一些从非正常位置发出的流量、异常数量的网络连接、在异常时间的连接、或者不匹配的协议连接。这些信息往往都能让威胁猎手发现确实被感染的终端。通过这种方式,可以先将全网作为一个整体观察,再进一步在某些区域放大调查可疑的情况。
举个例子,威胁捕捉人员可能会发现理应在1台设备上使用的账号如今在13台设备上被使用。一旦发现了这13台设备,就将需要进一步调查的范围缩小了,而不需要通过海量的数据去发现一个威胁。
最后,威胁捕捉的本质,就是主动测试猜想、发现威胁的迹象、并发展下一代的被动检测方式。随着勒索软件和APT攻击持续让传统检测方式失效,组织必须以威胁捕捉的方式优化基于猜想的主动检测能力,从而减少攻击者带来的影响,并进一步加固环境的安全性。
关键词:威胁捕捉;
相关阅读
为什么威胁捕捉必需与XDR结合?
预览时标签不可点
微信扫一扫
关注该公众号
知道了
微信扫一扫
使用小程序
取消
允许
取消
允许
:
,
。
视频
小程序
赞
,轻点两下取消赞
在看
,轻点两下取消在看