网络攻击链与网络威胁捕获技术初探(一)

       本文带领我们了解了“网络攻击链”并概述了当前网络安全威胁的形势，以及如何运用“网络威胁捕获技术”应对复杂的网络安全挑战。我将详细描述网络威胁捕获技术的思考过程，阐明成功的网络威胁捕获实践的基本概念。此外，本文还将网络威胁捕获与威胁检测进行了对比，并向我们介绍了网络威胁捕获者使用的核心工具。

        网络威胁捕获技术定义为：以人为中心的安全实践过程，利用主动分析的方法，发现那些能够逃避检测工具或被人为忽略掉的安全威胁。

    本文将主要涵盖以下主题：

        - 网络攻击链实施的各个阶段的说明
        - 网络威胁捕获技术如何使用正确的技能和工具发现未被检测到的网络威胁。
        - 网络威胁猎手和安全分析师的相似之处和不同之处，以及猎杀和检测服务的相互补充。
        - 网络威胁捕获过程所采用的基于假设的方法。
        - 成功的威胁猎手和网络威胁捕获实践的特征。
        - 威胁猎手在捕获风险中所需的核心工具集。

       下面我们将从网络安全威胁的形成的始末，探究网络攻击链的重要性，并了解如何运用网络威胁捕获技术等内容，全面了解网络安全威胁问题。

1.网络威胁全过程

       当今的网络威胁形势是复杂的、不断演变的和多样化的。威胁行为人员从有组织的网络犯罪到国家支持的团体，积极改进现有的攻击技术和工具，并创造新的攻击方法，以可靠地建立并快速通过网络攻击链来实现目标。

       网络攻击链是指威胁行为人员通常要经过的一系列阶段来达到他们最终的目标。一般来说网络攻击链包括七个阶段：

1.侦察阶段：攻击者评估情况，以识别潜在的攻击目标和策略。例如，攻击者可以收集社交媒体账户信息或对公开可访问的应用程序进行主动漏洞扫描。

2.武器化阶段：攻击者开发用于利用侦察阶段发现的漏洞或弱点的代码。例如，制作钓鱼电子邮件、编写SQL注入代码或准备恶意软件代码。

3.诱骗阶段：攻击者使用交付向量来发送武器化的有效负载。例如，攻击者使用电子邮件来一篇目标人员执行恶意软件代码。

4.利用阶段：攻击者执行在武器化阶段创建的后门程序。通常使用之前获得的权限注入更强大的后门程序。

5.权限维持阶段：攻击者创建一个隐蔽的可持续控制目标系统的通道。

6.指挥和控制阶段：攻击者利用外部服务器建立指挥和控制通道(C2)。例如，攻击者使用邮箱或者论坛作为秘密指挥和控制的渠道，与被攻击系统进行通信。

7.实现最终目的：攻击者利用现有资源实施勒索攻击，破坏性攻击等。例如，勒索软件攻击，攻击者会加密终端上的文件，只有给赎金还能解密。

       这些阶段描述了威胁行为是如何进行攻击的。了解这些阶段可以帮助组织更好地理解网络攻击的威胁和潜在风险，有助于制定出相应的网络安全应对策略。

       我们现在已经了解了网络安全威胁景观的复杂性；让我们深入探讨威胁猎杀的基本概念，并描述其相关性和重要性。

2.为什么要对网络威胁进行捕获

        网络威胁捕获是一项重要的网络安全实践，因为攻击者往往会在攻击过程中留下线索和证据。随着高级攻击者从使用易被检测的攻击方式转向使用更隐蔽、不易被检测的攻击方式，自动化检测工具可能无法发现所有攻击。这就需要网络威胁捕获人员利用先进的技能和工具来发现这些攻击，从而增加网络安全韧性。

        网络威胁捕获能够在检测工具无法发现威胁时主动寻找线索和证据，从而提高网络安全的主动性。它不仅可以减少攻击者在受害组织内活动的时间，还可以发现安全防范和检测能力的不足，进一步提高网络安全的水平。

        网络威胁捕获需要具备一定的技能和工具支持。通过分析网络流量和应用程序日志等信息，网络威胁捕获人员可以发现异常行为和网络威胁。此外，网络威胁捕获还可以识别系统和应用程序的安全漏洞，为组织提供进一步提高网络安全水平的建议。

