洞见RSA 2021｜网络威胁狩猎——回归“乐趣”

python-qing

已于 2024-01-18 15:55:50 修改

阅读量112

点赞数

文章标签：网络

于 2023-09-13 12:45:00 首次发布

本文链接：https://blog.csdn.net/m0_61869253/article/details/132829903

版权

IBM的研究者提出的新工具Kestrel和标准化格式STIX旨在简化威胁狩猎过程，减少繁琐操作。Kestrel作为编程语言帮助安全人员聚焦分析，而STIX则用于数据标准化，提高狩猎效率。同时，文章探讨了如何基于实战构建狩猎场景和网络安全人才需求趋势。

摘要由CSDN通过智能技术生成

威胁狩猎的过程就像网络世界中的“科学探索”，狩猎成功前需要进行大量繁杂的分析任务，例如复杂的数据查询、大量手工数据关联等。这些繁琐的操作不仅影响效率，也降低了安全人员的战斗力。在2021年RSA大会上，来自IBM研究员提出了全新的威胁狩猎工具，可以有效降低狩猎过程中的繁琐工作，使狩猎重新聚焦到其创造性和令人兴奋的部分，实现乐趣回归。

一、威胁狩猎的痛点

“威胁狩猎”指采用人工分析和机器辅助的方法，针对网络和数据进行主动搜索、关联和分析，从而检测出逃避现有安全防御措施的高级持续性威胁（APT）。威胁狩猎过程中，安全人员主要思考和解决两大类问题：

如何狩猎？

例如“如何从EDR查询数据”、“怎么提取数据字段”、“如何补充线索的上下文信息”、“如何使用机器学习模型”等。

狩猎什么？

例如“如何建立假设”、“如何基于假设进行分析”、“需要哪些威胁情报数据参与分析”、“哪种机器学习模型合适分析”等。

当前威胁狩猎的痛点在于：“如何狩猎”所花费的时间远超“狩猎什么”，但后者才是创造价值的重点。安全人员将太多时间浪费在阅读各类EDR的API查询接口上，而无法聚焦到对威胁狩猎更有价值的威胁假设和攻击情节分析部分。

二、推荐“狩猎编程语言”-Kestrel

研究人员推荐了一个全新的开源项目“Kestrel”，可以降低安全人员在“如何狩猎”上的投入，将精力聚焦到威胁狩猎上。为了实现这个目标，Kestrel对面向威胁狩猎的编程语言进行了定义，可帮助使用者更高效的进行狩猎。

为帮助使用者将目标聚焦在狩猎上，Kestrel编程语言在设计理念上采用了方便狩猎目标描述的语法，有助于对狩猎目标实体进行表示。

三、推荐规范化数据格式-STIX

数据的标准化、规范化是威胁狩猎有效进行的关键，只有采用规范的数据格式才能从不同系统收集到统一的数据进行狩猎。来自IBM的研究人员推荐采用国际威胁情报标准STIX进行数据表示和共享。

为实现安全数据在不同系统之间直接的安全共享，IBM提出了Security Connect的概念，其核心技术之一是 STIX-Shifter
工程。该工程使用STIX(结构化威胁信息表达Structured Threat Information eXpression
)进行安全共享威胁信息。在该工程中，STIX-Shifter能保持从所有 IBM Security
产品和各第三方产品中收到的数据的一致性。通过提供同一个通用API的通用服务，IBM如今可以跨任意数据源查询数据，无论数据源是产品还是存储仓库，并收获同样的数据投入到分析和搜索中。

四、如何构建威胁狩猎场景

研究员分享了如何基于免费工具进行威胁狩猎环境搭建的案例。案例中结合黑客攻击的路径，使用Sysmon、Sysflow、SIEM等软件工具平台，分别在攻击者的钓鱼邮件投递、横向移动、C&C联络通信、数据访问、数据渗出等过程进行数据监测和收集。收集到的数据经过规范化处理后，提供为威胁狩猎平台。最终安全人员可以在威胁狩猎平台上使用Kestrel进行威胁狩猎的分析。

五、总结与解读

威胁狩猎进入实战应用阶段后，如何在实际操作过程中提升安全人员的狩猎效率是业内关心的问题。IBM研究人员推出的方案可以成为企业进行威胁狩猎的选项之一，该方案有很多亮点：

1、狩猎方案采用开源/免费软件进行搭建，搭建成本降低；

2、狩猎场景基于黑客攻击过程进行狩猎点设计和部署，在体系化建设威胁狩猎思路方面值得参考；

3、新推出的狩猎工具/语言Kestrel可以大幅提升溯源效率，让安全人员脱离苦海。

Kestrel可以帮助安全人员降低异构数据信息获取、繁琐基础操作等方面的开销，但仍是人工狩猎操作。接下来，如何基于攻击线索的自动关联尽可能实现威胁狩猎的自动化有望成为新的技术方向。

面的开销，但仍是人工狩猎操作。接下来，如何基于攻击线索的自动关联尽可能实现威胁狩猎的自动化有望成为新的技术方向。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。