信息化觀察網(wǎng)

本文來自微信公眾號(hào)“安全牛”。

在數(shù)字化的世界里，每一個(gè)組織都必須具備在危險(xiǎn)環(huán)境中航行的能力，這需要由他們的守護(hù)者——網(wǎng)絡(luò)安全專業(yè)團(tuán)隊(duì)進(jìn)行守護(hù)。在這場沒有終點(diǎn)的攻防博弈中，開展主動(dòng)威脅狩獵活動(dòng)是一項(xiàng)重要的安全實(shí)踐，它使防御者能夠先發(fā)制人，破壞對(duì)手精心布置的攻擊計(jì)劃，將安全團(tuán)隊(duì)從被動(dòng)應(yīng)對(duì)攻擊的哨兵轉(zhuǎn)變?yōu)橹鲃?dòng)發(fā)起攻擊的網(wǎng)絡(luò)戰(zhàn)士。

威脅狩獵是一種主動(dòng)和可持續(xù)的網(wǎng)絡(luò)安全方法，旨在識(shí)別和緩解威脅，避免其對(duì)組織造成重大危害。與依賴于反應(yīng)性技術(shù)（如基于簽名的檢測或事件響應(yīng)）的傳統(tǒng)安全措施不同，威脅狩獵的核心是基于假設(shè)妥協(xié)的原則，鼓勵(lì)安全專業(yè)人員采取更主動(dòng)和持續(xù)的監(jiān)控方法，尋找到可能已經(jīng)避開傳統(tǒng)防御措施的威脅痕跡和證據(jù)。

組織實(shí)施威脅狩獵計(jì)劃的核心目標(biāo)就是要縮短出現(xiàn)危險(xiǎn)和完成攻擊之間的時(shí)間差，即所謂的“停留時(shí)間”。當(dāng)攻擊行為者在企業(yè)環(huán)境中停留的時(shí)間越長，他們可能造成的傷害后果就越大。更確切地說，威脅狩獵需要能夠發(fā)現(xiàn)傳統(tǒng)安全工具未檢測到的風(fēng)險(xiǎn)，并幫助企業(yè)分析和提高現(xiàn)有威脅檢測機(jī)制和流程的有效性，提出合理的安全性優(yōu)化建議。此外，它們還需要能夠識(shí)別新的攻擊手法、戰(zhàn)術(shù)、技術(shù)和程序(TTP)，從而發(fā)起全新的威脅處置任務(wù)。

為了幫助組織更有效地開展威脅狩獵工作，本文收集整理了目前應(yīng)用較廣泛的7種威脅狩獵方法，并對(duì)其特點(diǎn)進(jìn)行了分析：

1

基于假設(shè)的威脅狩獵

由假設(shè)驅(qū)動(dòng)的威脅狩獵類似于偵探的工作，主要通過細(xì)致的調(diào)查發(fā)現(xiàn)威脅并檢驗(yàn)它們。在這種方法中，威脅獵人（安全分析師）會(huì)運(yùn)用所掌握的攻擊者行為知識(shí)，并利用MITRE ATT&CK框架作為他們的行動(dòng)指南。這個(gè)框架詳細(xì)闡明了攻擊者所采用的戰(zhàn)術(shù)、技術(shù)和流程，幫助威脅獵人有針對(duì)性地搜索潛在的攻擊行為。

基于假設(shè)的威脅狩獵方法，其最大的價(jià)值在于它能夠有效地引導(dǎo)流程化的狩獵活動(dòng)，專注于運(yùn)用已知的技術(shù)，去發(fā)現(xiàn)特定的攻擊者行為。它提供了一個(gè)結(jié)構(gòu)化和主動(dòng)的方法，使獵人保持領(lǐng)先的潛在威脅搜索，并持續(xù)地調(diào)整優(yōu)化組織的防御。通過不斷設(shè)定新的威脅假設(shè)和納入新的情報(bào)，威脅獵人可以更有效地預(yù)測和打擊他們的網(wǎng)絡(luò)對(duì)手。

2

基于異常行為的威脅狩獵

相比基于假設(shè)的威脅狩獵活動(dòng)，以識(shí)別異常行為為基礎(chǔ)的威脅狩獵則采取了一個(gè)獨(dú)特的狩獵路徑，強(qiáng)調(diào)對(duì)網(wǎng)絡(luò)內(nèi)的異常行為進(jìn)行識(shí)別。其狩獵目標(biāo)將會(huì)更加全面和廣泛?；诋惓Ｐ袨榈耐{狩獵需要建立一個(gè)代表正常活動(dòng)的行為基線，并在出現(xiàn)偏離時(shí)發(fā)出警報(bào)和提醒。這種方法需要大量利用機(jī)器學(xué)習(xí)的能力來檢測可能預(yù)示潛在威脅的異常行為模式。

