Adobe安全協調中心 (SCC) 是如何創建威脅狩獵計劃的?
許多公司在考慮網絡安全時,通常會從防火墻、防病毒軟件、入侵檢測系統和多重身份驗證 (MFA) 等方面來開展安全工作。當這些預防措施到位,公司通常會通過建立一個響應告警的安全運營中心 (SOC) 來集中監控和響應流程,其中包括一個負責緩解和補救檢測到的威脅事件響應 (IR) 團隊。
隨著安全組織的成熟,它開始將資源投入到更復雜的主動安全實踐中,例如威脅狩獵。在 Adobe,這正是我們在做的,今天我要詳細介紹我們安全協調中心 (SCC) 內的威脅狩獵計劃。
什么是威脅狩獵?
威脅狩獵是一個“藍隊”的任務,可以保護企業免受那些已經逃避現有安全防御措施的惡意活動的侵害。如果您熟悉安全領域中的“藍”與“紅”團隊術語,藍隊是公司防御性安全計劃的一部分,而紅隊是進攻性安全計劃的一部分,紅隊是在真正的惡意行為者行動之前故意攻擊企業以發現現有漏洞。
威脅狩獵計劃的主要目標是縮短初始危險發生和發現攻擊之間的時間差,即所謂的“停留時間”。惡意行為者在環境中未被發現的時間越長,停留時間也越長,他們造成傷害的時間就越長。
更確切地說,威脅狩獵可以發現以前未檢測到的問題,包括受損或配置錯誤的主機、可見性間隙和其它安全風險。它們還可以幫助分析和提高檢測機制和流程的有效性,并提供搜索后建議,以提高安全性。有時,它們可以發現新的威脅或戰術、技術和程序 (TTP),從而引發全新的追捕。
你應當尋找什么?
既然您已知道什么是威脅狩獵,那么您是否知道要狩獵什么?搜尋的想法或線索可以來自組織內的許多來源。一項主要來源來自您的SOC,它可能會在日常分類中觀察到新出現的威脅模式。尋找線索的另一個來源是事件響應團隊確定的TTP。這些行為模式可用于幫助防御惡意行為者使用的特定威脅向量和策略。雖然您的IR團隊可能僅限于緩解事件本身,但威脅狩獵團隊可以用更廣泛的視角搜索行為,以發現潛在的類似攻擊。
其他狩獵想法可能來自您的組織外部。現在不乏外部漏洞,因此您的安全組織對利用這些漏洞的全行業開發嘗試保持警惕是有意義的。在這方面,您的威脅狩獵團隊可以提供巨大的幫助。該團隊還可以負責搜索那些安全研究人員和標準組織(如 MITRE)發布的外部威脅或違規報告中觀察到的行為。
如何組織狩獵?
狩獵通常分為兩個不同的類別:結構化和非結構化。雖然兩者都是從假設開始的,但威脅獵手從一開始就考慮到特定的TTP或行為時會使用結構化的獵殺(例如惡意攻擊者在受損的主機上使用 curl 或 wget 等系統原生工具,從互聯網上下載額外的惡意軟件或黑客工具)。黑客利用最近的 Log4j 漏洞獲得的未經授權的訪問可能是全球數千家公司追捕的主題。
另一方面,非結構化搜索側重在更大的數據中集中搜索異常或異常值,并且通常涉及數據科學技術或 ML/AI。例如,您可能會觀察到 DNS活動的變化,其中一個進程開始向未知域發出請求,并決定需要進一步調查。或者,您的威脅追蹤團隊可能正在搜索用戶活動日志并看到異常情況,例如一項服務試圖訪問它沒有授權的資源。
如何衡量成功?
就像其他業務流程一樣,衡量威脅狩獵計劃的成功可以分為定性和定量兩個方面。在定性方面,將您的搜索覆蓋在MITRE ATT&CK框架上,該框架是分析攻擊者的“黃金標準”,可以讓您全面了解您保護的公司免受常見攻擊的程度。新的檢測分析,例如檢測規則和狩獵產生的安全建議也提高了公司現有的檢測和預防能力。
定量方面,跟蹤威脅狩獵計劃在造成損害之前發現的事件、受損主機、錯誤配置等的數量是衡量成功的一個很好的指標。減少事件的停留時間和狩獵的完成時間也有助于向管理層證明您的威脅狩獵計劃的必要性和成功性。使用分析軟件,您還可以衡量各種附加的和特定于公司的指標和 KPI。
一種積極主動的方法
Adobe公司建立了一個可擴展的威脅狩獵計劃,該計劃可提供潛在危害的早期檢測,減少信息安全事件的停留時間,提供有關如何減輕對Adobe 客戶、品牌或產品的潛在危害的指導,并幫助教育我們的同行如何在識別和解決可能的威脅方面進行改進。通過主動搜尋高級威脅,狩獵團隊為 Adobe 的縱深防御態勢增加了一層防護措施,并提供持續的反饋以幫助改進我們的網絡安全控制。
