随着网络威胁越来越先进,企业必须采取积极主动的网络安全方法来保护其关键资产。其中一个重要的做法就是威胁猎取,这是一种在网络中的潜在威胁造成危害之前就主动将其找出来的策略。
防火墙、杀毒软件和自动检测系统等传统安全工具虽然有效,但并非万无一失。威胁行为者不断开发新的技术来绕过这些防御系统。网络威胁猎杀在识别和减轻逃避自动检测系统的威胁方面发挥着至关重要的作用,使企业能够领先于对手。
什么是威胁猎捕?
威胁猎取是一种主动搜索网络、端点和数据集的过程,目的是识别和缓解那些躲过传统安全措施的网络威胁。与依赖自动警报的被动方法不同,威胁猎杀强调利用人类的专业知识来发现潜伏在组织基础设施中的复杂威胁。随着组织的威胁猎杀能力日趋成熟,此类操作可以通过自动化来增强,并扩大工作能力。
威胁猎手在网络安全中的作用
威胁猎手是企业网络安全框架中的主动防御者。他们的主要职责是在隐藏的威胁升级为全面的安全事件之前发现它们。
通过应用有关对手能力和行为的知识,威胁猎手可以深入挖掘网络流量,在安全日志中寻找可疑轨迹,并识别可能未被视为足以导致自动检测的关键异常。因此,威胁猎手在强化组织的安全态势方面发挥着至关重要的作用。
威胁猎手利用行为分析技术来区分正常和恶意网络活动。此外,他们还提供可操作的情报,让安全团队了解如何加强现有防御、完善自动检测系统,并在安全漏洞被利用之前将其弥补。
通过同时关注已知威胁和新出现的攻击方法,威胁猎手大大减少了企业对被动安全措施的依赖,转而培养了一种主动防御的文化。
为什么威胁猎杀对关键基础设施至关重要?
由于威胁行为者的战术日益复杂,威胁猎取已成为现代网络安全不可或缺的实践。许多对手,尤其是高级持续性威胁(APT),可能会利用隐蔽技术和躲避性恶意软件长时间不被发现,经常绕过传统的安全防御工具。
如果不积极猎杀网络威胁,这些隐藏的攻击就会在网络中潜伏数月,提取敏感数据或为大规模破坏做准备。此外,威胁猎杀在减少停留时间(即威胁行为者在系统中未被发现的时间)方面发挥着至关重要的作用。攻击者未被发现的时间越长,就越有机会牢牢扎根于环境中,对组织的基础设施和数据造成的破坏也就越大。
除了缩短停留时间,威胁猎杀还能增强组织的事件响应能力。通过在威胁演变成漏洞之前主动识别威胁,安全团队可以迅速有效地做出反应,将潜在攻击的影响降到最低。
此外,将威胁猎取整合到安全框架中的组织可以更深入地了解对手的战术,从而不断改进防御措施。这种方法还有助于遵守法规,因为许多网络安全法规都要求采取主动的威胁检测措施。
归根结底,威胁猎杀能加强组织的整体安全文化,确保安全团队保持警惕,为应对不断变化的网络威胁做好充分准备。
网络威胁猎杀如何运作
网络威胁猎取过程通常包括几个关键步骤:
- 假设生成:根据威胁情报和对组织环境的了解,网络威胁猎手会考虑过去的攻击和特定行业的威胁,对潜在威胁提出假设。
- 数据收集:从网络日志、终端遥测和云环境等各种来源收集相关数据,以便进行综合分析。
- 数据分析: 猎人仔细检查收集到的数据,识别可能表明恶意活动的异常情况、不寻常模式和行为,有时会利用机器学习和统计模型。
- 调查:对可疑发现进行深入调查,以确定它们是真正的威胁还是误报,从而确保有效分配资源。
- 应对措施: 通过遏制、根除和恢复措施迅速应对已确认的威胁,以减轻潜在的破坏。
- 持续改进:从每次主动猎杀威胁中获得的洞察力都将用于完善安全策略、增强自动威胁检测系统并改进未来的猎杀工作。
网络威胁猎杀类型
