从《实用威胁情报和数据驱动威胁狩猎》看定义:威胁搜寻是假设对手已经在您的环境中,并且您必须在他们对您的业务造成重大损害之前主动搜寻他们。威胁搜寻是指主动测试和增强组织的防御能力。
根据SANS2018威胁狩猎调查,平均而言,攻击者可以在受到感染的环境中驻留90天以上。
1、数据驱动(DATA_DRIVEN):Hunttriggeredbydataobservation(观察数据触发的狩猎).
2、情报驱动(INTEL-DRIVEN):Hunttriggeredbythreatintelligenceinformation(由威胁情报触发的狩猎)
3、实体驱动(ENTITY_DRIVEN):Huntaroundhighrisk/highvalueentities(搜寻高风险/高价值的实体)
注:在计算机网络中,实体这一较为抽象的名词表示任何可能发送或接受信息的硬件或软件进程。
4、TTP(TTP-DRIVEN):Huntaroundthreatactors’knownTTPs(搜寻已知的TTP)
注:TTP:战术Tactics、技术Techniques和过程Procedures,是描述高级威胁组织及其攻击的重要指标;
军事定义:*战术—协调使用并有序部署军队。*技术—用于执行战斗行动、履行职责或任务的非规定方式或方法。*过程—规定如何执行特定任务的标准和具体步骤。5、混合动力(HYBRID-找不到合适的中文翻译这个词):Huntblendingallthedifferentapproaches(狩猎融合了所有不同的方法)
#5种类型分类为
1、UNSTRUCTURED(非结构化):1数据驱动(DATA_DRIVEN)
2、STRUCTURED(结构化):1情报驱动(INTEL-DRIVEN)、2实体驱动(ENTITY_DRIVEN)、3TTP(TTP-DRIVEN)、4混合动力(HYBRID)
1、了解威胁情报:例如:高级持续性威胁(APT)、恶意软件类型、危害指标(IOC)、威胁参与者的动机和意图等等;
2、了解攻击者如何进行攻击:熟悉网络杀伤链(Cyber-Kill-Chain)和ATT&CK框架会对理解攻击有所帮助,特别是熟悉在不同技术环境(Linux、macOS、Windows、云、移动和工业控制系统)中进行攻击的方式,则ATT&CK框架更为有用;
3、熟悉数据科学方法和SIEM的使用,能够识别网络活动、终端以及应用程序等日志中的异常行为;
在初始和最小阶段,高度依赖自动化检测工具,但是在最小规模阶段,一些威胁情报也可用于检测。
选择合适的SIEM系统,集中收集各类型日志(安全设备、终端、应用程序等),以进行高效的数据分析。
威胁狩猎过程的最初定义是由Sqrrl制作,他们将其标记为“威胁狩猎循环”:
1、建立假设
2、使用我们(已有的)可以使用的技术和工具开始调查
3、执行分析,威胁猎人试图在组织环境中发现新模式或异常
注:此步骤的目的为验证假设是否成立
4、尽可能自动化执行成功搜索的结果
注:此步骤为防止团队重复相同的过程并使他们将精力集中在发现新的异常/违规行为上
通过丹冈特和MarcSetiz中的实用模型开展网络威胁狩猎,该模型可以区分为6个不同的步骤,并强调了威胁狩猎过程的迭代性质:
在牢记组织目标的同时进行威胁狩猎;
例如狩猎可能会受到业务系统的限制。在此阶段,我们需要说明狩猎的目的,包括执行狩猎所需的数据以及所需的结果。
2、范围
此阶段设计定义假设,并从网络、系统、子网或主机中识别并提取我们所需的数据;
应当事先确定范围,以减少可能干扰我们成功狩猎的“噪音”数量。它不能过于具体单一,因为这样可能会导致我们忽略/检测不到攻击者在组织环境内的潜伏。该假设主要用于防止我们偏离狩猎路线,从而帮助猎人在从一个数据转向另一个数据的同时保持焦点。
