前言
随着网络攻击技术和工具越来越先进,攻击者和网络犯罪组织变得越来越嚣张,而作为防守方的组织机构想要检测是否发生了入侵却变得越来越困难。整个网络环境变得愈发复杂,传统基于特征值的被动检测技术效果变得越来越差,没有哪个组织机构能够100%检测到恶意活动。被动等待获取入侵证据已经不能发挥很大价值,组织机构不能“坐等”明显入侵特征出现再进行响应,而是要主动出击寻找入侵者,进行“威胁狩猎”。
尤其是最近几年,攻防实战演习越来越受到重视,更多的企业参与到演习中来。作为防守方要主动去发现攻击,通过攻击者留下的蛛丝马迹,进行追踪溯源,全面总结攻击者的攻击路径,实现回血加分。
威胁狩猎的三要素
威胁狩猎是指在服务器和终端追踪异常活动,包括数据被窃取、入侵或泄露的迹象。尽管威胁狩猎的概念并不新鲜,但是对于许多组织来说,如何有效执行威胁狩猎依然是个难题。以前,针对入侵的普遍心态是被动等待。不过,这种方法通常意味着,从入侵开始到真正被发现或检测出来要等待1-6个月的时间,这足以让攻击者收集足够信息,对组织机构造成巨大危害。
开展威胁狩猎时,组织机构就要像丛林里的猎豹一样去寻找猎物,通过人主动去寻找入侵痕迹,而不是被动等待技术告警。威胁狩猎就是寻找那些“异常现象”,也就是平时不会发生的非常规现象。在这个过程中,需要从人员、技术和流程三个方面着手。
人员:培养威胁狩猎的文化
组建一个威胁狩猎团队需要考虑团队构成、时间资源、狩猎培训、系统化管理等方面的内容。
1)团队构成
威胁狩猎团队中的人员应该了解操作系统(OS)的内部机制,包括Linux系统、Windows系统、Mac系统。威胁猎人需要知道这些操作系统是如何运作的以及在每个层次上的工作情况,包括以下内容:
• 操作系统进程树结构
• 操作系统文件情况
• 操作系统注册表(Windows)
这些专业知识非常重要。因为恶意软件通常都会在操作系统层面进行细微的更改。威胁猎人需要了解他们要寻找什么东西,以及正常情况是什么样子。只有了解正常的业务应用和用户活动是什么样的,才能快速发现异常情况。在了解需要什么样的专业技能之后,就是找到拥有这些专业技能的人,根据组织的规模,分配好角色和责任。
(2)时间资源
除非公司拨出一大笔钱来建立独立的威胁狩猎团队,否则只能从现有员工的工作中抽出时间来进行威胁狩猎。根据组织的大小,每周需要花费多少时间进行威胁狩猎各不相同,这主要取决于组织的安全状况和风险承受能力。根据需要调整威胁狩猎的时间时,最重要的是要从狩猎中获得结果,这样才能显示出时间投资回报率。
(3)狩猎培训
威胁狩猎团队必须像猎人一样思考,除了要有猎捕猎物的欲望,还需要培训其他的训练技能,包括:
• 操作系统知识:需要了解操作系统进程管理、网络通信等内容。
• 应用行为:威胁猎人要了解终端上使用的本地应用程序功能。
• 威胁狩猎工具:了解如何使用手中的工具,才能有效地追捕攻击者。
• 事件响应流程:在发现入侵迹象后采取步骤,抓住猎物之后该做什么。
(4)系统化管理
威胁狩猎是一个需要长期努力的活动。首先需要对组织威胁狩猎有一个定位以及如何与其他IT团队和安全团队进行配合流程。重点需要关注以下几点:
• 熟悉终端基线:需要不断地磨练团队中的威胁猎人,让其彻底了解终端中哪些行为、事件是正常的,以便能够更快地识别异常。
• 改进狩猎工具、练习技能:在某种程度上,需要建立一个知识库,这样每个新的威胁猎人都可以站在其他前辈的肩膀上成长。
•改进响应:提供包括更快、更准确的事件响应行动,包括控制和修复。
• 提高技能:威胁猎人需要提高自身技能和知识。
技术:采用必要的技术
威胁狩猎是一项人机结合的活动,如果没有合适的工具,威胁狩猎行动将一无所获。要成功实现威胁狩猎,必须采用的技术包括以下几项:
(1)终端全面可视化
终端是攻击者进入组织机构第一个战场。只要攻击者进入企业内部,极有可能会从服务器上窃取各类数据。终端可视化是指获取每个终端内部活动细节的能力:
• 对所有终端设备,尤其是对于承载着企业核心资产的服务器,拥有完全可视化是必然要求。
• 每个进程的信息,包括它的父进程和子进程,以及文件创建、读取、写入和删除等,以及网络活动。
终端可视化另外一个重要作用是溯源。例如,威胁猎人可以溯源分析之前发生可疑活动的数据。
(2)获取网络事件数据
威胁猎人除了需要拥有终端可视化之外,访问网络事件数据也是必不可少的。基于主机和网络的数据是互补的,它们从两种不同的视角关注攻击者活动。安全团队可以同时使用这两种类型的数据来实现最全面的技术可见性。还有一点需要注意的是,有些策略在主机上更容易被发现,如持久化、权限提升和执行。