威胁猎捕方法可分为四种主要类型:
| 结构化狩猎 | 根据围绕对手战术、技术和程序(TTP)的已知标准提出假设,以指导狩猎,确保采取有条不紊的方法。 |
| 非结构化狩猎 | 这种方法以直觉为驱动力,较少关注已知的入侵指标(IOC),而是更灵活地搜索已识别触发点前后的恶意活动。 |
| 情境或实体驱动狩猎 | 重点关注高风险或高价值实体,如敏感数据或关键计算资源,帮助确定网络威胁调查工作的优先次序。 |
| 机器学习辅助狩猎 | 利用人工智能检测异常情况,协助人类分析师更高效地识别潜在威胁,提高可扩展性。 |
威胁猎取模型
有几种模式可以指导威胁狩猎实践:
- 基于情报的猎杀:依靠威胁情报信息,如 IOC、IP 地址和域名,根据外部情报来源识别潜在的网络威胁。这通常被认为是一种不太成熟、不太有效的猎杀对手的方法,但在某些情况下可能有用。
- 基于假设的狩猎:包括根据分析、情报或态势感知创建假设,以指导狩猎过程应对未知威胁。
- 使用攻击迹象(IOA)进行调查:重点是识别对手的行为和攻击模式,以便在网络安全威胁实施之前就发现它们。
- 基于行为的猎杀:检测异常用户和网络行为,而不是依赖预定义指标,提供更动态的检测方法。
基本威胁猎捕工具
有效的威胁猎捕需要一套专门的工具:
- 安全信息和事件管理 (SIEM) 系统:汇总和分析来自不同来源的安全警报。
- Endpoint 检测和响应 (EDR) 解决方案: 监控端点活动,检测并响应自动化系统遗漏的威胁。EDR 产品可生成有关组织端点活动的丰富数据集,在研究出新的基于主机的战术、技术和程序 (TTP) 时,有机会不断揭示发现的问题。
- 网络检测和响应 (NDR) 解决方案:监控和分析网络流量,根据网络通信检测对手的活动。对手的多种常见战术都依赖于网络,包括横向移动、指挥与控制和数据渗透。网络层产生的信号可能有助于识别威胁分子活动的迹象。
- 托管检测和响应 (MDR) 服务:提供外包威胁捕猎和响应能力。
- 安全分析平台:利用先进的分析技术(包括机器学习)来识别异常情况和潜在威胁。这些类型的系统对于汇聚事件数据、以有意义的方式分析数据以及揭示关键网络威胁猎捕结果的洞察力至关重要。
- Threat Intelligence 平台:汇总各种来源的威胁情报数据,协助识别威胁。
- 用户和实体行为分析 (UEBA):分析用户行为模式,检测潜在的内部威胁或受损账户。
威胁猎取与Threat Intelligence
虽然威胁猎取和威胁情报密切相关,但它们在网络安全中发挥着截然不同但又相辅相成的作用。
威胁情报包括收集、分析和传播有关现有和新出现威胁的信息,使组织能够预测潜在的攻击。它为安全团队提供了宝贵的见解,包括攻击载体、对手行为和新出现的漏洞,可用于加强防御措施。
另一方面,威胁猎取是一种积极的实践方法,分析人员会主动搜索组织网络中的威胁。威胁猎取者不是等待警报或已知的入侵迹象,而是利用威胁情报提供的洞察力来调查自动安全工具可能会忽略的潜在隐藏威胁。
威胁情报通过提供关键数据来支持威胁猎取,而威胁猎取则通过发现新的攻击方法和漏洞来完善威胁情报,因此这两种做法对于全面的网络安全战略都至关重要。
复古狩猎的重要性
关于威胁搜寻的讨论大多集中在已收集的数据上,这些数据随后可以通过分析新信息来识别威胁。许多网络安全解决方案都以这种方式运作,提供可实时或稍后分析的数据。