3、装备
在此阶段,重点在于操作方法;
4、计划审查
5、执行
执行阶段是指计划获得批准后的狩猎本身。
6、反馈
分析结果将帮助团队以更高的效率进行未来的狩猎。反馈阶段的目的是改善所有的先前阶段(即前5个阶段)。它不仅可以帮助我们确定目标是否以实现,而且还可以确定团队的任何可能偏见,可能需要改进的可见性和手机差距,资源是否正确分配等。
罗德里格斯兄弟设计了另外6个不同的阶段,同时他们还提供了威胁狩猎社区和四个开源项目,可以使用他们在组织内进行狩猎。
罗德里格斯兄弟定义的六个阶段如下:
1、确定研究目标
为了在执行任务时定义研究目标数据驱动的狩猎,了解数据并将数据映射到对手的活动非常重要。罗德里格斯兄弟提出了一系列我们应该能够解决的优秀问题回答以定义我们的研究目标:
2、数据建模
该过程的这一阶段围绕着数据来自哪里,将日志发送到数据湖进行查询,并通过创建数据字典来构造数据,其中每个数据源“都需要映射到事件”。如果你想真正了解并收集数据,则此过程非常有用。
基于数据建模后,我们确定进行搜索的方式,我们可以在实验环境中进行验证检测。如果没有结果,则应返回至之前的步骤进行反思和调整。
5、验证检测模型
一旦实验环境中的数据质量符合我们的预期,我们就可以尝试将其在实际生产环境中进行运行检测;可能会产生三种结果:
①零结果,攻击者在生产环境中不存在;
②至少有一个结果,我们需要仔细研究结果,确认是否为违规/异常行为;
③检测出大量结果,该情况意味着我们需要对该检测模型进行进一步优化。
完成上述步骤后,应记录检测过程中的思路、方法和遇到的问题以及解决方案等。
TaHiTI分为3个阶段,8个步骤:
第一阶段-启动
在此阶段,触发狩猎后将转换为调查摘要并进行存储;主要通过5种方法进行触发:
威胁情报其他狩猎方法安全监测安全事件响应:从历史事件、攻防演练中收集的数据其他:例如确认核心数据,思考如何获取/破坏,研究ATT&CK框架,或研究威胁猎人的专业知识研究摘要是对假设的粗略描述,该假设将在以下阶段得到完善。建议摘要中包含:创建的日期、摘要、狩猎触发的条件和优先级的信息。
第二阶段-搜寻/狩猎
该方法为实际狩猎,也就是说,在执行之前,必须对假设进行定义和完善。这意味着为狩猎而创建的最初摘要要扩展很多细节,因为随后的狩猎过程中肯定会发现很多新证据。
狩猎最重要的是数据源、选择的分析技术和确定的范围。还应包括已知的威胁情报、分配的资源以及狩猎的分类信息。
狩猎/搜寻结果将用于验证初始假设是否合理,每次狩猎都有三种结果:
1、假设得到证明,并且发现了安全事件。2、假设失败。这种状态很难判定为一定失败,因为找不到某些攻击痕迹并不一定意味着攻击者/异常工具不存在。3、没有结论的假设。当没有足够的数据来证明或否定该假设时,只能到此为止。在此阶段,有必要继续完善假设,直到达到状态1或者状态2.第三阶段-完成
TaHiTI方法的最后阶段时记录猎人的发现。该文件必须包含狩猎的结果和狩猎中得出的结论。结论可以包含提高组织安全性的建议、改善团队狩猎过程的方法等。
文档编写完成后需要与有关各方之间共享,方便针对不同的收件人进行相应的调整,并且报告的信息可能需要根据其安全许可进行编辑或分类。
TaHiTI区分了可能由于威胁而触发的5个狩猎调查过程:
1、安全事件响应:启动IR(事件响应)进程2、安全监控:创建或优化监测规则3、威胁情报:发行新威胁者的TTP4、漏洞管理:解决发现的漏洞5、对其他团队的建议:共享最终文档,以改善整个组织/圈子的安全状况。如何建立假设
假设一般基于观察发现(例如发现与基线存在偏差)、基于其他组织共享的信息。
明确定义的假设必须简洁明了,必须可测试,需考虑使用的工具和所需的数据,不能太宽泛,也不能太具体,但是必须指定要从何处收集数据以及要搜寻什么。