之前我们已经介绍了威胁捕获的基本思路,那么怎样构建威胁猎杀环境以及实操过程呢?我们将会围绕一下几点展开说明:
1.如何制定威胁猎杀假设
2.如何记录威胁猎杀方案
3.威胁情报对威胁猎杀的重要性
4.构建威胁猎杀框架
5.威胁猎杀过程的细节
6.威胁猎杀的角色和职责
7.重要的框架和标准
8.如何评估威胁猎杀实践的成熟度
后面的内容,我们将讨论如何创建一个威胁猎杀框架。我们首先概述现有的框架和标准,以及它们如何并在哪里涵盖威胁猎杀主题。例如,我们将讨论NIST Special Publication 800-53 Rev 5如何以及在哪里覆盖威胁猎杀,并且我们将研究MITRE ATT&CK框架如何基于威胁战术、技术和程序建立猎杀活动。
一、威胁猎杀定义
威胁猎杀:是一种以人为本的安全实践,它采取主动的方式来发现那些逃避了自动化、基于规则和签名的安全系统检测的威胁,或者那些已经被检测到但被人为忽略或削弱的威胁。
假设:是一种与已知数据一致,但又未经验证或证明为假的命题。威胁猎人是网络安全专家中承担的一个角色,他们主动且交互式地寻找那些逃避了部署在网络各处的检测技术的攻击或威胁。
情况感知:是指对业务、所依赖的技术环境以及与这个环境相关的内部和外部网络威胁的理解。
威胁行为者:是指受不同动机驱使而进行恶意意图的个人、组织或团体。
二、制定威胁猎杀假设
假设是一种与已知数据一致,但又未经验证或证明为假的命题。要开始一场有结构的猎杀,你首先要确定猎杀的目标以及用何种格式来描述它,即回答“如何提出合理的假设以及如何记录威胁猎杀方案?”的问题。
1.威胁场景:
假设情报团队与你分享,一个称为APT-XX的威胁组织现在是他们威胁监控清单上的头号威胁行为者。构建一个威胁猎杀方案来发现该组织在使用基于shell的技术针对Microsoft Active Directory(AD)时的活动。
注:这个场景考虑了一个情报团队认为与环境相关的已知威胁行为者。在行为者和战役都是未知的其他情况下,你将依靠自己的经验、数据和工具来发现它们。建立成熟度需要时间,所以让我们从这个场景开始。
2.威胁猎杀分析:
我们需要创建一个威胁猎杀分析,比如接下来要显示的示例。威胁猎杀分析记录了以下内容:标题、参考编号、组织背景和猎杀分析背景、我们试图验证的假设、猎杀的范围、我们将首先考虑的技术以及相关的程序和数据源,以及与猎杀分析相关的内部和外部参考文献。让我们看下这个例子。
标题:在Microsoft AD环境中针对APTXX活动的猎杀
参考编号:Hunt-APTXX-01
背景介绍:
组织威胁评估确定APTXX是一个高优先级威胁。MITRE的ATT&CK导航器详细列出了归因于此威胁行为者的几种技术。其中一些技术与组织的Microsoft Active Directory(AD)环境相关。
假设: 我们假设APTXX威胁行为者存在于网络中,我们将检测到符合该组织攻击模式的多种技术的证据。
范围: 此次猎杀的范围涵盖Microsoft AD服务器和其他使用Microsoft AD服务的系统。
威胁技术介绍: MITRE ATT&CK T1059.001: 命令和脚本解释器:PowerShell
利用的程序: APTXX利用PowerShell在受害者环境中部署恶意软件家族。
数据源和事件:
命令/命令执行、模块/模块加载、进程/进程创建(安全审计事件4688和Sysmon事件1)以及脚本/脚本执行
MITRE ATT&CK T1059.003: 命令和脚本解释器:Windows命令外壳
程序1: APTXX使用cmd.exe /c 在远程机器上执行命令。APTXX使用批处理文件为Cobalt Strike BEACON加载器安装持久性。
命令/命令执行,以及进程/进程创建(安全审计事件4688和Sysmon事件1)
....
