最好假設你已經被入侵
威脅追捕是必要的,因為沒有任何網絡安全保護始終是 100% 有效的。 需要主動防禦,而不是依靠「設置並忘記」的安全工具。
某些威脅(例如“毒井”)涉及攻擊者試圖在您的應用程式中獲得更長期的持久性。保持未被發現對此攻擊的成功至關重要。 不幸的是,大多數攻擊都會成功保持未被發現。 Ponemon 研究所代表 IBM 最近的一項研究發現,識別和控制漏洞所需的平均時間為 280 天。
威脅狩獵定義
威脅狩獵涉及使用手動和軟體輔助技術來偵測遠離其他安全系統的可能威脅。 更具體地說,威脅狩獵任務包括:
- 尋找組織內存在的威脅,以及攻擊者可以植入的任何內容以擷取資訊並造成損害
- 主動尋找全球任何地方出現的威脅
- 設置陷阱,基本上等待威脅追捕你
威脅狩獵過程
若要尋找威脅,您需要執行下列作業:
- 收集品質數據
- 使用工具來分析它
- 具有理解所有內容的技能
該過程始於收集足夠數量的高質量數據,因為質量不佳的數據輸入將導致無效的威脅搜索。 收集的資料可以包括日誌檔案、伺服器、網路裝置(即防火牆、交換器、路由器)、資料庫和端點。
接下來,威脅獵人必須搜索模式和潛在的入侵指標(IOC)。 如果您正在監控,則必須有人查看日誌。 通常,組織沒有足夠的資源和人力來專注於持續的入侵偵測監控。 最後一步是相應的回應。
你在尋找什麼?
入侵指標 (IOC):可協助識別已發生的潛在惡意活動包括鑑識資料和記錄檔等因素
攻擊指標 (IOA):雖然與 IOC 相似,但 IOA 可以幫助您了解進行中的攻擊
網路為基礎的工件:使用會話記錄、封包擷取和網路狀態監控等工具搜尋惡意軟體通訊
基於主機的工件:搜尋端點並在註冊表、檔案系統和其他地方尋找惡意軟體交互
尋找和調查妥協和攻擊的指標
威脅追捕需要尋找的範圍,以及識別不適合的東西的方法,例如:
- 不規則交通
- 帳戶異常活動
- 登錄和檔案系統變更
- 遠端工作階段中使用之前未見的命令
為了找到異常情況,首先對定期活動有基本了解很重要。 檢測到指示器後,請遵循軌跡。 這通常是通過建立假設,然後確定每個國際奧委會是否是威脅來完成的。 某些物聯網可能會使用粗糙的方法,並提供明顯的證據。 例如,前往組織不與其進行任何業務的國家/地區的流量增加。 調查 IOC 也可能涉及在實驗室中進行工作,以重現某些類型的流量,以檢查其在虛擬環境中的行為。
在受控的環境中,例如 SCADA,檢測出異常的東西更容易。 而企業環境通常具有多樣化的流量,因此偵測更為一個挑戰。 安全解決方案(例如反惡意軟體)對於已經映射和分析的惡意程式碼最有效,而全新的程式碼更難以偵測。
雖然過多的工具可能會使威脅搜尋變得複雜,但安全資訊和事件管理(安全性資訊與事件管理)以及事件關聯工具會有所幫助。另一方面,它們也可能阻礙您查看細節的能力。 雲端資安的統一方法是理想的。
威脅狩獵技巧
YARA 規則可讓您建立規則集來協助配對和識別惡意軟體。“使用 YARA,您可以根據文字或二進位模式創建惡意軟體系列(或您想要描述的任何內容)的描述。”
複雜的惡意軟體通常隱藏在其他東西中以滲透服務主機,例如係統始終運行的 Windows 進程。如果他們設法注入惡意程式碼,則可以以無法偵測到的方式執行惡意操作。 Windows 登錄是惡意軟體可能隱藏的另一個關鍵位置。與預設系統登錄進行比較,並調查任何變更。
您介紹的詳細等級取決於組織的優先順序和每個系統擁有的自由度。 檢查始終處於活動狀態的關鍵系統程序的完整性是威脅搜尋的鑑識方面的重要部分。
有效的團隊
Infosec 表示,「狩獵可以涉及機器和手動技術。 與安全性資訊與事件管理等其他自動化系統不同,狩獵涉及人類以更複雜的方式狩獵威脅的能力。”
有效的威脅狩獵團隊的一個重要屬性是溝通。 威脅獵人還必須熟練撰寫報告,並教育他人有關威脅和風險。 為了協助管理層根據自己的發現做出良好的決策,團隊必須能夠以外行的方式來談論他們發現的內容。 總體而言,狩獵更是一個分析師,而不是工程師的角色。
威脅狩獵必須成為雲端資安統一方法的一部分
CloudGuard 智慧管理和威脅追蹤是 CloudGuard 雲端原生安全平台的一部分,透過豐富的機器學習視覺化提供雲端原生威脅安全取證,提供跨多雲環境的威脅和異常的即時情境。
CloudGuard 攝取雲端原生日誌和事件數據,提供整個公有雲基礎設施和雲端資安分析的情境化視覺化,有助於增強:
- 事件回應(雲端鑑識):有關網路活動和帳戶行為的警示通知
- 網路故障排除:VPC 和 VNET 中的即時配置和流量監控機能,舉凡臨時狀況與 Amazon AWS、Microsoft Azure 和 Google Cloud Platform 中的雲端原生平台組件。
- 合規性:有關違規和的即時通知,助您漂亮通過稽核
反映意見