攻防實戰下的威脅狩獵|附完整報告下載
隨著網絡攻擊技術和工具越來越先進,攻擊者和網絡犯罪組織變得越來越囂張,而作為防守方的組織機構想要檢測是否發生了入侵卻變得越來越困難。整個網絡環境變得愈發復雜,傳統基于特征值的被動檢測技術效果變得越來越差,沒有哪個組織機構能夠100%檢測到惡意活動。被動等待獲取入侵證據已經不能發揮很大價值,組織機構不能“坐等”明顯入侵特征出現再進行響應,而是要主動出擊尋找入侵者,進行“威脅狩獵”。
尤其是最近幾年,攻防實戰演習越來越受到重視,更多的企業參與到演習中來。作為防守方要主動去發現攻擊,通過攻擊者留下的蛛絲馬跡,進行追蹤溯源,全面總結攻擊者的攻擊路徑,實現回血加分。
如欲詳細了解威脅狩獵,掌握威脅狩獵必備技能,成為威脅狩獵大師,您可掃碼下載完整《威脅狩獵實踐指南》。
威脅狩獵的三要素
威脅狩獵是指在服務器和終端追蹤異常活動,包括數據被竊取、入侵或泄露的跡象。盡管威脅狩獵的概念并不新鮮,但是對于許多組織來說,如何有效執行威脅狩獵依然是個難題。以前,針對入侵的普遍心態是被動等待。不過,這種方法通常意味著,從入侵開始到真正被發現或檢測出來要等待1-6個月的時間,這足以讓攻擊者收集足夠信息,對組織機構造成巨大危害。
開展威脅狩獵時,組織機構就要像叢林里的獵豹一樣去尋找獵物,通過人主動去尋找入侵痕跡,而不是被動等待技術告警。威脅狩獵就是尋找那些“異常現象”,也就是平時不會發生的非常規現象。在這個過程中,需要從人員、技術和流程三個方面著手。
人員:培養威脅狩獵的文化
組建一個威脅狩獵團隊需要考慮團隊構成、時間資源、狩獵培訓、系統化管理等方面的內容。
(1)團隊構成
威脅狩獵團隊中的人員應該了解操作系統(OS)的內部機制,包括Linux系統、Windows系統、Mac系統。威脅獵人需要知道這些操作系統是如何運作的以及在每個層次上的工作情況,包括以下內容:
? 操作系統進程樹結構
? 操作系統文件情況
? 操作系統注冊表(Windows)
這些專業知識非常重要。因為惡意軟件通常都會在操作系統層面進行細微的更改。威脅獵人需要了解他們要尋找什么東西,以及正常情況是什么樣子。只有了解正常的業務應用和用戶活動是什么樣的,才能快速發現異常情況。在了解需要什么樣的專業技能之后,就是找到擁有這些專業技能的人,根據組織的規模,分配好角色和責任。
(2)時間資源
除非公司撥出一大筆錢來建立獨立的威脅狩獵團隊,否則只能從現有員工的工作中抽出時間來進行威脅狩獵。根據組織的大小,每周需要花費多少時間進行威脅狩獵各不相同,這主要取決于組織的安全狀況和風險承受能力。根據需要調整威脅狩獵的時間時,最重要的是要從狩獵中獲得結果,這樣才能顯示出時間投資回報率。
(3)狩獵培訓
威脅狩獵團隊必須像獵人一樣思考,除了要有獵捕獵物的欲望,還需要培訓其他的訓練技能,包括:
? 操作系統知識:需要了解操作系統進程管理、網絡通信等內容。
? 應用行為:威脅獵人要了解終端上使用的本地應用程序功能。
? 威脅狩獵工具:了解如何使用手中的工具,才能有效地追捕攻擊者。
? 事件響應流程:在發現入侵跡象后采取步驟,抓住獵物之后該做什么。
(4)系統化管理
威脅狩獵是一個需要長期努力的活動。首先需要對組織威脅狩獵有一個定位以及如何與其他IT團隊和安全團隊進行配合流程。重點需要關注以下幾點:
? 熟悉終端基線:需要不斷地磨練團隊中的威脅獵人,讓其徹底了解終端中哪些行為、事件是正常的,以便能夠更快地識別異常。
? 改進狩獵工具、練習技能:在某種程度上,需要建立一個知識庫,這樣每個新的威脅獵人都可以站在其他前輩的肩膀上成長。
? 改進響應:提供包括更快、更準確的事件響應行動,包括控制和修復。
? 提高技能:威脅獵人需要提高自身技能和知識。
技術:采用必要的技術
威脅狩獵是一項人機結合的活動,如果沒有合適的工具,威脅狩獵行動將一無所獲。要成功實現威脅狩獵,必須采用的技術包括以下幾項:
(1)終端全面可視化
終端是攻擊者進入組織機構第一個戰場。只要攻擊者進入企業內部,極有可能會從服務器上竊取各類數據。終端可視化是指獲取每個終端內部活動細節的能力:
? 對所有終端設備,尤其是對于承載著企業核心資產的服務器,擁有完全可視化是必然要求。
? 每個進程的信息,包括它的父進程和子進程,以及文件創建、讀取、寫入和刪除等,以及網絡活動。
終端可視化另外一個重要作用是溯源。例如,威脅獵人可以溯源分析之前發生可疑活動的數據。
(2)獲取網絡事件數據
威脅獵人除了需要擁有終端可視化之外,訪問網絡事件數據也是必不可少的。基于主機和網絡的數據是互補的,它們從兩種不同的視角關注攻擊者活動。安全團隊可以同時使用這兩種類型的數據來實現最全面的技術可見性。還有一點需要注意的是,有些策略在主機上更容易被發現,如持久化、權限提升和執行。
