「Threat Hunter」进击之路:如何像攻击者一样思考

威胁猎人(Threat Hunter

威胁猎人(在有些情况下也被翻译为“威胁狩猎”)的定义比较广泛,是一项新发展出来的网络安全概念。

简单地讲,“威胁狩猎”是指采用人工分析和机器辅助的方法迢,针对网络和数据进行主动的和反复的搜索,从而检测出逃避现有的安全防御措施的高级持续性威胁(即APT攻击)。而威胁猎人则是指在企业或组织中处于防守地位的,通过积极的方法来发现攻击和入侵事件的安全人员。

这里有一个基本假设,那就是在任何时刻,网络上至少有一个被攻破的系统,黑客的攻击成功地躲避了组织各项预防性的安全措施。

“与采矿相反,威胁猎人狩猎的行为就像寻宝,没有地图,也没有标准的流程,猎人们可以使用任何觉得正确的方式去捕获攻击者。”

从上述描述可以看出,威胁猎人专注于威胁,而不是脆弱性、具体的漏洞或恶意软件。威胁猎人的任务寻找可以证明网络中存在一个潜在的敌人的迹象或证据,这样做有助于遏制或消除攻击,一旦这些攻击被落实,可能会引起报警或导致数据泄露。

威胁猎人的目标是破坏攻击者并阻止敌人实现目标。因此在实现这一目标的过程中,需要学习和收集大量的关于对手和组织自身的各类信息,研究攻击者的行为模式、建立可视化的攻击链。威胁猎人的工作可以提高安全运营中心操作的前瞻性,将安全团队的工作焦点转移到早期检测上,获取更快的反应时间,及时缓解组织的风险。

如何成为一个优秀的威胁猎人

在与网络犯罪对抗的过程中,一个优秀的Threat Hunter(威胁猎人)总是希望可以料敌于先、快敌一步,有时候,就像下棋一样,如果能提早洞察对手的意图和招数,那么就占的了先机。

尽管安全防御者正在不断的努力,但是现实情况是,大多数组织都很难跟上攻击者的步伐,组织的安全团队(通常也称为“蓝队”)要么处于被动救火的状态、要么处于懵懂挨打的状态,悲观地说,大部分组织的安全团队处于劣势。

Aberdeen最新发布了一份报告,基于Verizon2017数据泄漏报告(DBIR)的数据显示,2014-2016年,网络攻击的平均驻留时间(检测到攻击到时间)是38天。也就是说,攻击者比防守者领先了大约5~6周的时间。尽管这个数字与往年相比,已经有所减小,但距离安全期望相差还很远。

攻击的探测时间确实是组织必须重视的一个指标,以最近的几个重大网络事件为例加以说明;

  • 美国大型的信用监督机构Equifax承认1亿4300万美国客户的个人数据、大约40万个英国人和10万加拿大的信息可能被盗,根据调查显示黑客入侵的事件至少在今年3月份之前,但该公司直到7月29日发现被入侵(也有证据称Equifax公司是内部5月份知晓此事的。)–检测时间大于2个月
  • 世界上最大的会计师事务所之一的德勤公司,观球电子邮件服务器在2016年10月或11月遭到黑客入侵,直到2017年3月才被发现,包含客户信息、机密的电子邮件、业务计划等在内的的敏感数据可能已经被泄漏。–检测时间大于4个月
  • 根据安全公司AVest最新发布的关于CCleaner软件被植入后门程序的调查报告显示,服务器至少在8月2日之前就已经被入侵,该事件直到9月初才被发现,超过200万用户可能受到影响,目前AVest公司已将该事件定性为APT攻击。–检测时间大于1个月

以上几个示例充分表明,防御者未能及时发现对手的存在,也很难采取有效的措施减少攻击的影响。

 

上图概述了一次攻击可能会经历的所有阶段。当攻击者首次入侵系统时,如果能在分发(deliver)或利用(Exploit)阶段检测到,是比较理想的,想要实现这一点并不容易。反过来讲,如果在数据已经泄漏的时候才意识到问题,可能就已经太晚了。大多数时候,专业的威胁猎人希望可以在控制阶段(command & control)阶段,或者在攻击者试图从最初的渗透状态转入持久状态时,发现攻击。

