安全廠商邁克菲對700名IT和安全從業人員進行了問卷調查,意圖理解威脅追捕(Threat Hunting)當前的狀態和未來發展。威脅追捕——對現有網絡攻擊的主動搜索。
威脅捕手專注線索和假設,不會只等待來自基于規則的檢測所發出的警報;以人為中心而不是以工具為中心;基于當前正有攻擊發生的假定開展工作。而追捕過程,則與軍事上的OODA概念相似:觀察、定位、決定、行動。
為比較威脅追捕能力,受訪者對自身成熟度的評級分為4級。第1級就是主要靠某些常規數據集產生自動化警報的捕手,第4級是自動化絕大部分成功數據分析的捕手。
調查的主要發現之一,是成功威脅追捕是藝術與科學的結合。1級捕手行動隨意;對2級捕手而言,威脅追捕是個有組織性的過程;但最成功的4級捕手,于理性的套路中蘊含靈光一現的機動。
提升成熟度的4大策略是:
更好地自動化威脅追捕過程;
增加數據分析的使用;
招聘更有經驗的員工;
使用更精確的診斷工具。
一個顯著而又自然的特征是,低級安全運營中心(SOC)將員工雇傭作為重點,然后才是提升數據分析的使用。而人員配備更好的3級捕手,將更好的自動化作為第一要務,然后是增加分析。
邁克菲假定:低級SOC希望充實人員,追逐新鮮工具以求快速復制成功SOC;而更高級的SOC,則將重點從打造強大的追捕及事件響應團隊,轉移到了讓團隊更加有效上。
4級捕手和其他低級捕手之間的明顯差異之一,在于自動化的程度。受訪者中,1-3級SOC的自動化部署程度平均在23%,而4級SOC的自動化水平在75%。
這一差距延續到了網絡安全的下一階段——事件響應。廣泛的自動化,很自然地提供了更多事件響應者所需的上下文信息,可更精確地圈定并分診事件,快速解決事件。調查結果充分驗證了此一結論:71%的4級SOC平均在1周之內結束調查——大部分在24小時之內就結束戰斗了。而其他更低級的SOC,平均要25天。
同樣的,更成熟的SOC,70%的時間里都能確定攻擊根源,而低成熟度SOC只有43%的時間里能成功鑒別出攻擊根源。
不同成熟度SOC之間在操作流程上的另一個區別,是花在研究和定制威脅追捕工具上的時間。1級捕手花在這上面的時間平均每月10小時。4級捕手是17小時。邁克菲認為,這是人機團隊協作力量,以及本地情報與個性化重要性的良好典范。
沙箱是使用最多的追捕工具。很明顯,最高級的捕手比低級捕手用得久:4級捕手平均用了4年;1級則僅2年。而且,沙箱的用途也隨著捕手成熟度而變。將沙箱用于調查和威脅驗證,而不僅僅用在檢測和報警上的4級捕手,是其他捕手的2倍之多。
所有數據分析都依賴于數據。全部4個級別的捕手中,60%使用公開威脅情報饋送;但隨著成熟度提升,捕手們開始更多地依靠從自己的研究中內部收集的TTP(技術、戰術、規程)。
饋送威脅情報到關聯引擎的自動化過程,在1級捕手中有45%的人在用,但4級捕手中77%都在用。饋送的本質也隨成熟度不同而有異:4級捕手80%使用ISAC和其他私有或付費饋送,而1級捕手中僅41%使用這些。
威脅追捕會繼續發展下去,不再是只有少數簡短實踐者才懂的深奧操作。未來幾年,有望看到威脅追捕依托廣泛的自動化和機器分析,成為大多數公司分析驅動安全運營的組成部分。
然而,這份調查中明顯昭示出的,是威脅追捕不僅僅是購買各種系統這么簡單。通往高效事件響應的有效威脅追捕,是人與機器的協作,是藝術與科學的結合,需要人來定制并自動化科學以匹配個體自身的環境。
京公網安備 11010502049343號