🔥 热搜 🔥
11'"1'123456kN朱令@调研纪要张靓颖抖音鱿鱼游戏
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
11'"1'123456kN朱令@调研纪要张靓颖抖音鱿鱼游戏
分类
社会娱乐国际人权科技经济其它
查看原文
其他

威胁狩猎漫谈

碳泽信息 碳泽信息 2023-02-21
收录于合集
#网络安全 8 个
#威胁狩猎 4 个



01


威胁狩猎


在开始之前,我们先了解一下什么是威胁狩猎以及它在整个网络防御计划中处于什么位置。

二十多年来,安全信息和事件管理系统 (SIEM) 一直作为安全运营中心 (SOC) 的检测层。主要目的是合规,但随着攻击行为的演变,基于经典日志管理的 SIEM 已让位于可以做更多事情的分析平台。但是想想企业投资SOC的主要目的是什么?它是从原始日志中发现可能对企业构成威胁的潜在事件。最初它是一个简单的基于签名的检测,但现在已经演变成多种方式将原始日志/数据转换为告警,如下所示。
 
基本SOC流程,将原始日志转换为告警和事件

上图显示了在表示高级SOC流程工作流方面的拙劣尝试,从左开始,原始日志/数据被送入各种关联引擎以生成告警,然后对其进行分类和分析以过滤掉潜在的事件。我们稍微详细地讲解一下这三个关联引擎。

  • 基于签名

这主要基于合规性,当我们知道要寻找什么时,它效果非常好。例如,让我们考虑暴力破解。一个典型的基于签名的逻辑,几乎在所有SIEM中都能找到,是在Y分钟内检测X次失败的登录。
但是我们如何确定X和Y?一个企业的X可能是5,另一个企业的X可能是20。
如果攻击者在3次尝试中成功了怎么办?
如果攻击低且缓慢,并且扩散到 Y 之外怎么办?
对于这样一个简单的规则却有这么多变量。这就是为什么基于签名的规则不再足以提供完整的威胁覆盖。尽管如此,它们仍然是必需的,并且可能是检测已知错误的最节省资源的方法。

  • 基于行为

当攻击复杂性增加时,基于签名的规则就不再适用。最好的方法是根据已知的攻击者行为进行检测。例如,众所周知,许多攻击者喜欢使用 mimikatz 等工具进行凭证转储。那么,我们是否可以建立一个检测逻辑来寻找凭证转储?或者我们在出站网络连接中查找命令和控制 (C2) 流量?分析到新创建的域或不常见域的出站流量?
每一个都不是基于特定的签名,而是基于典型的攻击者行为。MITRE ATT&CK框架为我们提供了详尽的攻击行为列表。

  • 基于异常

第三类基于行为的变化。发现一些不正常的事情。例如,用户的奇数较小时身份验证操作,或从端点发出的异常大量数据。这里的挑战是为了了解什么是正常的,然后寻找异常活动的指标。使用传统方法,为企业中的数千个用户和/或端点定义正常行为是不可行的。我们需要数据分析和统计分析技术来创建数据模式,然后寻找异常。

一个好的SOC需要所有三种类型的关联来提供最大的威胁检测覆盖范围。

但这与威胁狩猎有什么样关系?是的,一切都有关系。

“因为正如我们所知,有已知的已知;有我们知道我们知道的事情。我们也知道有已知的未知;也就是说,我们知道有一些事情我们不知道。但也有未知的未知——我们不知道的我们不知道。”—— 唐纳德·拉姆斯菲尔德。

尽管断章取义,但我认为唐纳德·拉姆斯菲尔德在他著名的2002年简报中说得非常正确。基于特征的检测适用于已知的情况。我们知道攻击者做什么以及他们如何做。我们可以为它们提供签名,并且可以创建基于指标的规则来检测它们。

已知的未知很有意思。我们知道攻击者做了什么,但不知道他们是怎么做的。这是基于行为的检测的主要方式,但这些都很困难,而且许多技术并不适合实时检测;这就是威胁狩猎的用武之地。威胁狩猎是一门在环境中发现未知事物的艺术,它超越了传统的方式。(后面我们将对此进行更多探讨)

最后是未知的未知由于攻击者掌握着一套复杂的武器库和先进的技术,防御者需要现代数据分析和机器学习的力量来处理所有原始数据,得出正常的行为模式,然后寻找与之不同的地方。始终动态调整正常模式。
 