但是,有些解决方案只能实时工作;它们分析的是当时上下文中的数据,而当数据脱离上下文时,就无法在未来进行同样深度的分析。这方面的例子包括某些形式的网络数据分析,如入侵检测系统 (IDS)、在访问或创建文件时检查文件内容的防病毒软件,以及若干类型的检测管道,这些管道的构建目的是分析流式数据,然后将其丢弃。
网络威胁猎杀提醒我们,有些威胁很难实时检测到,通常只有在未来了解到更多威胁情报时才能检测到。
回溯狩猎("RetroHunting")是一种回溯方法,可利用当今对威胁环境的增强意识对以前收集的网络和文件数据进行分析。OPSWAT的分流、分析和控制 (TAC) 解决方案套件(包括MetaDefender NDR)专为威胁狩猎团队而设计,可实施回溯狩猎,帮助防御者使用更新的检测签名重新分析数据,从而发现那些漏网的威胁。
这是一种行之有效的方法,可将威胁情报、检测工程、威胁猎杀和事件响应的优势融合到一个全面的防御模型中。与仅使用标准实时分析相比,使用 RetroHunt 的客户能在其环境中发现并修复更多的活跃对手的立足点。
了解战术、技术和程序 (TTP)
战术、技术和程序 (TTP)是了解和应对网络威胁的基础。
战术是指攻击者要实现的高层次目标,如获取系统的初始访问权限或渗出敏感数据。
技术描述了用于实现这些目标的具体方法,如窃取凭证的鱼叉式网络钓鱼或深入网络访问的权限升级。
程序概述了这些技术的逐步实施步骤,通常根据攻击者的技能水平和可用资源而有所不同。
通过分析 TTP,威胁猎手可以在网络威胁出现之前对其进行预测和识别。安全团队可以专注于跟踪对手的行为模式,而不是对单个警报做出反应,从而更容易发现正在进行的攻击并预测潜在的下一步行动。
通过了解 TTP,组织可以制定更好的防御策略,加固系统以抵御特定的攻击技术,并增强其整体网络安全复原力。
缩短停留时间
停留时间是指威胁行为者在网络中不被发现的时间。缩短滞留时间对于最大限度地减少网络威胁的潜在危害至关重要。积极主动的威胁猎杀可以在威胁完全达到其恶意目的之前识别并减轻威胁,从而大大缩短滞留时间。
威胁猎取实例
一个安全团队发现多个端点的身份验证请求异常。利用威胁猎取方法,他们发现攻击者试图在网络内横向移动,从而控制了进一步的影响并防止了数据外泄。
一家公司的未知域网络流量突然激增。威胁猎手展开调查,发现了一个与命令和控制 (C2) 服务器通信的后门特洛伊木马程序,使他们能够在威胁扩散之前将其控制住。
威胁猎手检测到一个特权用户账户试图访问敏感文件的异常行为。调查发现,一名内部人员正在外泄专有数据,因此立即采取了行动,以防止进一步的破坏。
敌人可能会使用一些隐蔽的持久性方法来保留对目标环境的访问权限,以防他们通过主要方法失去访问权限。威胁猎手会编制一份可在其环境中使用的持久性技术列表,对这些方法的滥用进行审计,并在被入侵的服务器上识别出对手在今年早些时候植入的网络外壳。
通过主动捕捉威胁加强网络安全
威胁搜索是主动网络安全战略的重要组成部分。通过不断搜索隐藏的威胁,企业可以显著增强其安全态势,减少攻击停留时间,并减轻网络威胁可能造成的损害。
要想领先于网络对手,组织应投资于威胁猎杀工具,开发内部专业知识,并利用先进的威胁情报解决方案。
常见问题
什么是威胁猎杀?
威胁猎取 是一个主动的过程,通过搜索网络、端点和数据集来检测绕过传统安全措施的网络威胁。与被动式安全不同,威胁猎取依靠人类的专业知识来发现自动系统可能忽略的隐藏或高级威胁。
威胁猎手在网络安全中扮演什么角色?
