1:威胁狩猎的定义
我们将狩猎定义为在网络中主动和迭代的进行搜索的行动,以发现并进一步隔绝针对现有安全策略的高级威胁。威胁猎人可能会用许多不同的安全技术来终结攻击者的攻击,问题在于不同案例中时常出现猎人采取了错误的方案解决攻击行为。最好的方法必须根据攻击者的具体攻击行为随时规划。狩猎不仅仅依赖于像SIEMs这样的自动化系统,还需要威胁猎人的手工分析,软件往往只是做一些辅助工作。在实际场景中,威胁警报很重要,但是你能想象一天生成几十万条威胁告警日志的情况吗,真正的安全威胁被大量的误报给淹没了同时淹没了安全工程师的戒心。所以威胁狩猎的主要目标之一就是通过设计新的方法来检测恶意活动,然后将这些新的方法转化为有效的自动化的安全分析,从而改进自动检测。
2:狩猎成熟度模型
考虑到狩猎的需要,考虑一下什么是一个好的狩猎基础设施。在判断一个团队的狩猎能力时,有许多因素需要考虑,这些包括:
1-收集的数据的数量和质量;
2-可以用什么方式来可视化和分析各种类型的数据;
3-可以用什么类型的自动分析来增强分析能力
团队从IT系统中定期收集的数据的质量和数量,是决定狩猎技术成熟程度的一个重要因素。信息的质量和信息的种类越多,作为猎人的分析效率和分析质量会更高。而可以作为分析数据所使用的工具,包括可以生成可视化图表和你可以进行攻击行为的具体工具,而这些工具的选择将会塑造你的狩猎风格和决定你将能够利用什么类型的狩猎技巧。
第0等级:主要依赖于自动警报,路由数据收集很少甚至没有
这些企业往往利用IDS、SIEM或杀毒软件在整个企业中检测恶意活动,他们不断更新威胁数据库的数据,虽然有技术的告警,但是他们完全没能力做威胁狩猎。
第1等级:对威胁日志进行收集并索引,可以对威胁日志进行搜索
企业已经成功部署了一些不错的安全分析工具并做了一些简单的定制,但是在分析手段上还是严重依赖于频率分析这类简单的手段
第2等级:更高级并更复杂同时是遵循第三方安全标准的数据收集来源方案
第3等级:有能力开展根据业务场景自研的安全分析系统
第4等级:部署了大量的对数据进行可以进行自动化分析的安全规则
第4等级和第1等级最大的区别在于拥有自动化的分析系统后,4级企业的安全分析师从大量的重复性工作中解放出来可以进行大量创新化的安全分析行为
设计这个等级的意义在于,如果一个企业需要设计自己的安全狩猎队,这个模型可以帮助企业评估当前企业的现状,以及改进的方向和可以改进的程度
3:狩猎循环
每一次“狩猎季节”开始于创造一个安全假设。可以关于某种类型的活动也可能在你的IT环境中进行。我们来看一个假设的例子:某企业的高管出差,而他携带的信息数据如果泄露所带来的风险很高,而他被其他国家资助的黑客盯上了。所以你可以通过计划在他的笔记本电脑上寻找被放置后门的迹象或者假设他们的授权账户在企业的内部网络中进行各种非常规操作。每一个假设都是单独进行测试。分析人员可以根据这种类型的狩猎结果来手动设计新的安全假设。
第二,通过各种工具和技术对假设进行调查,包括关联数据分析和可视化。使用工具利用原始数据和中间数据并通过可视化、统计分析或机器学习来融合不同的网络安全数据集。关联这些数据集以合理的方法论分析解决问题所需的安全假设,这也是狩猎平台的关键组成部分。有关数据甚至可以为可视化添加权重和方向性,使大数据搜索变得更容易。设置和使用更强大的分析。在更高级的层面上,安全假设也可能由风险算法自动生成根据各种不同的条件对特定的用户或实体进行怀疑。例如,一个风险评估算法可以利用各种杀链行为分析的输出(例如,信标行为,横向运动行为,外渗行为)并将它们组合成一个单一的用户或实体的风险评分,这将为狩猎提供一个良好的起点。还有许多其他的补充技术,包括像数据聚类。分析人员可以使用这些不同的技术来轻松地发现新的他们的数据中有恶意的模式,并重建复杂的攻击路径来揭示攻击者的策略,技术和过程(ttp)。
通过对行为的分析找出恶意行为的特征后,使用自动化的工具将恶意行为分析出来。就能进行针对攻击者的意图分析。
这个白皮书我真是后悔翻译,都特码的是废话。