本文来自微信公众号“安全牛”。
在数字化的世界里,每一个组织都必须具备在危险环境中航行的能力,这需要由他们的守护者——网络安全专业团队进行守护。在这场没有终点的攻防博弈中,开展主动威胁狩猎活动是一项重要的安全实践,它使防御者能够先发制人,破坏对手精心布置的攻击计划,将安全团队从被动应对攻击的哨兵转变为主动发起攻击的网络战士。
威胁狩猎是一种主动和可持续的网络安全方法,旨在识别和缓解威胁,避免其对组织造成重大危害。与依赖于反应性技术(如基于签名的检测或事件响应)的传统安全措施不同,威胁狩猎的核心是基于假设妥协的原则,鼓励安全专业人员采取更主动和持续的监控方法,寻找到可能已经避开传统防御措施的威胁痕迹和证据。
组织实施威胁狩猎计划的核心目标就是要缩短出现危险和完成攻击之间的时间差,即所谓的“停留时间”。当攻击行为者在企业环境中停留的时间越长,他们可能造成的伤害后果就越大。更确切地说,威胁狩猎需要能够发现传统安全工具未检测到的风险,并帮助企业分析和提高现有威胁检测机制和流程的有效性,提出合理的安全性优化建议。此外,它们还需要能够识别新的攻击手法、战术、技术和程序(TTP),从而发起全新的威胁处置任务。
为了帮助组织更有效地开展威胁狩猎工作,本文收集整理了目前应用较广泛的7种威胁狩猎方法,并对其特点进行了分析:
1
基于假设的威胁狩猎
由假设驱动的威胁狩猎类似于侦探的工作,主要通过细致的调查发现威胁并检验它们。在这种方法中,威胁猎人(安全分析师)会运用所掌握的攻击者行为知识,并利用MITRE ATT&CK框架作为他们的行动指南。这个框架详细阐明了攻击者所采用的战术、技术和流程,帮助威胁猎人有针对性地搜索潜在的攻击行为。
基于假设的威胁狩猎方法,其最大的价值在于它能够有效地引导流程化的狩猎活动,专注于运用已知的技术,去发现特定的攻击者行为。它提供了一个结构化和主动的方法,使猎人保持领先的潜在威胁搜索,并持续地调整优化组织的防御。通过不断设定新的威胁假设和纳入新的情报,威胁猎人可以更有效地预测和打击他们的网络对手。
2
基于异常行为的威胁狩猎
相比基于假设的威胁狩猎活动,以识别异常行为为基础的威胁狩猎则采取了一个独特的狩猎路径,强调对网络内的异常行为进行识别。其狩猎目标将会更加全面和广泛。基于异常行为的威胁狩猎需要建立一个代表正常活动的行为基线,并在出现偏离时发出警报和提醒。这种方法需要大量利用机器学习的能力来检测可能预示潜在威胁的异常行为模式。
基于异常行为分析的威胁狩猎的优势在于它能够发现一些未知的新威胁。通过对比网络中的规律性模式和安全行为基线,可以迅速识别和调查出现的行为偏差。这种方法在检测内部威胁或新型复杂网络攻击时特别有用。
不过需要说明的是,基于异常行为的威胁狩猎也存在很多挑战,比如如何有效区分真异常和良性异常就是一项非常复杂的任务。威胁猎人也必须投入大量的时间和精力来不断优化其检测机制,以最大限度地减少误报,确保他们的调查重点是那些真正的威胁。
3
与签名无关的威胁狩猎
组织在寻求威胁检测的过程中,一些与签名无关的狩猎活动会让安全分析师脱离了常规的监测路径,此时需要大胆地超越传统的基于签名的威胁检测方法。签名不可知的威胁狩猎活动挑战了预定义的检测规则和签名的局限性,能够发现那些动态变化中的模糊威胁。在这种狩猎模式下,要求威胁猎人仔细检查大量的安全指标,包括可疑的行为模式、恶意代码片段以及出现异常的网络设施。
