一年一度大型攻防实战演练即将来临,如何在最短时间内“发现攻击、快速处置、追踪溯源”,继而避免不扣分、争取加分,这是每一个防守方都需要解决问题。
后期系列文章,笔者将从主动防御角度,谈谈威胁狩猎产品在大型攻防实战演练中四大应用场景,包括威胁建模、调查确认、响应处置、内网溯源。本文主要重点讲“威胁建模”场景,即防守方如何利用威胁狩猎产品及相关威胁情报,针对可能存在威胁进行特定场景监控。
1、 威胁狩猎简单定义
在具体讲实践场景之前,需要对威胁狩猎要有充分认知,那么一个简单、明确定义是必不可少。简单来说,威胁狩猎是指通过主动查找IT基础设施中存在恶意活动,主要指当前或者历史上已经绕过安全防御措施的恶意活动。此类防御绕过,大多数都是由于组织机构缺乏足够深度检测能力,而攻击者又使用了新的、经过改进的或者未知的攻击技术,例如0day漏洞。
威胁狩猎,基本上可以归结为结构化狩猎和非结构化狩猎。非结构化狩猎并不从“假设”开始推演,只是简单基于数据驱动,猎人通过现有可用数据的挖掘,发现异常的、恶意活动。反之,结构化威胁狩猎始于“假设”,然后确定边界范围开始狩猎。通常意义上威胁狩猎指的都是结构化狩猎,下文所述的也是指结构化狩猎。
威胁狩猎核心宗旨是减少发现攻击者踪迹所需时间,降低事件响应时间,降低其对组织机构影响。正如下图所示,攻击时间轴包括几个关键时刻,威胁狩猎减少是T=1和T=2两点之间时间差。
除此之外威胁狩猎核心价值还包括以下几点:
寻找在针对特殊攻击者TTP进行检测和响应上差距。
开发新的监控场景和检测分析工具。
将未覆盖的新威胁相关情报和TTPs反哺威胁情报。
为企业的安全部门制定安全防御措施提供建议。
2、 威胁狩猎三个阶段
正如上文所说,威胁狩猎活动是由“假设”所驱动,并且是针对具体特定目标进行的。威胁狩猎假设可以来源于威胁情报,包括现有威胁情报、其它安全产品报警日志等,同时威胁情报也可用来丰富威胁狩猎活动的上下文。当然,威胁狩猎活动本身也可以产生对应威胁情报。
如下图所示,针对具体目标的威胁狩猎活动流程图,它包括开始、狩猎、完成3个阶段,总共6个步骤。
阶段1:初始阶段
首先,通过触发事件启动威胁狩猎,并将触发事件转换为威胁狩猎项目的重点内容,存储在狩猎待办事项列表中。威胁狩猎启动可由多个进程触发。在众多触发事件中,MITRE ATT&CK是最为重要触发器,它可以作为潜在攻击向量和技术输入方,为猎人提供了丰富信息。此外,该框架也提供检测建议,这对于狩猎和安全监控都有着非比寻常价值。
通常情况下,当接收到触发事件之后,狩猎团队需要创建一个狩猎活动摘要。摘要内容只对狩猎调查做一个基本描述,大部分信息需要在后期狩猎阶段进行完善更新。狩猎活动摘要将会被存放在一些协作工具上比如JIRA,方便大家协同工作。
阶段2:狩猎阶段
威胁狩猎第2阶段是进行实际调查,这个阶段主要有两项核心活动,第一个活动称为“确定边界/修正”。第二个活动称为“执行”,即实际狩猎活动。
在确定边界/修正阶段中,将会明确狩猎活动细节,通过提炼和添加信息,将第一阶段的摘要转化为调查。在这个阶段会添加一些新元素信息,包括所需的数据源和数据分析技术。最重要的是,产生了一个驱动狩猎的假设。这种假设是狩猎过程中至关重要的一步。一个定义不清的假设可能会导致没有结果,甚至错误的结果。
在明确狩猎边界和假设之后,就可以启动执行活动了。这个步骤主要是检索和分析数据。在狩猎文档中都会有许多数据分析技术,例如查询、集群。其中一些分析技术需要由分析人员手动操作,而有些则可以通过机器学习等来执行。因此在这个过程拥有一个可视化和分析技术的狩猎工具尤为重要。在数据分析步骤中,狩猎团队需要完善补充最初定义阶段遗漏那些信息。这是一个不断重复的过程,对假设、范围、选择的数据源和分析技术进行改进,直到得到明确调查结果。
