專家談及網絡威脅的細分時,通常會提及二八定律(又名80/20定律、帕累托法則(定律)也叫巴萊特定律、最省力的法則、不平衡原則等,被廣泛應用于社會學及企業管理學等。)。二八定律的概念為:80%的網絡威脅攻擊者通常比較“低能”,而剩下20%則非常先進,如果給定的時間和資源充足,這20%的攻擊者可以入侵任何網絡。
網絡“狩獵”新范式從歷史上來看,國防和情報界主要關注那20%的網絡攻擊者。然而,如今商業化惡意軟件的興起讓傳統 “菜鳥級”攻擊者也能使用先進技術。
例如,2006年,WebAttacker漏洞利用工具提供了一套任何威脅攻擊者都能操作的工具套件。在這種新范式下,我們要認清三大真相:
1. 不可能防止所有的攻擊。
2. 企業網絡難免會遭遇攻擊。
3. 不存在100%的安全
大多數安全從業人員都明白,良好的網絡習慣和邊界網絡安全將緩解底層80%的攻擊者。在安全運維中心(SOC),阻止和處理技術可以應對超過90%的攻擊者。而那剩下的10%,就屬于威脅狩獵的領域。
人工分析師可以調查數據源找到單靠機器無法檢測到的威脅證據。例如,尋找異常的分析師可以發現對手的指示器(Indicator),以及執行攻擊者的部分殺傷鏈,并在對方采取行動前加以阻止。
威脅狩獵新手需了解的注意事項當創建威脅狩獵計劃時,組織機構應牢記三件事:
1. 需求是什么?威脅狩獵的基礎是安全信息和事件管理(SIEM)解決方案,該解決方案在網絡內適當聚合內部結構化數據。威脅情報信息允許組織機構對比外部威脅指示器(Indicator),并理解威脅格局。
此外,還要增加統計分析引擎和情報分析工具。分析師可通過統計分析根據數學模型發現異常,而不是規則引擎。情報分析工具可以使相關數據可視化,以便分析師圍繞實體、聯系和財產進行關聯。
2. 需要哪些人才?威脅分析師是威脅狩獵從業人員。威脅分析師通常被稱為“三級分析師”,他們具有信息安全、取證科學和情報分析相關的技能。因為具備這些技能,三級分析師能主動根據情報需求積極發現威脅,并直接展開調查。
3. 怎么做?執行威脅狩獵最重要的起點是建立優先情報需求(PIR)。PIR需求基本上都是領導層尋求的高層次問題。
你可能想知道,自己是否遺漏了隱藏的威脅。若是如此,具體信息需求(SIR)可以幫助回答以下問題:
眾多低級警報何時連接到同一指示器(Indicator)?
30天至90天之前,新威脅情報指示器(Indicator)在哪里與日志匹配?
通過以前從未見過的命令執行的遠程訪問會話在哪里?
威脅狩獵者通過這些問題可以了解重要情報,以解決高層次的問題,并破壞先前未知的復雜威脅。
奠定基礎剛開始涉足威脅狩獵的公司應了解上述基本概念,并在成熟時增加更多功能。使用正確的工具和配備有技能的員工至關重要。通過適當的技術、人員和可操作的威脅情報,組織機構可以填補安全空缺,并保護網絡免于遭受“藏在暗處”的惡意攻擊。
京公網安備 11010502049343號