这种方法的优点在于它能够检测出目标性很强的APT威胁。攻击者通常采用自定义恶意软件、零日漏洞或混淆技术来逃避基于签名的防御措施。通过寻找签名特征以外的特征,威胁猎人可以识别出与任何已知模式都不匹配的恶意攻击,因此对发现APT攻击以及一些不断调整攻击手段和战术的复杂攻击特别有效。
与签名无关的威胁狩猎要求威胁猎人对攻击者的技术有非常深入的了解,并有能力分析多种安全数据和指标。它要求威胁猎人能够像攻击者一样思考,预测他们的行动,并根据他们的潜在行为和意图检测威胁。
4
以情报为导向的威胁狩猎
以情报为导向的威胁狩猎主要利用集体知识的力量,将海量的威胁情报转化为组织的主动防御能力。在这种方法中,威胁猎人需要广泛利用从各种来源所获取的威胁情报,包括厂商通报、安全研究机构、安全社区,以及一些暗网监测平台。通过收集和分析关键入侵指标(IOC),如恶意IP地址、域或文件哈希,威胁猎人可以主动搜索组织内特定威胁的存在或潜在影响。
有一个典型的狩猎场景:威胁情报源向威胁猎人发出警报,提示攻击者已经开始在针对性的攻击中使用了一种新的恶意软件。以情报为导向的威胁狩猎将全面分析这种恶意软件的特征,例如它的命令和控制基础设施或独特的网络签名。然后,威胁猎人就会在企业的网络环境中主动寻找这些指标,并检测任何妥协或正在进行的攻击迹象。
以情报为导向的威胁狩猎方法主要优势在于它能够提供狩猎活动的背景和重点。通过了解特定威胁者的战术、目标和工具,猎人可以设计出更有针对性的检测策略。这种方法还可以实现安全社区内的协作和信息共享,共同加强防御并破坏对手的活动。
5
基于攻击者画像的威胁狩猎
以攻击者画像为基础的威胁狩猎将威胁猎人的工作重点聚焦到对主流威胁团体的广泛特点研究上。在这种方法中,猎人研究和分析特定威胁团体或攻击事件中所采用的方法、技术和流程(TTP)。通过了解这些活动中使用的行为、工具和基础设施,威胁猎人可以设计有针对性的检测策略。
例如,一个以网络钓鱼攻击和使用自定义恶意软件而闻名的威胁行动者团体可能会成为基于攻击者画像的追捕对象。猎人会深入研究该组织以前的攻击,剖析他们的TTP,并确定与他们之前攻击事件相关的独特模式或基础设施。然后,这些知识将被用来设计旨在检测组织网络内的类似攻击模式的威胁搜索。
以攻击者画像为基础的威胁狩猎可以让威胁猎人在持续和有针对性的威胁面前保持领先地位。通过了解对手的攻击行为和动机,威胁猎人可以相应地调整其检测策略,加强对特定威胁行为体或活动的防御,降低组织的风险性。
6
自动化威胁狩猎
自动化的威胁狩猎活动可利用安全协调、自动化和响应(SOAR)工具以及安全分析平台的功能,简化威胁检测流程。这种方法利用AI技术高效地分析大量数据、识别威胁模式并检测潜在威胁。而自动搜索规则和机器学习模型可用于持续监控组织的网络环境,并在检测到可疑活动时触发警报。
自动化威胁狩猎的优势在于它的速度和可扩展性。由于大大减少了手动分析所需的时间和工作量,使安全团队能够专注于更高级别的任务和战略决策。
7
协作式威胁狩猎
协作式威胁狩猎方法强调安全社区和情报信息共享的力量。在这种方法中,威胁猎人应该认识到,没有一个组织是完全封闭的,而通过联合力量,他们可以集体加强他们的防御。通过与同行合作,参与信息共享社区,并利用威胁情报平台,威胁猎人可以获得更广泛的知识和建议。
协作式威胁狩猎能够促进对抗网络威胁的统一战线。它使每个组织都能够利用安全社区的集体经验和专业知识,增强他们检测、响应和防止各种攻击的能力。通过团结一致,威胁猎人能够加强了其组织的威胁监测能力和整体安全态势。