许多公司在考虑网络安全时,通常会从防火墙、防病毒软件、入侵检测系统和多重身份验证 (MFA) 等方面来开展安全工作。当这些预防措施到位,公司通常会通过建立一个响应告警的安全运营中心 (SOC) 来集中监控和响应流程,其中包括一个负责缓解和补救检测到的威胁事件响应 (IR) 团队。
随着安全组织的成熟,它开始将资源投入到更复杂的主动安全实践中,例如威胁狩猎。在 Adobe,这正是我们在做的,今天我要详细介绍我们安全协调中心 (SCC) 内的威胁狩猎计划。
什么是威胁狩猎?
威胁狩猎是一个“蓝队”的任务,可以保护企业免受那些已经逃避现有安全防御措施的恶意活动的侵害。如果您熟悉安全领域中的“蓝”与“红”团队术语,蓝队是公司防御性安全计划的一部分,而红队是进攻性安全计划的一部分,红队是在真正的恶意行为者行动之前故意攻击企业以发现现有漏洞。
威胁狩猎计划的主要目标是缩短初始危险发生和发现攻击之间的时间差,即所谓的“停留时间”。恶意行为者在环境中未被发现的时间越长,停留时间也越长,他们造成伤害的时间就越长。
更确切地说,威胁狩猎可以发现以前未检测到的问题,包括受损或配置错误的主机、可见性间隙和其它安全风险。它们还可以帮助分析和提高检测机制和流程的有效性,并提供搜索后建议,以提高安全性。有时,它们可以发现新的威胁或战术、技术和程序 (TTP),从而引发全新的追捕。
你应当寻找什么?
既然您已知道什么是威胁狩猎,那么您是否知道要狩猎什么?搜寻的想法或线索可以来自组织内的许多来源。一项主要来源来自您的SOC,它可能会在日常分类中观察到新出现的威胁模式。寻找线索的另一个来源是事件响应团队确定的TTP。这些行为模式可用于帮助防御恶意行为者使用的特定威胁向量和策略。虽然您的IR团队可能仅限于缓解事件本身,但威胁狩猎团队可以用更广泛的视角搜索行为,以发现潜在的类似攻击。
其他狩猎想法可能来自您的组织外部。现在不乏外部漏洞,因此您的安全组织对利用这些漏洞的全行业开发尝试保持警惕是有意义的。在这方面,您的威胁狩猎团队可以提供巨大的帮助。该团队还可以负责搜索那些安全研究人员和标准组织(如 MITRE)发布的外部威胁或违规报告中观察到的行为。
如何组织狩猎?
狩猎通常分为两个不同的类别:结构化和非结构化。虽然两者都是从假设开始的,但威胁猎手从一开始就考虑到特定的TTP或行为时会使用结构化的猎杀(例如恶意攻击者在受损的主机上使用 curl 或 wget 等系统原生工具,从互联网上下载额外的恶意软件或黑客工具)。黑客利用最近的 Log4j 漏洞获得的未经授权的访问可能是全球数千家公司追捕的主题。
另一方面,非结构化搜索侧重在更大的数据中集中搜索异常或异常值,并且通常涉及数据科学技术或 ML/AI。例如,您可能会观察到 DNS活动的变化,其中一个进程开始向未知域发出请求,并决定需要进一步调查。或者,您的威胁追踪团队可能正在搜索用户活动日志并看到异常情况,例如一项服务试图访问它没有授权的资源。
如何衡量成功?
就像其他业务流程一样,衡量威胁狩猎计划的成功可以分为定性和定量两个方面。在定性方面,将您的搜索覆盖在MITRE ATT&CK框架上,该框架是分析攻击者的“黄金标准”,可以让您全面了解您保护的公司免受常见攻击的程度。新的检测分析,例如检测规则和狩猎产生的安全建议也提高了公司现有的检测和预防能力。
定量方面,跟踪威胁狩猎计划在造成损害之前发现的事件、受损主机、错误配置等的数量是衡量成功的一个很好的指标。减少事件的停留时间和狩猎的完成时间也有助于向管理层证明您的威胁狩猎计划的必要性和成功性。使用分析软件,您还可以衡量各种附加的和特定于公司的指标和 KPI。
一种积极主动的方法
Adobe公司建立了一个可扩展的威胁狩猎计划,该计划可提供潜在危害的早期检测,减少信息安全事件的停留时间,提供有关如何减轻对Adobe 客户、品牌或产品的潜在危害的指导,并帮助教育我们的同行如何在识别和解决可能的威胁方面进行改进。通过主动搜寻高级威胁,狩猎团队为 Adobe 的纵深防御态势增加了一层防护措施,并提供持续的反馈以帮助改进我们的网络安全控制。