(3)收集威脅情報
威脅情報信息會告知威脅獵人攻擊者針對其它組織機構所采用最新攻擊工具和技術,以及相關的域和IP范圍。威脅情報通常是大量的、以結構化的格式交付,如 STIX和OpenIOC,這些結構化設計非常有利于將其導入SIEM或其它威脅管理工具中。
(4)數據關聯和分析工具
由于威脅和事件數據來自許多不同的地方,威脅獵人需要能夠執行事件關聯分析工具,輔助其理解環境中發生的事情,例如SIEM工具。
流程:六個必要步驟
通常,一次完整的威脅狩獵過程需要完成以下六個步驟:目的確認、范圍確認、技術準備、計劃審查、執行和反饋。
對于威脅狩獵的目的確認,必須要描述清楚相關的目的和預期達到的結果。范圍確認階段主要是為了確認要達到的預期結果,需要開發的威脅狩獵的假設用例。技術準備階段要確認,在基于假設用例的情況下,需要采集哪些數據和哪些技術和產品。計劃審查是對范圍確認和技術準備的內容進行評審,確認其是否能真正能滿足目的。接下來就是執行階段,主要是看實際效果。最后進行復盤來檢查每項活動中的一些不足,進行持續改進。
比較重要的是兩個階段:范圍確認和技術準備。范圍確認首先要進行測試系統的選擇。對于測試系統,要確認需要哪些數據和技術手段來進行威脅狩獵。其次,假設用例的開發尤為關鍵。假設用例作為威脅狩獵的核心,是威脅狩獵分析的起點,來源于對數據的一些基本分析和高級分析,威脅情報的使用和收集以及對TTP的理解,甚至是一些核心能力的使用,比如使用搜索的分析能力。
威脅狩獵的必要準備:熟悉所在環境
除了結合人員、技術和流程不斷改善威脅狩獵之外,開始威脅狩獵的一個前提準備是要盡可能多地了解所在組織機構的環境,這樣才能更好地判斷什么是正常的,什么是不正常的。這樣當他們進行威脅狩獵時,威脅獵人就會比其他人更熟悉自身的環境。威脅獵人需要像攻擊者一樣思考,這樣才能更好地預測威脅并盡早停止攻擊。
(1)了解正常和不正常
威脅狩獵的關鍵是知道什么是正常的,這樣任何不正常的東西都會被發現。所以威脅獵人需要花大量的時間來觀察和熟悉環境中正常的事件,這就要求威脅獵人深入了解熟悉他們的組織架構,包括網絡、系統、工具和應用。
(2)知道組織機構的高價值目標
在威脅狩獵中,威脅獵人需要知道目標是什么。根據攻擊者的攻擊目標,這些信息可以是客戶或員工數據之類的信息,也可以是面向公共Web服務器之類的關鍵資產。威脅獵人需要知道所有這些高價值目標,并了解攻擊者是如何攻擊他們的。
(3)預測攻擊者的攻擊方式
就像獵豹預料到其獵物的下一步行動一樣,威脅獵人需要知道攻擊者可能會采取哪些方式進入他們的環境。這主要依賴于直覺以及對環境的了解。
? 架構:攻擊者總是會先找出組織架構和數據流中的弱點,尋找任何有價值的數據,以及如何在不被注意的情況下獲得這些數據。
? 安全態勢:攻擊者要攻擊組織的弱點,如端口掃描,就可以找到未打補丁和存在風險點系統。因此,企業組織的威脅獵人需要知道組織的弱點在哪里,因為攻擊者會找到他們并利用他們。
? 人員:組織的安全文化是風險的重要指標。攻擊者通過社會工程、釣魚等方式極易訪問那些沒有做好安全意識培訓的組織機構。
? 威脅情報:雖然攻擊者很有創造力,也幾乎不可預測,但是攻擊者也有自身的習慣,比如會使用他們曾經使用過的工具和技術,以及過去曾經對他們有用的東西。因為組織往往以類似的方式保護自己,所以攻擊者很可能以類似的方式進行攻擊。
青藤威脅狩獵解決方案
正如文章開頭所說,沒有系統可以被視為100%受保護,即使用最好、最新的技術,也總是存在一些高級威脅能夠逃避現有的防御方案和設備。傳統基于規則的被動檢測技術效果越來越差,企業要想最大程度地保護核心資產,有必要采取措施主動發現潛在入侵行為。熟練進行威脅狩獵,更是企業在攻防實戰演習中快速發現攻擊、實現回血加分的必備技能。
青藤獵鷹·威脅狩獵平臺基于ATT&CK框架,幫助用戶解決安全數據匯集、數據挖掘、事件回溯、安全能力整合等各類問題,是企業回溯與分析能力的極大補充。該產品提供了200余類ATT&CK攻擊場景,可直接對從各類安全產品中獲得的數據與事件行為進行深度挖掘,捕獲常規手段難以發現的威脅。
除了威脅狩獵產品,青藤還提供「產品+服務」的創新安全模式,基于青藤獵鷹,由青藤富有多年經驗的安全專家采用大數據分析手段,利用防御中的場景經驗積累,通過專業攻防分析服務,對客戶環境內的異常行為活動開展拓線分析,發現已經進入環境的未知攻擊行為,分析出攻擊者的TTPs,并給出專業的處置解決建議。對于內部已經部署了青藤獵鷹,且對平臺使用和價值還不明確的客戶,青藤可以提供專業的威脅狩獵分析服務,提升產品價值。