在进行数据分析时,可以使用威胁情报为调查活动添加上下文。当威胁狩猎团队发现了匹配威胁情报在特定的TTP时,就可以对该TTP进行下一步的分析。因此如果条件允许,威胁狩猎活动应与威胁情报小组合作进行。威胁情报可能会提供相关攻击者、攻击方法、攻击能力、同行业其它受害者信息。当然在这个阶段,ATT&CK navigator也是一个很好的工具,可以将相关攻击技术与恶意软件或APT组织进行关联,例如了解所在行业受攻击最多APT的技术。此类信息作为可以帮助威胁狩猎发现更多恶意行为,为猎人提供更全面的攻击视角。
狩猎阶段第二项活动是验证假设是成立的。也就是说当狩猎调查结束时,必须对假设进行验证。验证结果包括两种情况,第一种是确定结果,要么发现恶意活动,则启动事件响应;要么就是未发现恶意活动;第二种情况就是无法确定假设是否成立。针对第二种情况,猎人需要回到第一步来更改一些狩猎参数并重复执行。在某些情况下,所需的数据可能根本无法获得。如果是这样,则证明本次狩猎活动失败,但是可以作一次有价值的经验教训。
阶段3:完成阶段
最后一个阶段结果文档化。威胁狩猎团队必须处理第2阶段执行狩猎活动步骤所发现过程和结果并将其文档。这个文档必须涵盖最重要的狩猎结果,以及基于此得出的结论和建议。这些建议通常包括针对预防措施的改进(从简单的配置更改到架构更改)、对日志记录的建议、对安全监控用例的建议和流程的建议(对漏洞或配置管理的改进)。
最后,文档需要包含经验教训部分,包括猎人在本次狩猎活动中知识提升,以及对业务、IT基础设施认知提升。这些经验对于后期威胁狩猎活动有着非常大借鉴意义。
最后一个活动是切换到其它流程。在本次狩猎活动中,可能会触发其它潜在安全事件,包括安全事件响应、安全监视、威胁情报、漏洞管理等,如下图所示。
3、 场景案例:在攻防实战中,威胁狩猎应用与实践
基于上述所讲威胁狩猎在威胁建模场景下应用框架,下面将以年度大型攻防实战对抗为例进行说明。
威胁建模场景:在攻防对抗中,存在异常连接访问靶机的行为。
初始阶段-狩猎摘要:检测在X时间内,是否存在XX机器访问靶机行为。
狩猎阶段-确定边界:是否存在可疑IP连接靶机。确定所需数据源、所采用分析技术。
狩猎阶段-狩猎执行:通过一定工具,进行威胁狩猎活动。因为访问靶机服务器的连接行为是相对稳定,因此只需要将访问连接的增量IP单独筛选出来做一个人工判断,基于新增IP方向看对应进程。
完成阶段-文档化结果:将狩猎结果文档化,反哺威胁情报,重点监控这些可疑的IP,或者直接采取相关阻断行为。
4、威胁狩猎效果评估
威胁狩猎度量指标对于确定狩猎过程的效率和有效性,以及展示其价值非常有用。度量标准有包含2个基本类型:定量(数字)和定性(价值)。重点应该放在威胁狩猎如何为组织贡献价值上,因此需要仔细选择度量标准。下面所列可以作为威胁狩猎衡量参考指标:
• 驻留时间:由于威胁狩猎减少攻击者驻留时间。
• 事件响应:威胁狩猎过程触发的事件数量。
• 安全监控:增加和更新威胁用例场景的数量。
• 威胁情报:在威胁狩猎过程中创建新的威胁情报。
• 安全建议:在威胁狩猎报告中建议新的预防措施。
• 漏洞管理:漏洞或未发现的错误配置的数量。
5、 写在最后
威胁狩猎是一种典型主动防御手段,尤其适合在攻防实战对抗环境中应用,对于威胁风险、应急处置、追踪溯源场景中更是可以发挥重要价值。威胁捕获强调通过“人”主动去寻找入侵痕迹,而不是被动等待技术告警。威胁捕获不仅只是简单技术标记、报警可疑的活动,某种程度还需要依赖人的分析能力,包括对环境上下文的理解来更快速地确定何时发生了攻击的活动。威胁捕获就是寻找那些“异常现象”,也就是平时不会发生的非常规现象。这使得攻击可以更早被发现,在攻击者完成攻击目标之前就阻止其恶意行为。当然,实践威胁捕获,还需要可靠的工具来帮助分析人员看清其组织网络中到底发生了什么,包括进程启动、文件打开和网络连接等。