参考: MITRE ATT&CK关于APTXX的信息
组织威胁情报团队开发的APTXX组评估报告
通过以上威胁场景和我们创建的样例猎杀方案,让我们看看如何设计、构建和记录威胁猎杀方案。
3.仿真猎杀设计
要开始一场有结构的猎杀,你首先要确定猎杀目标以及用何种格式描述它,即回答“如何提出合理的假设以及如何记录威胁猎杀方案?”的问题。
假设是结构化威胁猎杀的核心。它陈述网络中可能存在的威胁以及如何识别它们。随着威胁猎人对环境的了解越来越多,假设的数量也应该越来越多,即情况感知越来越好,消费越来越好的威胁情报信息有助于创建新的威胁猎杀,或者仅仅是应用程序和系统数量的增长。
随着时间的推移,一些威胁猎杀可能会转变为安全检测规则。此外,在某些情况下,一些猎杀可能会变得过时,例如,在停用应用程序或系统后。猎人应考虑停用不再相关的威胁猎杀。
在开发假设时,猎人应考虑以下属性:
相关性: 假设应该与环境相关。猎人应该运用情况感知和领域专业知识来推动假设的发展和验证。情况感知随着时间的推移而获得,这增强了威胁猎人的经验并推动了更好的威胁猎杀设计和执行。在我们的场景中,威胁猎人应该熟悉Microsoft AD的工作方式以及它的安全方面(领域专业知识),并熟悉环境中Microsoft Active Directory的当前部署(情况感知)。
可测试性: 应该能够使用猎人可用的数据和工具来测试假设。在我们的场景中,猎人需要访问操作系统和Microsoft AD事件,以及收集和存储这些事件的工具,以便猎人至少可以搜索它们。
下面是一个可以用来记录威胁猎杀方案的格式。该格式由以下部分组成:
关于威胁猎杀的背景信息,包括有关威胁和猎杀范围内领域的信息。
一个阐述威胁的陈述,假设威胁存在并且威胁猎人能发现它。
威胁猎杀的范围描述了猎杀领域。
用于揭示威胁行为者存在的技术和指标的列表。 根据有关威胁行为者的信息以及威胁猎人对环境的经验和知识选择相关的技术。如果适用,威胁猎人可以识别与假设对应的MITRE ATT&CK技术和子技术。
揭示威胁行为者存在的程序是对手实施技术的方式。每个技术可能有多个对应的程序。
根据确定的技术和程序,所需的数据源和数据集列表,以测试假设。
引用部分,其中列出与威胁猎杀方案相关的内部或外部文档、博客、工件。
在我们的场景中,情报团队为威胁猎人提供了一个很好的理由,基于一个感兴趣的威胁组织APTXX(众多活跃威胁行为者之一)建立一个或多个相关的威胁猎杀方案。
情报是提供重要见解的一个重要来源,这些见解可帮助威胁猎人了解当前的威胁形势。 在我们的场景中,情报团队分享有关APTXX作为需要跟踪的威胁行为者之一的相关信息。 让我们进一步描述威胁情报以及它与威胁猎杀的关系。
三、网络威胁情报
网络威胁情报是指由内部和外部来源收集、处理和建立的关于网络威胁的信息和知识,以更好地理解和评估那些曾经、将会或当前针对组织的威胁,从而让组织能及时采取行动和做出明智的决定。网络威胁情报试图帮助回答一些简单但重要的问题,比如:谁会攻击一个组织以及如何攻击?
“谁会攻击这个组织,以及如何攻击?”是威胁情报分析员试图回答的问题。为此,他们研究、分析并编译大量内部和外部信息,以识别短期(现在)和长期(未来)的攻击和威胁。然后,威胁情报分析员将汇编好的信息与更广泛的组织共享,包括威胁猎人。
1.威胁情报类型
根据其内容和使用方式,威胁情报分为四种类型:战略性、战术性、技术性和运营性。四种类型如下图所示,以下进行描述。
战略网络威胁情报为高管提供了威胁形势的高层次概述,侧重于威胁执行的影响。
运营威胁情报为安全管理成员提供与威胁和行为者相关的上下文,如性质、意图、恶意活动和地缘政治背景。运营威胁情报为威胁猎人提供帮助他们建立和执行相关猎杀方案的上下文信息。
战术威胁情报提供关于TTP的详细信息,适用于SOC团队,特别是威胁猎人。
技术威胁情报提供特定IOC,如IP地址、散列和URL,适合机器消费。由于其提供信息的性质,技术威胁情报的生命周期较短。
威胁猎人应该对四种威胁情报类型有整体的了解,重点关注运营和战术威胁情报,并轻松获取技术威胁情报。
我们现在来看看如何通过痛点金字塔模型的视角,根据其复杂性水平来查看和处理战术和技术威胁情报。
2.弱点金字塔模型
弱点金字塔模型,如下图所示,从复杂性驱动的视角看待战术和技术威胁情报。你在金字塔上爬得越高,揭示攻击者特征就越困难。例如,定位和跟踪IP地址的活动通常比发现使用rundll32.exe执行恶意加载器等技术更容易。
成熟的威胁猎杀实践会关注痛点金字塔的前三层(网络/主机工件、工具和TTP),以从威胁情报中获得最大价值,并达到更高的成熟度。金字塔底部的三层(散列值、IP地址和域名)与IOC相关,主要用于安全监控目的。威胁猎人仍会使用这些IOC,但不应该成为整个威胁猎杀实践的重点。
除了威胁情报,情况感知也是创建相关假设的关键。让我们深入探讨情况感知的概念。
下一篇文章我们将继续研究威胁捕获的实操技术。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