对于威胁猎人而言,其工作是建立在了解攻击者的战术和技术的基础上的,既然目标是发现攻击者,那么当然是越早发现越好。

想要成为优秀的/专业的威胁猎人,最基本的能力就是尽可能深入、全面的了解你的对手,最好能够代入攻击者的思想。那么,如何才能做到这一点呢?概括地说,涉及到三方面:了解你的敌人;了解你的网络,了解你的工具。

需要指明的是,这三点单独使用的话,效果并不完美,组合起来灵活的加以运用,才能事半功倍。

Threat Hunter」进击之路1:了解你的敌人

作为一个蓝队队员,首先需要明白,你不是在和一堆的二进制文件在战斗,你面对的是一个有着强烈动机的攻击者,攻击动机可能是经济上的、政治上的或是军事上的。因此,想要代入他们的头脑和思想,首先需要知晓他们攻击背后的驱动力是什么?

你不能仅仅目光和精力集中在IoCs指标上,事实上,受现实条件制约,很多时候你并不能定位到具体的入侵指标,记住,攻击者可能会迅速的改变他们的IP地址、域名、文件哈希等,不费吹灰之力就能在一分钟内改变几百次。

因此,优秀的威胁猎人必须专注于高层次的战术和技术,注重提升描述攻击者(“黑客画像”)的能力,了解敌人的动机以及这些动机对他们行为的影响,在网络上搜索这些行为模式的证据,增强你对敌人的了解。

Threat Hunter」进击之路2:了解你的网络

作为防御者,有时候你必须承认,攻击者甚至比内部人员更了解组织的网络状况。

由于许多公司仍然把重点放在边界和端点防御上,试图让坏人远离他们的网络周边,但是在连续的监视、检测和快速响应方面却没有投入足够的时间和资源。

所以,像一个攻击者一样认真地思考,比其他人更仔细地审查你的网络,了解它的来龙去脉、各种架构,甚至员工常用的软件、内部的软件开发流程等边边角角的信息。要知道,在你看不见的角落里,伺机而动的攻击者可是有大把的耐心和时间专注于研究目标系统和网络的任何弱点。

了解你的网络,就意味着你需要知道网络运行的正常模式,以便及时的发现异常模式。敌人可能从意想不到的地方攻击进来,你要知道什么是正常的,因为在不同的场景下,攻击所表现出的异常模式是不一样的。

这也关系到刚刚提到的第一点:了解你的敌人。防御者必须站在攻击者的立场思考其最有可能的切入点(基于行业特征、地理位置、公众形象等属性进行考量),了解哪些特定的数据可能是攻击者感兴趣的,进而明白组织的哪些网络和系统需要更多的关注。还是那句话:记住,着眼于目标和动机。这样做也就意味着允许安全团队的聚焦范围,把力量集中在攻击者最有可能使用的战术和技术上面,优先考虑这些攻击,并尝试提前部署安全加固及优化策略。

Threat Hunter」进击之路3:了解你的工具

老练的攻击者可能会使用多种工具,这意味着蓝队成员也必须做同样的事情,甚至要做的更好,但也需要明白,不要过分依赖任何一种工具。威胁猎人关注的焦点应该集中在收集并分析有效的数据,而这些数据可以增强攻击链的可见性,在特定攻击发动的前几个阶段检测到攻击者的技术和程序。

即使没有有效的工具来收集和分析这些数据,优秀的威胁猎手会选择通过便携自己的工具或对手头可用的工具进行调整,集成各类有效的工具来实现自动化。

所以,像一个攻击者一样思考,理解他们的行为动机以及战术、技术和程序(TTP),充分了解你的网络和工具,这样做不仅能够在战略上领先攻击者一步,同时也有助于加强组织的整体安全态势,从被动转向主动,获得更多的自主权。

当然了,在组织力量有限的情况下,借助于专业的、可靠的安全合作伙伴,也是一种可行之策。

参考资料

Macfee实验室威胁报告201709

德勤全球邮件服务器遭黑客入侵

SOC的进击:“网络威胁狩猎”

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/106160.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code