文章來源: MottoIN

威脅獵人(Threat Hunter

威脅獵人(在有些情況下也被翻譯為威脅狩獵)的定義比較廣泛,是一項新發展出來的網路安全概念。

簡單地講,威脅狩獵是指採用人工分析和機器輔助的方法迢,針對網路和資料進行主動的和反復的搜索,從而檢測出逃避現有的安全防禦措施的高級持續性威脅(即APT攻擊)。而威脅獵人則是指在企業或組織中處於防守地位的,通過積極的方法來發現攻擊和入侵事件的安全人員。

這裡有一個基本假設,那就是在任何時刻,網路上至少有一個被攻破的系統,駭客的攻擊成功地躲避了組織各項預防性的安全措施。

與採礦相反,威脅獵人狩獵的行為就像尋寶,沒有地圖,也沒有標準的流程,獵人們可以使用任何覺得正確的方式去捕獲攻擊者。

從上述描述可以看出,威脅獵人專注于威脅,而不是脆弱性、具體的漏洞或惡意軟體。威脅獵人的任務尋找可以證明網路中存在一個潛在的敵人的跡象或證據,這樣做有助於遏制或消除攻擊,一旦這些攻擊被落實,可能會引起報警或導致資料洩露。

威脅獵人的目標是破壞攻擊者並阻止敵人實現目標。因此在實現這一目標的過程中,需要學習和收集大量的關於對手和組織自身的各類資訊,研究攻擊者的行為模式、建立視覺化的攻擊鏈。威脅獵人的工作可以提高安全運營中心操作的前瞻性,將安全團隊的工作焦點轉移到早期檢測上,獲取更快的反應時間,及時緩解組織的風險。

如何成為一個優秀的威脅獵人

在與網路犯罪對抗的過程中,一個優秀的Threat Hunter(威脅獵人)總是希望可以料敵於先、快敵一步,有時候,就像下棋一樣,如果能提早洞察對手的意圖和招數,那麼就占的了先機。

儘管安全防禦者正在不斷的努力,但是現實情況是,大多數組織都很難跟上攻擊者的步伐,組織的安全團隊(通常也稱為藍隊)要麼處於被動救火的狀態、要麼處於懵懂挨打的狀態,悲觀地說,大部分組織的安全團隊處於劣勢。

Aberdeen最新發佈了一份報告,基於Verizon2017資料洩漏報告(DBIR)的資料顯示,2014-2016年,網路攻擊的平均駐留時間(檢測到攻擊到時間)是38天。也就是說,攻擊者比防守者領先了大約56周的時間。儘管這個數字與往年相比,已經有所減小,但距離安全期望相差還很遠。

攻擊的探測時間確實是組織必須重視的一個指標,以最近的幾個重大網路事件為例加以說明;

  • 美國大型的信用監督機構Equifax承認14300萬美國客戶的個人資料、大約40萬個英國人和10萬加拿大的資訊可能被盜,根據調查顯示駭客入侵的事件至少在今年3月份之前,但該公司直到729日發現被入侵(也有證據稱Equifax公司是內部5月份知曉此事的。)檢測時間大於2個月
  • 世界上最大的會計師事務所之一的德勤公司,觀球電子郵件伺服器在201610月或11月遭到駭客入侵,直到20173月才被發現,包含客戶資訊、機密的電子郵件、業務計畫等在內的的敏感性資料可能已經被洩漏。檢測時間大於4個月
  • 根據安全公司AVest最新發佈的關於CCleaner軟體被植入後門程式的調查報告顯示,伺服器至少在82日之前就已經被入侵,該事件直到9月初才被發現,超過200萬用戶可能受到影響,目前AVest公司已將該事件定性為APT攻擊。檢測時間大於1個月

以上幾個示例充分表明,防禦者未能及時發現對手的存在,也很難採取有效的措施減少攻擊的影響。

ThreatHunting 1 

上圖概述了一次攻擊可能會經歷的所有階段。當攻擊者首次入侵系統時,如果能在分發(deliver)或利用(Exploit)階段檢測到,是比較理想的,想要實現這一點並不容易。反過來講,如果在資料已經洩漏的時候才意識到問題,可能就已經太晚了。大多數時候,專業的威脅獵人希望可以在控制階段(command & control)階段,或者在攻擊者試圖從最初的滲透狀態轉入持久狀態時,發現攻擊。

