安全厂商迈克菲对700名IT和安全从业人员进行了问卷调查,意图理解威胁追捕(Threat Hunting)当前的状态和未来发展。威胁追捕——对现有网络攻击的主动搜索。
威胁捕手专注线索和假设,不会只等待来自基于规则的检测所发出的警报;以人为中心而不是以工具为中心;基于当前正有攻击发生的假定开展工作。而追捕过程,则与军事上的OODA概念相似:观察、定位、决定、行动。
为比较威胁追捕能力,受访者对自身成熟度的评级分为4级。第1级就是主要靠某些常规数据集产生自动化警报的捕手,第4级是自动化绝大部分成功数据分析的捕手。
调查的主要发现之一,是成功威胁追捕是艺术与科学的结合。1级捕手行动随意;对2级捕手而言,威胁追捕是个有组织性的过程;但最成功的4级捕手,于理性的套路中蕴含灵光一现的机动。
提升成熟度的4大策略是:
- 更好地自动化威胁追捕过程;
- 增加数据分析的使用;
- 招聘更有经验的员工;
- 使用更精确的诊断工具。
一个显著而又自然的特征是,低级安全运营中心(SOC)将员工雇佣作为重点,然后才是提升数据分析的使用。而人员配备更好的3级捕手,将更好的自动化作为第一要务,然后是增加分析。
迈克菲假定:低级SOC希望充实人员,追逐新鲜工具以求快速复制成功SOC;而更高级的SOC,则将重点从打造强大的追捕及事件响应团队,转移到了让团队更加有效上。
4级捕手和其他低级捕手之间的明显差异之一,在于自动化的程度。受访者中,1-3级SOC的自动化部署程度平均在23%,而4级SOC的自动化水平在75%。
这一差距延续到了网络安全的下一阶段——事件响应。广泛的自动化,很自然地提供了更多事件响应者所需的上下文信息,可更精确地圈定并分诊事件,快速解决事件。调查结果充分验证了此一结论:71%的4级SOC平均在1周之内结束调查——大部分在24小时之内就结束战斗了。而其他更低级的SOC,平均要25天。
同样的,更成熟的SOC,70%的时间里都能确定攻击根源,而低成熟度SOC只有43%的时间里能成功鉴别出攻击根源。
不同成熟度SOC之间在操作流程上的另一个区别,是花在研究和定制威胁追捕工具上的时间。1级捕手花在这上面的时间平均每月10小时。4级捕手是17小时。迈克菲认为,这是人机团队协作力量,以及本地情报与个性化重要性的良好典范。
沙箱是使用最多的追捕工具。很明显,最高级的捕手比低级捕手用得久:4级捕手平均用了4年;1级则仅2年。而且,沙箱的用途也随着捕手成熟度而变。将沙箱用于调查和威胁验证,而不仅仅用在检测和报警上的4级捕手,是其他捕手的2倍之多。
所有数据分析都依赖于数据。全部4个级别的捕手中,60%使用公开威胁情报馈送;但随着成熟度提升,捕手们开始更多地依靠从自己的研究中内部收集的TTP(技术、战术、规程)。
馈送威胁情报到关联引擎的自动化过程,在1级捕手中有45%的人在用,但4级捕手中77%都在用。馈送的本质也随成熟度不同而有异:4级捕手80%使用ISAC和其他私有或付费馈送,而1级捕手中仅41%使用这些。
威胁追捕会继续发展下去,不再是只有少数简短实践者才懂的深奥操作。未来几年,有望看到威胁追捕依托广泛的自动化和机器分析,成为大多数公司分析驱动安全运营的组成部分。
然而,这份调查中明显昭示出的,是威胁追捕不仅仅是购买各种系统这么简单。通往高效事件响应的有效威胁追捕,是人与机器的协作,是艺术与科学的结合,需要人来定制并自动化科学以匹配个体自身的环境。
完整报告:
https://www.mcafee.com/us/resources/reports/rp-disrupting-disruptors.pdf
相关阅读