威胁猎手是网络安全专业人员,他们在威胁造成危害之前就会积极寻找威胁。他们分析网络流量、查看安全日志,并识别可能预示攻击的异常情况。他们的工作通过发现隐藏的威胁、完善检测系统和指导防御改进来加强安全。
为什么威胁猎取对关键基础设施很重要?
威胁猎取对于保护关键基础设施至关重要,因为高级威胁行为者通常会使用隐蔽战术,躲避标准安全工具的攻击。如果不主动猎取威胁,这些攻击可能长期不被发现。威胁猎取有助于缩短停留时间、改进事件响应并支持网络安全法规的合规性。
网络威胁猎杀如何运作?
猎取网络威胁需要经过多个步骤:
假设生成:根据情报和过去的威胁形成理论。
数据收集:收集日志、遥测和其他相关数据。
数据分析:识别可能预示威胁的模式或异常。
调查:验证调查结果,消除误报。
应对:对确认的威胁采取行动,遏制并解决这些威胁。
持续改进:利用每次狩猎的经验来加强未来的防御。
狩猎网络威胁有哪些类型?
四种主要的威胁狩猎类型是
结构化狩猎:以基于已知对手战术的假设为指导。
非结构化狩猎:由分析师的直觉驱动,不局限于预定义的指标。
情况或实体驱动的狩猎:重点关注特定的高风险资产或实体。
机器学习辅助狩猎:利用人工智能检测异常并支持人工分析。
主要的威胁猎杀模式有哪些?
威胁猎杀模型包括
基于英特尔的猎杀:使用 IOC 或 IP 地址等外部情报。
基于假设的狩猎:根据分析或背景洞察建立调查。
使用 IOAs 进行调查:重点关注对手的行为和攻击方法。
基于行为的猎杀:检测异常用户或网络行为模式。
哪些工具是威胁猎取的必备工具?
有效猎取威胁的关键工具包括
SIEM(安全信息和事件管理)系统
EDREndpoint 检测和响应)解决方案
NDR(网络检测和响应)平台
MDR(托管检测和响应)服务
安全分析平台
威胁情报平台
UEBA(用户和实体行为分析)系统
这些工具有助于汇总数据、检测异常并支持人工分析。
威胁猎取与威胁情报有何不同?
威胁情报收集和分析有关威胁的外部信息,如攻击方法和漏洞。威胁猎取则利用这些情报主动搜索组织环境中的威胁。威胁猎取是实践性和前瞻性的,而威胁情报主要是数据驱动和战略性的。
什么是 RetroHunting,为什么它很重要?
RetroHunting是一种使用最新威胁情报重新分析以前收集的数据的做法。它有助于检测在实时分析过程中遗漏的威胁。在处理实时处理后丢弃数据的系统(如某些 IDS 或流式分析工具)时,这种方法尤为重要。
什么是网络安全中的 TTP?
TTPs 代表战术、技术和程序:
战术:攻击者的目标(如窃取数据)。
技术:用于实现这些目标的方法(如网络钓鱼)。
程序:攻击者使用的具体步骤或工具。
分析 TTP 可帮助安全团队发现模式并预测未来行动,使威胁检测更具战略性和有效性。
减少停留时间对网络安全意味着什么?
停留时间是指威胁行为者在系统中未被发现的时间长度。通过在攻击生命周期的早期识别威胁,缩短滞留时间可以最大限度地减少潜在损害。通过早期检测和响应,威胁猎杀在减少停留时间方面发挥着至关重要的作用。
在实践中有哪些猎杀威胁的例子?
- 检测横向移动:识别跨端点的非授权访问尝试。
识别隐蔽的恶意软件:调查指向未知域的异常网络流量。
猎取内部威胁:从特权用户账户中发现异常行为。
检测备份持久性:审计持久性技术,发现隐藏的恶意软件。
威胁猎取如何加强网络安全?
威胁猎取使企业能够检测到躲避自动防御的威胁,从而增强网络安全。它能改善事件响应,减少停留时间,并支持积极主动的安全文化。