對於威脅獵人而言,其工作是建立在瞭解攻擊者的戰術和技術的基礎上的,既然目標是發現攻擊者,那麼當然是越早發現越好。

想要成為優秀的/專業的威脅獵人,最基本的能力就是盡可能深入、全面的瞭解你的對手,最好能夠代入攻擊者的思想。那麼,如何才能做到這一點呢?概括地說,涉及到三方面:瞭解你的敵人;瞭解你的網路,瞭解你的工具。

需要指明的是,這三點單獨使用的話,效果並不完美,組合起來靈活的加以運用,才能事半功倍。

Threat Hunter」進擊之路1:瞭解你的敵人

作為一個藍隊隊員,首先需要明白,你不是在和一堆的二進位檔案在戰鬥,你面對的是一個有著強烈動機的攻擊者,攻擊動機可能是經濟上的、政治上的或是軍事上的。

因此,想要代入他們的頭腦和思想,首先需要知曉他們攻擊背後的驅動力是什麼?

你不能僅僅目光和精力集中在IoCs指標上,事實上,受現實條件制約,很多時候你並不能定位到具體的入侵指標,記住,攻擊者可能會迅速的改變他們的IP位址、功能變數名稱、檔雜湊等,不費吹灰之力就能在一分鐘內改變幾百次。

因此,優秀的威脅獵人必須專注于高層次的戰術和技術,注重提升描述攻擊者(駭客畫像)的能力,瞭解敵人的動機以及這些動機對他們行為的影響,在網路上搜索這些行為模式的證據,增強你對敵人的瞭解。

Threat Hunter」進擊之路2:瞭解你的網路

作為防禦者,有時候你必須承認,攻擊者甚至比內部人員更瞭解組織的網路狀況。

由於許多公司仍然把重點放在邊界和端點防禦上,試圖讓壞人遠離他們的網路周邊,但是在連續的監視、檢測和快速回應方面卻沒有投入足夠的時間和資源。

所以,像一個攻擊者一樣認真地思考,比其他人更仔細地審查你的網路,瞭解它的來龍去脈、各種架構,甚至員工常用的軟體、內部的軟體發展流程等邊邊角角的資訊。要知道,在你看不見的角落裡,伺機而動的攻擊者可是有大把的耐心和時間專注於研究目標系統和網路的任何弱點。

瞭解你的網路,就意味著你需要知道網路運行的正常模式,以便及時的發現異常模式。敵人可能從意想不到的地方攻擊進來,你要知道什麼是正常的,因為在不同的場景下,攻擊所表現出的異常模式是不一樣的。

這也關係到剛剛提到的第一點:瞭解你的敵人。防禦者必須站在攻擊者的立場思考其最有可能的切入點(基於行業特徵、地理位置、公眾形象等屬性進行考量),瞭解哪些特定的資料可能是攻擊者感興趣的,進而明白組織的哪些網路和系統需要更多的關注。還是那句話:記住,著眼於目標和動機。這樣做也就意味著允許安全團隊的聚焦範圍,把力量集中在攻擊者最有可能使用的戰術和技術上面,優先考慮這些攻擊,並嘗試提前部署安全加固及優化策略。

Threat Hunter」進擊之路3:瞭解你的工具

老練的攻擊者可能會使用多種工具,這意味著藍隊成員也必須做同樣的事情,甚至要做的更好,但也需要明白,不要過分依賴任何一種工具。威脅獵人關注的焦點應該集中在收集並分析有效的資料,而這些資料可以增強攻擊鏈的可見性,在特定攻擊發動的前幾個階段檢測到攻擊者的技術和程式。

即使沒有有效的工具來收集和分析這些資料,優秀的威脅獵手會選擇通過便攜自己的工具或對手頭可用的工具進行調整,集成各類有效的工具來實現自動化。

所以,像一個攻擊者一樣思考,理解他們的行為動機以及戰術、技術和程式(TTP),充分瞭解你的網路和工具,這樣做不僅能夠在戰略上領先攻擊者一步,同時也有助於加強組織的整體安全態勢,從被動轉向主動,獲得更多的自主權。

當然了,在組織力量有限的情況下,借助於專業的、可靠的安全合作夥伴,也是一種可行之策。

 

如何使用QRadar SIEM 進行網路威脅狩獵Threat Hunting