基于異常行為分析的威脅狩獵的優(yōu)勢在于它能夠發(fā)現(xiàn)一些未知的新威脅。通過對(duì)比網(wǎng)絡(luò)中的規(guī)律性模式和安全行為基線，可以迅速識(shí)別和調(diào)查出現(xiàn)的行為偏差。這種方法在檢測內(nèi)部威脅或新型復(fù)雜網(wǎng)絡(luò)攻擊時(shí)特別有用。

不過需要說明的是，基于異常行為的威脅狩獵也存在很多挑戰(zhàn)，比如如何有效區(qū)分真異常和良性異常就是一項(xiàng)非常復(fù)雜的任務(wù)。威脅獵人也必須投入大量的時(shí)間和精力來不斷優(yōu)化其檢測機(jī)制，以最大限度地減少誤報(bào)，確保他們的調(diào)查重點(diǎn)是那些真正的威脅。

3

與簽名無關(guān)的威脅狩獵

組織在尋求威脅檢測的過程中，一些與簽名無關(guān)的狩獵活動(dòng)會(huì)讓安全分析師脫離了常規(guī)的監(jiān)測路徑，此時(shí)需要大膽地超越傳統(tǒng)的基于簽名的威脅檢測方法。簽名不可知的威脅狩獵活動(dòng)挑戰(zhàn)了預(yù)定義的檢測規(guī)則和簽名的局限性，能夠發(fā)現(xiàn)那些動(dòng)態(tài)變化中的模糊威脅。在這種狩獵模式下，要求威脅獵人仔細(xì)檢查大量的安全指標(biāo)，包括可疑的行為模式、惡意代碼片段以及出現(xiàn)異常的網(wǎng)絡(luò)設(shè)施。

這種方法的優(yōu)點(diǎn)在于它能夠檢測出目標(biāo)性很強(qiáng)的APT威脅。攻擊者通常采用自定義惡意軟件、零日漏洞或混淆技術(shù)來逃避基于簽名的防御措施。通過尋找簽名特征以外的特征，威脅獵人可以識(shí)別出與任何已知模式都不匹配的惡意攻擊，因此對(duì)發(fā)現(xiàn)APT攻擊以及一些不斷調(diào)整攻擊手段和戰(zhàn)術(shù)的復(fù)雜攻擊特別有效。

與簽名無關(guān)的威脅狩獵要求威脅獵人對(duì)攻擊者的技術(shù)有非常深入的了解，并有能力分析多種安全數(shù)據(jù)和指標(biāo)。它要求威脅獵人能夠像攻擊者一樣思考，預(yù)測他們的行動(dòng)，并根據(jù)他們的潛在行為和意圖檢測威脅。

4

以情報(bào)為導(dǎo)向的威脅狩獵

以情報(bào)為導(dǎo)向的威脅狩獵主要利用集體知識(shí)的力量，將海量的威脅情報(bào)轉(zhuǎn)化為組織的主動(dòng)防御能力。在這種方法中，威脅獵人需要廣泛利用從各種來源所獲取的威脅情報(bào)，包括廠商通報(bào)、安全研究機(jī)構(gòu)、安全社區(qū)，以及一些暗網(wǎng)監(jiān)測平臺(tái)。通過收集和分析關(guān)鍵入侵指標(biāo)（IOC），如惡意IP地址、域或文件哈希，威脅獵人可以主動(dòng)搜索組織內(nèi)特定威脅的存在或潛在影響。

有一個(gè)典型的狩獵場景:威脅情報(bào)源向威脅獵人發(fā)出警報(bào)，提示攻擊者已經(jīng)開始在針對(duì)性的攻擊中使用了一種新的惡意軟件。以情報(bào)為導(dǎo)向的威脅狩獵將全面分析這種惡意軟件的特征，例如它的命令和控制基礎(chǔ)設(shè)施或獨(dú)特的網(wǎng)絡(luò)簽名。然后，威脅獵人就會(huì)在企業(yè)的網(wǎng)絡(luò)環(huán)境中主動(dòng)尋找這些指標(biāo)，并檢測任何妥協(xié)或正在進(jìn)行的攻擊跡象。