        为了成功进行网络威胁捕获，组织需要建立完整的网络威胁捕获流程，并利用模板和实用案例等工具进行支持和指导。优化网络威胁捕获流程可以减少攻击者在受害组织内的滞留时间，降低组织受到网络攻击的风险。

        综上所述，网络威胁捕获是一项非常重要的网络安全实践，可以提高组织的网络安全韧性和预警能力，降低遭受网络攻击的风险。

3.进行威胁行为捕获

       网络威胁捕获采用假设驱动的调查方法。假设是一种与已知数据一致但未经验证或证明为假的命题。一个好的假设应该与组织环境相关，并且在可用数据和工具方面是可测试的。采用基于假设的方法被称为结构化的网络威胁捕获。

       另一方面，非结构化的网络威胁捕获是指猎人在没有预先定义的假设下分析手头的数据以寻找异常的活动。例如，可以对数据进行处理和可视化，查找明显的异常。找到这样的变化可以引导猎人进一步调查以揭示未检测到的威胁。

       以下是网络威胁捕获假设的一个示例： 假设对手已经获得对组织的一个或多个Windows终端的访问权限。PowerShell是对手用于执行未经授权的活动的工具之一。

       既然我们理解了假设是什么，让我们讨论如何提出假设。

3.1 提出假设

       你尝试保护的环境所关联的威胁景观应该推动你创建和执行什么假设。不同的威胁和它们对环境的相关性的来源可以帮助你了解威胁景观。网络威胁捕获者将这种理解转化为假设。以下是这样的来源的示例:
       内部和外部威胁情报来源
       威胁建模练习的结果
       红队演习的结果
       审查现有的威胁标准和框架，例如MITREATT&CK®
       分析以前或当前的安全事件

3.2 测试假设

       威胁猎手的工作是利用手头上最好的资源测试假设。测试假设可以从定义一份可行的活动清单开始，这份清单可以揭示假设的第一组证据或指标，或者指引猎手继续搜索。例如，以下活动与之前所述的假设相关：
       搜索可疑的PowerShell活动可能会揭示威胁捕获存在的证据，证明假设的正确性。以下操作的成功执行可能会揭示威胁捕获的证据：

       1）可疑的编码PowerShell命令
       2）没有警告地执行未签名的PowerShell脚本
       3）带有可疑PowerShell参数的进程
       4）可疑的PowerShell父进程
在进行网络威胁捕获时，有三种可能的结果：

       1）假设被证明：在威胁捕获远征期间收集的数据分析确认了假设的正确性。在这种情况下，威胁捕获远征揭示了一个安全事件。
       2）假设被证伪：在威胁捕获远征期间收集的数据分析确认了假设的错误性。在这种情况下，威胁捕获远征未能揭示安全事件。
       3）结果不确定：仍然没有足够的信息来证明或证伪假设。这种结果可能是由于各种原因，如数据不足、工具不适当和范围限制。

3.3 网络威胁捕获

执行网络威胁捕获可能需要一小时，也可能持续一周，具体取决于多种因素，例如：

       1）初始可疑活动：执行的初始用例数量以搜寻第一批线索为准。
       2）数据：需要搜索的数据量、搜索的复杂性以及工具的性能。例如，对于高热数据存储（每秒输入/输出操作很高的磁盘）中的1TB数据进行搜索将比在低热数据存储（每秒输入/输出操作较低的磁盘）上执行相同的搜索更快。
       3）威胁复杂性：复杂的攻击可能涉及高级持久性威胁（APTs），需要更长时间的调查，往往需要数周甚至数月。这并不是说威胁捕获将持续数月，而是指威胁捕获的时间会比平均水平更长。
       4）数据和系统的访问权限：在威胁捕获过程中无法及时访问系统或数据可能会延长威胁捕获时间。例如，如果未能及时提供可用网络流的访问权限，将浪费时间并迫使猎人最终等待或寻找更昂贵且不太可靠的选项，或者以不确定的威胁捕获结果结束。

       未能证明假设并不一定意味着不存在威胁。这意味着猎人无法用可用的技能、数据和工具发现威胁。

       组织的威胁捕获成熟度水平应随时间而提高。猎人将从威胁捕获中学到很多经验和教训。今后的文章提供了如何规划、构建和运营有效的威胁捕获程序的实际教训。

        现在我们对网络威胁捕获有了一个良好的了解，下一篇文章我们将对威胁捕获与威胁检测进行比较，详细描述它们之间的区别和相似之处。