使用检测技术扩展SOC流程

在上图中,我们重新审视了基本的SOC流程,并尝试将关联逻辑的类型与检测技术联系起来。我们仍在尝试从原始日志/数据生成告警,但确定我们实现目标的不同方式。正如我们在上面看到的,威胁狩猎主要用于找出已知的未知,但有时也可用于检测未知的未知。

一个好的SOC将具有所有三种检测类型的元素,并且不会将威胁狩猎视为某种抽象的东西,可以放到SIEM上或使用EDR/XDR进行。


02


威胁狩猎的策略


NIST风险管理框架(RMF SP 800-53 Rev 5.1和SP 800-53 B)将威胁狩猎描述为:
与传统保护措施(例如防火墙、入侵检测和预防系统、隔离沙箱中的恶意代码以及安全信息和事件管理技术和系统)相比,威胁狩猎是一种积极的网络防御手段。网络威胁狩猎涉及主动搜索组织系统、网络和基础设施以发现高级威胁。

进行威胁狩猎的策略有很多:结构化或非结构化的,以及一些模型。

结构化狩猎完全属于“已知的未知”类别。我们对潜在攻击者有所了解,无论是失陷指标 (IoC) 还是他们的策略、技术和程序 (TTP),威胁猎人都会利用这些信息积极寻找潜在失陷的迹象。

非结构化狩猎通常基于触发器。它可以由威胁情报输入或假设触发。猎人没有考虑流程或目标,而是根据前一步骤的发现决定下一步行动。

威胁狩猎模型
  • 基于威胁情报的狩猎:狩猎由已知IoC的威胁情报输入触发。猎人在历史数据集中搜索IoC,以确定企业是否有这些IoC的证据。这可能是当今使用最广泛的威胁狩猎模型,但并不是那么好。

还记得“已知的已知”类别吗?这正好符合。 
有人在某处攻击了其他人,同时进行了分析并确定了IoC。但它如何对组织构成威胁?我们的目的是“威胁”狩猎,而不是IoC狩猎。IoC何时成为威胁?这些不是简单的问题,但如果您能在进行威胁狩猎之前回答这些问题,那就很值得了。当IoC涉及利用组织中存在的某些已知漏洞时,这将变得有意义,然后您可以验证该漏洞过去是否已被某些恶意行为者利用。

这种方法也可以作为威胁狩猎的开搜索可以从在历史日志中查找相关IoC开始,如果找到,则寻找失陷的证据。只有这样,它才会成为威胁狩猎。如果检测到任何入侵证据,则可以为进一步的DFIR步骤生成告警。

但重要的是,这种方法在检测现代有针对性的攻击方面效果最差。

在最近的一次袭击中,一家大型企业遭受了一次成功的鲸钓攻击(针对高层管理人员的欺诈和商业电子邮件骗局)。攻击者的电子邮件是有效的电子邮件,且实际上属于另一家公司的CEO。没有威胁情报来源将其标记为恶意。我们的调查显示它是多个泄露的凭证转储的一部分。这就是真实的攻击者如何获取有效电子邮件并将其用于鲸钓攻击的例子。这里没有IoC。在勒索软件攻击的另一个实例中,攻击者创建了全新的域并将其用于命令和控制。同样,没有IoC。


因此,真正的威胁狩猎必须超越IoC搜索。搜索IoC不构成威胁狩猎。
任何值得一试的好SOC都应该一直在寻找相关的IoC。只是不能称之为威胁狩猎,且假设有很好的防御。

  • 基于假设的狩猎:我们知道一些事情并使用该假设来寻找失陷的证据。这可以基于攻击者TTP(可以基于MITRE ATT&CK 框架)进行基于行为的狩猎或基于异常狩猎的统计技术。在这种情况下,我们寻找攻击指标是IoA而不是IoC。

另一个引人注目的有趣术语是基于行为的失陷指标(BIOC)它寻找攻击者的行为。与哪个攻击者或什么攻击工具无关,但如果他们表现出任何类似于恶意行为的行为,BIOC应该能够猎捕到它。这些BIOC可以基于进程树、网络流量、文件操作或修改等。如果您查看MITRE ATT&CK框架,会发现他们通过记录许多已知的攻击者团体并列出他们使用的工具来提供能知觉的服务。仔细检查会发现在许多攻击中使用的一小部分工具和技术,例如Cobalt Strike、Mimikatz、Empire等。如果我们要寻找在我们的环境中使用这些工具的证据,我们将能够检测到任意的恶意行为者使用的这些工具。
 