以情報(bào)為導(dǎo)向的威脅狩獵方法主要優(yōu)勢在于它能夠提供狩獵活動(dòng)的背景和重點(diǎn)。通過了解特定威脅者的戰(zhàn)術(shù)、目標(biāo)和工具，獵人可以設(shè)計(jì)出更有針對(duì)性的檢測策略。這種方法還可以實(shí)現(xiàn)安全社區(qū)內(nèi)的協(xié)作和信息共享，共同加強(qiáng)防御并破壞對(duì)手的活動(dòng)。

5

基于攻擊者畫像的威脅狩獵

以攻擊者畫像為基礎(chǔ)的威脅狩獵將威脅獵人的工作重點(diǎn)聚焦到對(duì)主流威脅團(tuán)體的廣泛特點(diǎn)研究上。在這種方法中，獵人研究和分析特定威脅團(tuán)體或攻擊事件中所采用的方法、技術(shù)和流程（TTP）。通過了解這些活動(dòng)中使用的行為、工具和基礎(chǔ)設(shè)施，威脅獵人可以設(shè)計(jì)有針對(duì)性的檢測策略。

例如，一個(gè)以網(wǎng)絡(luò)釣魚攻擊和使用自定義惡意軟件而聞名的威脅行動(dòng)者團(tuán)體可能會(huì)成為基于攻擊者畫像的追捕對(duì)象。獵人會(huì)深入研究該組織以前的攻擊，剖析他們的TTP，并確定與他們之前攻擊事件相關(guān)的獨(dú)特模式或基礎(chǔ)設(shè)施。然后，這些知識(shí)將被用來設(shè)計(jì)旨在檢測組織網(wǎng)絡(luò)內(nèi)的類似攻擊模式的威脅搜索。

以攻擊者畫像為基礎(chǔ)的威脅狩獵可以讓威脅獵人在持續(xù)和有針對(duì)性的威脅面前保持領(lǐng)先地位。通過了解對(duì)手的攻擊行為和動(dòng)機(jī)，威脅獵人可以相應(yīng)地調(diào)整其檢測策略，加強(qiáng)對(duì)特定威脅行為體或活動(dòng)的防御，降低組織的風(fēng)險(xiǎn)性。

6

自動(dòng)化威脅狩獵

自動(dòng)化的威脅狩獵活動(dòng)可利用安全協(xié)調(diào)、自動(dòng)化和響應(yīng)（SOAR）工具以及安全分析平臺(tái)的功能，簡化威脅檢測流程。這種方法利用AI技術(shù)高效地分析大量數(shù)據(jù)、識(shí)別威脅模式并檢測潛在威脅。而自動(dòng)搜索規(guī)則和機(jī)器學(xué)習(xí)模型可用于持續(xù)監(jiān)控組織的網(wǎng)絡(luò)環(huán)境，并在檢測到可疑活動(dòng)時(shí)觸發(fā)警報(bào)。

自動(dòng)化威脅狩獵的優(yōu)勢在于它的速度和可擴(kuò)展性。由于大大減少了手動(dòng)分析所需的時(shí)間和工作量，使安全團(tuán)隊(duì)能夠?qū)Ｗ⒂诟呒?jí)別的任務(wù)和戰(zhàn)略決策。

7

協(xié)作式威脅狩獵

協(xié)作式威脅狩獵方法強(qiáng)調(diào)安全社區(qū)和情報(bào)信息共享的力量。在這種方法中，威脅獵人應(yīng)該認(rèn)識(shí)到，沒有一個(gè)組織是完全封閉的，而通過聯(lián)合力量，他們可以集體加強(qiáng)他們的防御。通過與同行合作，參與信息共享社區(qū)，并利用威脅情報(bào)平臺(tái)，威脅獵人可以獲得更廣泛的知識(shí)和建議。

協(xié)作式威脅狩獵能夠促進(jìn)對(duì)抗網(wǎng)絡(luò)威脅的統(tǒng)一戰(zhàn)線。它使每個(gè)組織都能夠利用安全社區(qū)的集體經(jīng)驗(yàn)和專業(yè)知識(shí)，增強(qiáng)他們檢測、響應(yīng)和防止各種攻擊的能力。通過團(tuán)結(jié)一致，威脅獵人能夠加強(qiáng)了其組織的威脅監(jiān)測能力和整體安全態(tài)勢。