来源:https://www.darkreading.com/operations/5-things-to-consider-with-a-threat-hunting-program/d/d-id/1325903
心态的改变(change in mindset)和像恶意黑客一样思考(ability to think like a malicious hacker)的能力是两个关键要求。
网络攻击者通过最坚固的企业防御系统的能力不断发展,这加大了组织开发更好的威胁检测和响应能力的压力。
这种关注的一个结果是,人们对被许多人称为“威胁狩猎”(threat hunting)的东西越来越感兴趣。“威胁狩猎”的概念是,主动搜索网络上的恶意活动,而不是坐等坏事先发生。
SANS研究所最近的一项调查显示,许多组织在某种程度上已经在从事威胁狩猎活动。SANS调查的494名IT专业人士中,有86%的人表示他们已经实施了威胁狩猎程序。约59%的人声称,威胁狩猎增强了他们的攻击反应能力,75%的人认为这一过程减少了他们的攻击面。
Sqrrl Data Inc.的安全技术专家戴维·比安科(David Bianco)开发了一个用于威胁狩猎的威胁狩猎成熟度模型,他将威胁狩猎描述为“用于检测安全事件的任何手动或机器辅助技术的统称”。
Bianco说,这个过程的核心是用于搜索的数据的质量,用于访问和分析数据的工具,以及负责使用数据搜索安全威胁的分析师的技能水平。
他指出,猎人用来追捕入侵者的实际技术可能各不相同,很难指出单一的方法是最好的。事实上,对于猎人来说,熟悉各种各样的方法是更好的,这样他们就能知道最适合特定情况的方法。
在您的组织中实现威胁查找过程时,需要考虑以下五件事:
一、改变你的心态
端点检测和响应技术供应商Cybereason的首席技术官兼联合创始人约纳坦•斯特里姆•阿米特(Yonatan Striem Amit)表示,与其说威胁搜索是一项新技术,不如说是一种心态的根本转变。
其重点是利用人类的聪明才智来侦察出恶意活动,而不是仅仅依赖安全警报工具。预感和“直觉”在威胁搜索中扮演的角色与受害指标、其他技术指标和警报一样多。
Amit说:“由于对复杂攻击的一般情况缺乏了解,人们往往把大量注意力集中在如何防止最初的入侵上。”在了解入侵者在最初的妥协之后可能会做什么方面的关注较少。
IT-Harvest首席研究分析师理查德•斯廷农(Richard Stiennon)表示:“要想进行威胁狩猎,你必须承认,攻击者很可能正在突破你现有的防御。”“虽然你不应该停止加强这些防御,但你必须寻找击败它们的对手。”你可以通过威胁狩猎来做到这一点。
阿米特将这种态度上的差异比作交警和刑事调查人员在应对事故时采取的方法上的差异。阿米特说:“当你是一名交警时,通常认为事故的发生是由于注意力不集中和其他意外原因。”
他表示:“但如果你是一名正在调查谋杀案的警察,你会认为涉案人员有一个恶毒的理由,然后去调查,弄明白为什么会发生这样的事情。”
二、像黑客一样思考
阿米特说,要想擅长威胁狩猎,你绝对需要像一个恶意黑客那样思考。例如,如果您的组织是这样一种组织,它通过您在一个小时内可以关闭的故障票据的数量和修复问题的速度来衡量成功,那么攻击者很可能也知道这一点。
“如果我在进行黑客活动,我会发送大量已知的恶意软件,只是为了给你很多工作。”如果你没有每次都深入调查事件的习惯,我知道你会很容易受到影响。
组织必须认识到,初始入侵通常是复杂攻击的最简单的第一步。他说,一旦你明白了这一点,许多其他事情就会水到渠成。阿米特说:“你要了解你的对手是如何工作的,以及推动敌对活动的过程和动机,”了解他们可能在你的网络上做什么,以及他们最有可能潜伏在哪里。
三、不要只关注恶意软件
攻击者在你的网络上使用的恶意软件只是达到目的的一种手段。所以仅仅找到并根除恶意软件样本是不够的。
SANS研究所(SANS Institute)新兴安全趋势主任约翰•佩斯卡托雷(John Pescatore)表示,威胁狩猎不仅仅是在主机上搜索ioc的指标。“实际上,这只不过是一种基于主机的入侵检测,它使用了一个奇特的签名。”
威胁狩猎需要主动的威胁监视和定向探测的结合。佩斯卡托雷说:“也就是说,我知道主动危险威胁是如何运作的,我知道他们将以我的哪些资产为目标,以及(他们)是否主动针对这些资产。”
Amit警告说,过于专注于查找恶意软件,还可能会忽略攻击者使用合法工具和网络访问凭证正在进行的恶意活动。通常,设法在系统上获得初始访问权的攻击者将试图找出一种方法,通过利用PowerShell、Windows工具(如WMI)和其他类似功能来升级特权并在网络中悄然移动。恶意软件检测工具无法帮助发现此类活动。
四、提供正确的数据
安全供应商Acuity Solutions总裁克里斯•洛夫乔伊(Kris Lovejoy)表示,良好的数据和情报是有效网络搜索能力的关键。
安全系统、SIEM和分析平台以及网络监控工具收集的数据可以提供关于网络健康状况的大量信息。她说,通过正确的筛选,这些数据可以在帮助威胁猎人对他们可能在网络上看到的或追踪到的东西有更深入的了解方面发挥至关重要的作用。
洛夫乔伊说:“想想看,网络搜索就像在Facebook上监控儿童色情照片一样。”Facebook上负责监控照片的工作人员有时必须根据经验和Facebook系统收集的情报做出决定,以帮助他们解释所看到的东西。
Stiennon补充说,威胁搜索就是将不同的数据拼凑在一起,构建正在进行的攻击的图像。“这可能是UEBA(用户和实体行为分析)解决方案报告的异常行为。它可能是流量峰值或由您的netflow监控解决方案识别的异常连接,”他说。也可以是一份针对SIEM或端点监视的威胁情报。
“除了技术,你还需要数字侦探来拉动所有这些现代工具的杠杆,”斯蒂农说。这个角色的理想人选是解谜者和天生好奇的人。
他说,在IT部门的任何地方都要寻找这些特点。“把它们放在一个控制台前,让它们对大量数据进行链接和图表分析。”给他们提供大量的数据。退后一步,看看会发生什么。
五、做疯狂伊万
洛夫乔伊说,做一些意想不到的事情是找出网络中隐藏的入侵者的好方法。
其中一个例子就是冷战时期的一种名为“疯狂伊万”(Crazy Ivan)的数字化战术,潜艇指挥官曾使用这种战术来探测是否有另一艘潜艇在他们身后尾随。洛夫乔伊说,这种战术包括突然急转弯和其他机动,这样一艘尾随另一艘的潜艇就会暴露出来。
她说,在数字世界中,做同样事情的一种方法是出人意料地更改密码,看看是否有人在尝试破解密码。Lovejoy说,另一种策略是清除DNS缓存,以便更容易看到试图解析为僵尸网络和恶意服务器的任何受损端点。
