网络攻击链与网络威胁捕获技术初探(二)

我们将延续上一篇文章，继续探讨网络威胁捕获技术

1. 网络威胁捕获与威胁检测的区别

       威胁检测是以工具驱动的，而网络威胁捕获则是以人驱动的。在网络威胁捕获中，威胁猎人扮演中心角色，而在威胁检测中，工具则扮演中心角色。网络威胁捕获在定义假设、搜索大量数据以寻找证据，并不断转移搜索重心以寻找威胁迹象方面高度依赖威胁猎人的经验。网络威胁捕获并不替代威胁检测技术，它们是互补的。

 

       威胁检测是指反应性方法，安全运营中心（SOC）分析员响应工具生成的安全警报。例如，SOC分析员可能会检查和调查由端点曝光和响应（EDR）工具或安全事件和信息管理（SIEM）系统生成的安全事件。

       SOC分析员负责处理由安全工具检测和报告的安全警报，并对安全事件进行分类和调查。以高层次显示了威胁检测过程，其中SOC分析员主要执行网络安全威胁收割活动。与农民一样，SOC分析员通常等待警报（成熟的作物）在仪表板上显示，以调查和响应（收割和处理）。

       另一方面，网络威胁捕获采取主动方法。猎人们携带正确的思维方式、经验、情境感知和所需的工具，走出猎场进行猎杀行动。

2.网络威胁捕获技术背景

       网络威胁捕获是指一种主动且交互式的网络安全专家，致力于寻找那些逃避各种网络安全检测技术发现的攻击或威胁。

       成功的威胁猎人应该不断探索、准备好应对新的挑战，并具备对威胁领域的深刻了解。作为一名威胁猎人，你将面临许多挑战，例如缺乏数据、搜索速度慢、事件解析不准确、技术陈旧、系统不完整或者无法访问等等。猎人应该在猎杀过程中和猎杀之后提出这些挑战。其中一些挑战可能会在合理的时间内得到解决，而另一些可能需要很长时间甚至永远无法解决，特别是那些需要大量金融投资的挑战。这些挑战不应该阻碍猎人通过查看其他数据和系统来寻找增强网络威胁捕获效果的新方法，并调整猎人部署的技术。猎人们很有资源调配能力。

       进攻性的思维方式有助于猎人创建有效的网络威胁捕获策略和执行猎杀任务。

       在进行猎杀时，可能无法得到一个满意的结果。这是一种常见的结果，可能由于多种原因而产生，包括：
       1）首先，假设中描述的攻击或威胁可能根本不存在；
       2）猎人可能还没有完全了解环境的全部信息。例如，在新部署的系统和应用程序上运行网络威胁捕获可能会很具挑战性。
       3）猎人可能还没有掌握发现技术复杂攻击所需的技能。例如，猎人可能对容器化部署不太熟悉，但是却要在私有Kubernetes环境中执行网络威胁捕获任务。
       4）缺乏调查过程中所需的数据。
       5）使用不适当的技术来发现复杂的攻击。例如，运行基本搜索以发现高级持续性威胁(APT)会有局限性。

        作为一名威胁猎人，你不可能期望知道一切。成功的威胁猎人需要花费大量时间进行研究，并在许多情况下尝试新的战术、技术和程序(TTPs)。网络安全是一个不断变化的领域，拥有宝贵的研究时间将增强发现高级TTPs的机会。下面就让我们看看威胁狩猎的过程。

3.威胁狩猎过程

       定义过程有助于威胁猎人建立、执行和持续改进整个威胁狩猎实践和单个威胁狩猎活动，从而增加发现威胁的概率。不仅有助于提高威胁狩猎的质量，而且该过程还包括威胁狩猎引入组织的其他价值，例如更新现有的或开发新的检测和威胁情报内容。

       上图展示了威胁狩猎的基本过程，其开始于正式提出假设，然后试图证明假设。如果猎人无法证明假设，则通过更新假设的详细信息并再次搜索威胁来优化它。如果得到证实，则已经发现了威胁。猎人不会在那里停止；扩大范围，在其他系统上搜索指标以了解攻击的程度和扩散。然后，猎人将参与事件响应团队并记录并共享对安全监控和威胁情报团队有用的新内容。

        以下是威胁狩猎过程步骤：
        1.制定假设：基于从来源和活动（例如威胁建模结果、从内部和外部威胁情报提供者接收的TTP或仅搜索描述在标准框架中的战术和技术的假设）收集的输入定义假设。例如，组织的威胁情报团队可能会跟踪诸如APT 29（https://www.fireeye.com/current-threats/apt-groups.html）这样的对西欧政府、外交政策组织和类似组织进行攻击的对手团体。猎人可以根据该团体部署的相关战术和技术制定假设。在进入下一步之前，猎人需要回答以下问题：
       1）威胁猎人需要查找哪些活动来证明假设？威胁猎人需要访问哪些数据？
       2）数据有多大？
       3）搜索需要多长时间？威胁猎人如何在平台专家的帮助下优化搜索？
       4）威胁猎人应该使用哪些工具？

       2.在环境中查找：搜索可以证明假设的指标和证据。
       如果没有证明，则优化并返回：通过增加搜索范围，请求进一步访问数据到系统，更新搜索活动或更新假设本身来优化网络威胁捕获。如果证明，则执行枢轴并扩大范围：已证明假设。猎人通过扩大网络威胁捕获的范围研究安全事件的范围。

       3.改进现有或开发新的检测和威胁情报内容：现在证明了假设，威胁猎人可以通过共享指标或TTP来推荐新的安全监控检测规则并更新威胁情报内容。

       4.与事件响应团队合作：现在证明了假设，提出一个工单并将其分配给处理事件的团队。根据事件的复杂程度，猎人将为事件处理团队提供支持。

4.技术和工具概述

       尽管网络威胁捕获是以人为中心的，但访问相关可靠技术和可扩展的灵活工具对于威胁猎人的成功至关重要。可以从端点和网络元素收集事件和活动并将其转发到数据存储以进行访问和搜索。另外，猎人可能需要直接从数据源获取文物和事件来执行搜索和调查活动。

       威胁猎人工具箱中的核心技术和工具包括：
       1）服务器和客户端上的端点活动：访问进程执行、网络端口、注册表详细信息（在Windows中）和系统访问事件是大多数猎杀的标准要求，无论是用于最初的用例还是在猎杀期间。OSQuery是一个提供各种端点遥测数据的工具示例。该工具允许猎人编写结构化查询语言（SQL）查询以探索操作系统数据。一些开源和商业EDR工具具有类似的内置功能。
       2）数据存储：提供长期事件存储和搜索的位置。例如，将从网络中不同来源收集的事件发送到数据存储，例如Splunk或Elasticsearch，这些存储可供安全监控团队和威胁猎人使用。
       3）分析：使用工具（例如Splunk或Elasticsearch）或平台（例如Apache Spark）的可伸缩搜索或高级功能（例如统计和机器学习）来实现。

       根据环境和猎杀范围，猎人的工具箱将包含其他工具。例如，猎人可能使用YARA规则研究和捕获端点上的可疑活动，或将snort规则推送到网络安全工具（例如入侵检测系统）以捕获感兴趣的网络活动。

小结：

        结构化的网络威胁捕获是一种基于假设的实践，旨在主动寻找未被检测到的威胁或已被人类忽视或轻视的威胁。了解威胁猎人的思维方式和网络威胁捕获过程对于成为成功的威胁猎人至关重要。下一篇文章我们将学习怎样开展一个基础威胁捕获实践过程，希望大家多多支持。