(3)收集威胁情报
威胁情报信息会告知威胁猎人攻击者针对其它组织机构所采用最新攻击工具和技术,以及相关的域和IP范围。威胁情报通常是大量的、以结构化的格式交付,如 STIX和OpenIOC,这些结构化设计非常有利于将其导入SIEM或其它威胁管理工具中。
(4)数据关联和分析工具
由于威胁和事件数据来自许多不同的地方,威胁猎人需要能够执行事件关联分析工具,辅助其理解环境中发生的事情,例如SIEM工具。
流程:六个必要步骤
通常,一次完整的威胁狩猎过程需要完成以下六个步骤:目的确认、范围确认、技术准备、计划审查、执行和反馈。
对于威胁狩猎的目的确认,必须要描述清楚相关的目的和预期达到的结果。范围确认阶段主要是为了确认要达到的预期结果,需要开发的威胁狩猎的假设用例。技术准备阶段要确认,在基于假设用例的情况下,需要采集哪些数据和哪些技术和产品。计划审查是对范围确认和技术准备的内容进行评审,确认其是否能真正能满足目的。接下来就是执行阶段,主要是看实际效果。最后进行复盘来检查每项活动中的一些不足,进行持续改进。
比较重要的是两个阶段:范围确认和技术准备。范围确认首先要进行测试系统的选择。对于测试系统,要确认需要哪些数据和技术手段来进行威胁狩猎。其次,假设用例的开发尤为关键。假设用例作为威胁狩猎的核心,是威胁狩猎分析的起点,来源于对数据的一些基本分析和高级分析,威胁情报的使用和收集以及对TTP的理解,甚至是一些核心能力的使用,比如使用搜索的分析能力。
威胁狩猎的必要准备:熟悉所需要的环境
除了结合人员、技术和流程不断改善威胁狩猎之外,开始威胁狩猎的一个前提准备是要尽可能多地了解所在组织机构的环境,这样才能更好地判断什么是正常的,什么是不正常的。这样当他们进行威胁狩猎时,威胁猎人就会比其他人更熟悉自身的环境。威胁猎人需要像攻击者一样思考,这样才能更好地预测威胁并尽早停止攻击。
(1)了解正常和不正常
威胁狩猎的关键是知道什么是正常的,这样任何不正常的东西都会被发现。所以威胁猎人需要花大量的时间来观察和熟悉环境中正常的事件,这就要求威胁猎人深入了解熟悉他们的组织架构,包括网络、系统、工具和应用。
(2)知道组织机构的高价值目标
在威胁狩猎中,威胁猎人需要知道目标是什么。根据攻击者的攻击目标,这些信息可以是客户或员工数据之类的信息,也可以是面向公共Web服务器之类的关键资产。威胁猎人需要知道所有这些高价值目标,并了解攻击者是如何攻击他们的。
(3)预测攻击者的攻击方式
就像猎豹预料到其猎物的下一步行动一样,威胁猎人需要知道攻击者可能会采取哪些方式进入他们的环境。这主要依赖于直觉以及对环境的了解。
• 架构:攻击者总是会先找出组织架构和数据流中的弱点,寻找任何有价值的数据,以及如何在不被注意的情况下获得这些数据。
• 安全态势:攻击者要攻击组织的弱点,如端口扫描,就可以找到未打补丁和存在风险点系统。因此,企业组织的威胁猎人需要知道组织的弱点在哪里,因为攻击者会找到他们并利用他们。
• 人员:组织的安全文化是风险的重要指标。攻击者通过社会工程、钓鱼等方式极易访问那些没有做好安全意识培训的组织机构。
• 威胁情报:虽然攻击者很有创造力,也几乎不可预测,但是攻击者也有自身的习惯,比如会使用他们曾经使用过的工具和技术,以及过去曾经对他们有用的东西。因为组织往往以类似的方式保护自己,所以攻击者很可能以类似的方式进行攻击。
青藤威胁狩猎解决方案
正如文章开头所说,没有系统可以被视为100%受保护,即使用最好、最新的技术,也总是存在一些高级威胁能够逃避现有的防御方案和设备。传统基于规则的被动检测技术效果越来越差,企业要想最大程度地保护核心资产,有必要采取措施主动发现潜在入侵行为。熟练进行威胁狩猎,更是企业在攻防实战演习中快速发现攻击、实现回血加分的必备技能。
青藤猎鹰·威胁狩猎平台基于ATT&CK框架,帮助用户解决安全数据汇集、数据挖掘、事件回溯、安全能力整合等各类问题,是企业回溯与分析能力的极大补充。该产品提供了200余类ATT&CK攻击场景,可直接对从各类安全产品中获得的数据与事件行为进行深度挖掘,捕获常规手段难以发现的威胁。
除了威胁狩猎产品,青藤还提供「产品 服务」的创新安全模式,基于青藤猎鹰,由青藤富有多年经验的安全专家采用大数据分析手段,利用防御中的场景经验积累,通过专业攻防分析服务,对客户环境内的异常行为活动开展拓线分析,发现已经进入环境的未知攻击行为,分析出攻击者的TTPs,并给出专业的处置解决建议。对于内部已经部署了青藤猎鹰,且对平台使用和价值还不明确的客户,青藤可以提供专业的威胁狩猎分析服务,提升产品价值。