痛苦金字塔(The Pyramid of Pain)

基于情报的狩猎很容易进行,但很可能会忽略对您的组织的真正威胁。基于假设的狩猎要困难得多,但可能会捕获甚至有针对性的攻击或迄今为止未知的威胁。


03


威胁狩猎的方法


那么,我们如何进行威胁狩猎呢?
进行威胁狩猎的方法有很多,可能需要一本完整的书。其实,它可以从一个框架开始,进而引导SOC成熟度的改进。以下是建议的主要步骤:

  • 了解您的攻击面和漏洞

  • 了解您的实时威胁检测能力

  • 确定检测与威胁之间的差距。一个很好的方法是使用MITRE ATT&CK等框架并使用ATT&CK Navigator等工具将威胁与检测进行交叠。

  • 对那些已识别的差距区域进行搜寻,并利用这些搜寻在未来提高检测能力。


有许多很棒的资源和指南,个人推荐如下:   
  • https://github.com/0x4D31/awesome-threat-detection
  • https://threathunterplaybook.com/introduction.html
  • https://www.activecountermeasures.com/event/training-cyber-threat-hunting-w-chris-brenton/

生活中的一切都有目的。什么是威胁狩猎?我想主要有两个目的;一个是主动搜索上述任何威胁,另一个是持续改进实时检测能力。
 
 
通用威胁狩猎流程

如上图所示,威胁狩猎的结果是主动寻找组织中的隐藏威胁,并为实时威胁检测平台做出贡献。
重要的是要将狩猎视为一个过程,有许多变量和未知因素;因此,它主要是由分析师驱动的。威胁狩猎的某些部分可以自动化,特别是数据收集和初始处理/细化,但是,分析部分通常是手动的。因此,挑选合适的团队至关重要。所需的威胁猎人技能应包括:

  • 系统知识(端点、网络)

  • 安全知识(威胁知识、漏洞知识、攻击者行为、日志分析技巧)

  • 数据分析(创建图表和仪表板、数据分析、统计技术)

  • 开箱即用的思考能力(好奇心)


一个优秀的威胁狩猎团队应该具备上述所有技能——安全专家、数据分析师和创造性思维者。这是很难找到的,但是,这些都是技能,可以通过培训渠道传授给优秀的SOC分析师和事件响应者。在较大的SOC中,L2/L3 分析师也是建立威胁狩猎团队的好人选。

重要的是,随着越来越多的狩猎被添加到狩猎库,威胁狩猎作为一种实践将随着时间的推移而成熟。我们不应期望立即产生结果。同样重要的是要知道,并非每次狩猎都会导致检测。

当这种情况发生时,我们不能假设我们的组织是安全的。只是这个当前的假设或IoC没有得到验证。即使在这种情况下,我们也应该看看这种狩猎如何通过添加新的 SIEM 规则来帮助改进未来的实时威胁检测。

这里需要注意的是,并非每次狩猎都适合转换为SIEM规则。其中有许多基于统计和数据分析无法转换为规则。在这些情况下,探索是否可以创建仪表板或其他可视化,以帮助将来更轻松地进行检测。
 

04


思考要点


  • 狩猎是人和流程驱动的。我们需要确定合适的人员并制定流程。
  • 威胁狩猎不是工具驱动的。过多依赖工具或特定数据类型将导致次优狩猎结果。狩猎必须灵活,能够围绕关键数据点并根据需要引入额外数据。
  • 在积极狩猎的情况下,狩猎结果将对事件响应者造成额外负担,在积极或消极狩猎的情况下,对SIEM管理员造成额外负担。
  • 它不是一门科学而是一门艺术,因此结果很难衡量。为没有结果或失望做好准备。
  • 只有当检测到的告警被输入到DFIR管道并得出合理的结论时,威胁狩猎才是好的。否则它只是另一个告警制造机器。
    
总而言之,威胁狩猎是一种高级SOC功能,可以发现实时检测工具或高级针对性攻击可能遗漏的迄今为止未知的威胁。但是,不应掉以轻心,SOC应首先在人员、流程和工具方面达到最低成熟度,然后再尝试引入威胁狩猎。否则,只会增加混乱。威胁狩猎还与数据和遥测有关,因此为狩猎获取正确数据的能力显得非常重要。

End


碳泽信息
专注于下一代安全防御和响应体系

电话:400-1788-258

销售咨询:sales@tanze.net.cn

技术支持:support@tanze.net.cn

官方网站:http://www.tanze.net.cn


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存