碳泽解读 | 如何进行威胁狩猎

简而言之，狩猎是一种主动的努力，它应用假设来发现可能被您的安全设备漏掉的可疑活动。

这并不意味着您不能使用您的安全工具进行狩猎（我们稍后会谈到）。 但是查看来自端点检测和响应 (EDR) 工具的告警并不是狩猎，那是告警管理。

狩猎与告警管理的对比:

这是另一种思考方式。 通过狩猎，您假设某些事情已经失败并且您已经受到攻击。攻击者已经越过了边界（也就是进入了内部网络），而您正在寻找他们。由于您不知道攻击者隐藏在哪里或他们试图冒充谁，您需要从基于攻击者常用策略的理论开始。 

然后，一旦您知道您打算如何寻找攻击者，您就需要仔细观察以识别看起来有点不对劲的活动。看起来不正常的事情会成为分析师进一步审查的调查线索。

狩猎流程概览：

举例：查找被盗的用户凭据

攻击者使用许多不同的方法来窃取用户凭据，以便他们可以融入正常活动并避免怀疑。 但是，当攻击者使用这些被盗的凭据访问系统时，他们的位置通常与用户的真实位置大不相同。

例如，纽约的攻击者可以使用被盗的凭据登录，30分钟后，真正的用户可以在洛杉矶登录。飞机肯定飞不了那么快。通过查看用户登录的位置，可以识别地理上差异太大又无法证明合法用户旅行的登录活动。

狩猎技术示例：使用登录地理位置不可行性查找被盗帐户：

既然我们已经讨论了什么是狩猎，那么让我们确定狩猎所需的基本工具。

1. 某人（或某些人）进行狩猎：狩猎需要合适的人。或者至少是需要人判断和评估收集的数据。但是，如果您的组织比较小，或者您的安全程序还没有成熟，您将不得不去寻找“某人”。 这可能很难。优秀的威胁猎手通常会在事件响应团队中工作过一段时间，他们渴望做一些取证，他们可能只是为了好玩而至少逆向过一个恶意软件。这样的人比较昂贵，也不容易找到。 一旦找到就需要尽量留住（说起来容易做起来难）。当然，如果您决定不想或找不到自己的猎手，那么有一系列安全供应商和托管检测和响应 (MDR) 提供商很乐意为您提供帮助。

2. 收集数据的安全设备：一旦您解决了人的问题，下一个任务就是为他们提供一些数据。 为此，您需要安全设备。端点检测和响应 (EDR) 工具是一个很好的起点，但它们并不是全部。端点是真相的来源，但您的防火墙、SIEM或网络取证工具也会收集包含关键细节的数据，以识别恶意活动和充实故事。您收集的数据越多，可以狩猎的就越多。但不要沉迷于工具。至少，如果您拥有端点或网络工具，那么您就拥有了开始所需的一切。

3. 要狩猎的清单：最后，您需要决定要狩猎的东西。 了解您想要探查的策略将指导您需要收集的数据以及寻找哪些异常值。

MITRE ATT&CK框架是一个很好的起点。事实上，这就是我们在使用的。它概述了攻击者在攻击生命周期的每个阶段通常使用的战术和技术。当您考虑要狩猎什么时，您必须确保您拥有可以为您提供所需特定类型数据的工具。对您有多少时间要实事求是。

如果您选择外包您的狩猎能力，请确保您要求您的服务提供商解释他们将如何狩猎以及他们的技术如何与您拥有的安全工具保持一致。 如果他们的答案模糊不清，就可以考虑下一家了。

既然我们希望或者说已经从狩猎中解开了一些谜团，您可能想知道它是否应该成为您关注的点。 虽然它确实提供了额外的安全级别，但并不是每个组织都能实施狩猎计划。

我们建议您评估您的风险和资源，以确定您是否应该制定狩猎计划。 如果您在高风险（攻击者的常见目标）的环境中运营——比如银行、政府、基础设施和存储大量个人和财务信息的企业——那么狩猎可能是有意义的，因为有很多对手试图渗透您的网络。

但是，如果您的组织的风险状况是中低风险，那么您很可能是恶意软件的目标，并且应该评估最需要您的资源的地方。 

在这种情况下，狩猎可能会占用大量时间，并分散您对优先级列表中可能更高的事情的注意力，例如有效的反网络钓鱼控制、资产管理、第三方评估以及构成的无数其他事情有效的网络风险计划。做正确的安全是困难的，当您应该专注于建立更安全的基础时，专注于狩猎实际上会让您变得更不安全。

不管怎样，您都应该有意识地决定自己是否在狩猎。不要因为您的员工开始追逐新东西，并发现他们在网络中寻找可疑的活动而意外地开始狩猎。

也就是说，如果您认为一个正式的狩猎计划是有意义的，那么这里有两个好的起点：您在狩猎什么以及如何找到它。

在接下来的两篇我们将与大家分享【开始威胁狩猎计划必须要做的三件事】以及【如何在威胁狩猎中发现异常进程关系】，请持续关注！