主页
topics
threat hunting
威胁猎杀之所以重要,是因为缜密复杂的威胁可以突破自动化网络安全防线。尽管自动化安全工具以及第一层和第二层安全运营中心 (SOC) 分析师应该能够处理大约 80% 的威胁,但您仍然需要为剩下的 20% 而担忧。这剩下的 20% 的威胁更有可能包含可导致重大损害的复杂威胁。如果有足够的时间和资源,他们将会闯入任何网络,平均会在长达 280 天的时间里安然躲避检测。有效的威胁猎杀就有助于缩短从入侵到发现的时间,从而减少攻击者造成的损害。
在被发现之前,攻击者往往已潜伏数周乃至数月。他们耐心地等待时机窃取数据,并发现足够的机密信息或凭证,以解锁进一步的访问权限,从而为重大数据泄露做好准备。潜在威胁会造成多大程度的损害?根据"《数据泄露损失报告》,"一次数据泄露平均会让一家公司损失近 400 万美元。数据泄露的有害影响可能会持续数年。系统故障和部署响应之间的时间越长,组织耗费的成本也就越高。
成功的威胁猎杀计划基于环境的数据可繁殖性。换句话说,组织必须首先有一个企业安全系统来收集数据。从该系统收集到的信息为威胁猎杀者提供了宝贵的线索。
网络威胁猎杀者为企业安全带来人为元素,补充了自动化系统的不足。他们是技能熟练的IT安全专业人员,能够在威胁可能导致严重问题之前搜索、记录、监控并消除威胁。理想情况下,他们是公司 IT 部门的安全分析师,熟知公司的运营情况,但有时也会是外部分析师。
威胁猎杀的艺术在于发现环境中的未知数。它超越了传统的检测技术,例如 安全信息和事件管理 (SIEM)、端点检测和响应 (EDR) 等等。威胁猎杀者会梳理安全性数据。他们会搜索隐藏的恶意软件或攻击者,寻找计算机可能遗漏或误判为已解決的可疑活动模式。他们还会协助修补企业的安全系统,防止此类网络攻击再次发生。
猎杀者从基于安全数据或触发器的假设开始。该假设或触发器可作为对潜在风险进行更深入调查的跳板。这些更深入的调查包括结构化猎杀、非结构化猎杀及情境式猎杀。
结构化猎杀基于攻击指标 (IoA) 以及攻击者的战术、技术和程序 (TTP)。所有猎杀行为都基于攻击者的 TTP,并与其保持一致。因此,通常情况下,猎杀者甚至可以在攻击者对环境造成破坏之前就识别出攻击者。这种猎杀类型采用 MITRE Adversary Tactics Techniques 和 Common Knowledge (ATT&CK) 框架 (链接位于 ibm.com 网站外),同时使用 PRE-ATT&CK 及企业框架。
非结构化猎杀是基于触发器发起的行为,该触发器是众多失陷指标 (IoC) 之一。此触发器通常会提示猎杀者寻找检测前和检测后的模式。通过指导他们采用相应的方法,猎杀者可以追溯到最早保留的数据,以及以前相关的攻击行为。
情境假设来自于企业的内部风险评估或其 IT 环境特有的趋势与漏洞分析。面向实体的线索来自于众包攻击数据,经过审查,这些数据可以揭示当前网络威胁的最新 TTP,然后威胁猎杀者就可以在环境中搜索这些特定行为。
基于情报的猎杀是一种反应式 猎杀模式 (链接位于 ibm.com 网站外) ,它使用来自威胁情报源的 IoC。猎杀行为由此遵循通过 SIEM 和威胁情报建立的预定义规则。
基于情报的猎杀可使用计算机应急响应小组 (CERT) 等情报共享平台提供的 IoC、散列值、IP 地址、域名、网络或主机工件。可从这些平台导出自动警报,并以结构化威胁信息表达式(STIX) (链接位于 ibm.com 网站外)以及可信的情报信息自动交换形式(TAXII)(链接位于 ibm.com 网站外)输入到 SIEM 中。SIEM一旦收到基于 IoC 的警报,威胁猎杀者就可以调查警报前后的恶意活动,以识别环境中的任何隐患。
假设猎杀是一种使用威胁猎杀库的主动猎杀模式,它与 MITRE ATT&CK 框架保持一致,并使用全局检测手册来识别多组高级持续威胁和恶意软件攻击。
基于假设的猎杀使用攻击者的 IoA 和 TTP,猎杀者根据环境、域和攻击行为识别攻击者,建立与 MITRE 框架一致的假设。一旦识别出行为,威胁猎杀者就会监控活动模式,以检测、识别和隔离威胁。通过这种方式,猎杀者可以在攻击者对环境造成破坏之前就主动将它们揪出来。
定制猎杀基于态势感知和基于行业的猎杀方法。它可以识别 SIEM 和 EDR 工具中的异常情况,并能根据客户要求而量身定制。
定制猎杀或情境式猎杀基于客户的要求,或是根据地缘政治问题和有对性的攻击等情况主动执行。这些猎杀活动可以使用包含 IoA 和 IoC 信息的基于情报和基于假设的猎杀模式
猎杀者使用来自 MDR、SIEM 和安全分析工具的数据作为猎杀的基础,还可以使用打包分析器等其他工具来执行基于网络的猎杀。但是,使用 SIEM 和 MDR 工具需要集成环境中的所有必要资源和工具。这种集成确保 IoA 和 IoC 线索足以提供相应的猎杀方向。
MDR 应用威胁情报和主动威胁狩猎来识别和修复高级威胁。 这种类型的安全解决方案有助于减少攻击的停留时间,并对网络内的攻击做出快速果断的响应。
通过结合使用安全信息管理 (SIM) 和安全事件管理 (SEM),安全信息和事件管理 (SIEM) 可实时监控和分析事件,以及跟踪和记录安全数据。 SIEM 可以揭示用户行为异常和其他违规行为,为更深入的调查提供重要线索。
安全分析力求超越基本的 SIEM 系统,更深入地洞察安全数据。通过将安全技术收集的大数据与更快、更复杂、更一体化的机器学习和人工智能相结合,安全分析师可以为网络威胁猎杀提供详细的可观察性数据,加快威胁调查进程。
威胁情报是关于企图入侵或成功侵入的数据集,通常由具有机器学习和人工智能的自动化安全系统收集和分析。
威胁猎杀则利用这些情报在系统范围内地毯式搜索居心不良的攻击者。换句话说,威胁猎杀的地点是威胁情报的终点。更重要的是,成功的威胁猎杀可以识别出那些仍逍遥法外的威胁。
此外,威胁猎杀使用威胁指标作为猎杀的线索或假设。威胁指标是恶意软件或攻击者留下的虚拟指纹、陌生的 IP 地址、网络钓鱼电子邮件或其他异常的网络流量。
显著提高检测率,并加速威胁检测、调查和修复威胁速度。了解如何启动您自己的网络威胁猎杀计划。
IBM Security Managed Detection and Response (MDR) 提供全天候一站式威胁防御、检测和响应功能,IBM 的主动威胁猎杀者与组织密切合作,帮助他们识别最宝贵的资产和关键问题。
扩大您的 SIEM 基础,制定一个可以随着时间变化而扩充的综合计划。使用 IBM Security,识别内部威胁、跟踪终端设备、保护云并管理合规性。
威胁检测只完成了安全工作的一半,为了改进您的安全运营中心 (SOC),您还应该考虑智能事件响应、以及具有托管服务的单一集成安全编排、自动化与响应 (SOAR) 平台。
采用 X-Force® Red 查找并修复最重要的已知和未知漏洞。这个由资深黑客组成的独立自主团队与 IBM 合作,可有效测试您的安全性,并发现犯罪攻击者可能会用来谋取私利的薄弱环节。
阅读有关网络威胁猎杀的文章,包括威胁情报、新战术和防御措施。
什么是 MDR?如何使您的安全团队与最佳实践保持一致?了解有效的 MDR 服务如何帮助组织实现其目标,包括有重点的威胁猎杀。
借助威胁态势的全局视图,了解您面临的网络攻击风险
《数据泄露成本报告》探讨了相关财务影响,以及可帮助企业和机构避免数据泄露或在发生数据泄露事件时降低相关成本的安全措施。
了解 Dairy Gold 在部署 IBM® QRadar® 以实现其集成和检测功能以及部署 IBM BigFix 进行端点检测和管理的同时,如何改善其安全状况。