威胁搜索是专门的安全分析人员主动寻找威胁行为者的行为,并试图在真正的损害发生之前保护他们的网络的过程. “专业化”这个词对于理解一个成功的威胁搜索策略需要什么是至关重要的, as the skill takes time to learn 和 is in high dem和.
According to a SANS Institute Survey, only 31% of organizations had dedicated threat-hunting staff in 2017. Four years later, the same survey saw that number jump to 93% of organizations surveyed. 在过去的五年里,对威胁搜寻专家的需求有所增加,这是有充分理由的. 针对企业组织的攻击正以惊人的速度增加, 和 it simply will no longer do to wait for an attack 和 respond.
事实上,威胁搜索的增加也增加了许多组织的整体安全 威胁情报 能力和 安全的姿势. SANS已经看到了, because of the increase in threat hunting, security teams are getting better at continuously monitoring, 和 are experiencing fewer false positives.
威胁搜寻模型并不容易落实到位,有几种方法. Therefore, it’s important to define the goal of a specific threat hunt. 从那里开始,团队可以开始定义成功狩猎所需的技术.
So, what exactly are the specific functions in a threat hunt? As discussed above, the goals of individual hunts will vary. Accordingly, so will the detailed aspects of each hunt.
让我们来看看经验丰富的安全专业人员在进行新的搜索时可能会遇到的一些更常见的元素.
数据收集和处理: Depending on the hypothesis to be tested or the overall goal, data collection will come from different types of network 日志 (DNS, 防火墙, 代理), 各种来源的 威胁检测 telemetry beyond the perimeter, 和/or specific endpoint data.
协作与沟通像Slack和Microsoft Teams这样的工具可以自动进入威胁搜索工作流程, 触发新的服务票证, kicking off new hunts 和 investigations, 和 – when necessary – querying individual endpoint or network users.
文件和报告: It's critical to document the outcomes of a hunt, whether considered successful or not. 不管结果如何, 此参考可以作为采取行动的基线,以便将来以类似的目标进行追捕,并帮助识别潜在的重复威胁参与者.
人类与科技: Even though a fair bit of automation is used in any given threat hunt, 在安全组织中工作的人员将对这些自动化进行校准. From endpoint telemetry, to alerts, to 网络流量分析, 技术提高了分析师更快地抓住洞察并更明确地关闭威胁的能力.
In order to conduct a successful threat hunt, it’s critical to know – as discussed above – what the goal of the hunt is. 基于确定的目标, 搜索类型通常会分解为下面讨论的下列格式之一.
这种威胁搜寻过程通常由观察到异常事件的安全组织成员启动, over time 和 with increasing frequency. 从那里, 团队可以开始对可能发生的事情形成一个假设,如果这个假设实际上是可测试的. This will help to confirm the validity of the presence of malicious activity – or not.
现在让我们来看看一些特定的工具和过程,猎人可以通过这些工具和过程来测试一个假设,并确定威胁是否确实存在.
A SIEM platform can detect security issues by centralizing, 关联, 和 analyzing data across a network. The core functionality of a SIEM includes 日志管理 和 centralization, security event detection 和 reporting, 和 search capabilities.
分析将端点数据与复杂的用户分析和威胁情报相关联,以检测可疑的端点活动,以及特定用户是否意识到其系统上的活动.
This set of tools monitors network availability 和 activity to identify anomalies, including security 和 operational issues. 它们允许猎人收集网络上正在发生的实时和历史记录.
By maintaining visibility of real-time threat feeds, 猎人将熟悉与他们的环境最相关的潜在威胁,因此知道如何更好地防御这些威胁.
理想情况下,威胁猎人会使用云安全工具来监控特别容易受到风险影响的多云和混合云环境. By ingesting data such as user activity, 日志, 和端点, 分析师应该能够获得业务IT足迹和任何可疑活动的清晰快照.
分析用户行为的过程包括收集用户每天产生的网络事件的洞察力. Once collected 和 analyzed, those events can be used to detect the use of compromised credentials, lateral movement, 和 other malicious behavior.
当利用正确的工具来测试一个精心制定的特定假设时,需要采取哪些特定的威胁搜索步骤?
收集正确的数据识别并最终自动化收集数据的过程是至关重要的,这些数据将使行动成为可能. If a security team suspects malicious activity, they’ll want to collect 和 examine 法医工件 从整个网络. 这个过程的一部分是有效地分类和分析法医证据,以快速确定事件的根本原因.
自定义查询和规则:一些威胁搜索管理服务合作伙伴或解决方案将内置查询和规则-根据定义的标准自动显示警报-以快速帮助威胁猎人搜索众所周知的漏洞和/或威胁参与者. 然而, 它有助于维护安全团队自定义这些查询的能力,以便他们提出最符合商定假设的问题.
Stay Informed about Tactics, Techniques, 和 Procedures威胁搜索技术应根据威胁行为者目前使用的ttp不断发展. 虽然不总是那么容易发现, continuous research into adversarial behaviors will keep security defenders proactive, 锋利的, 并准备好.
当然, 不断掌握TTP研究和其他情报来源是一项艰巨的任务, 在哪些方面,管理威胁搜索合作伙伴可以帮助加快这一过程,并潜在地支持威胁情报计划的成功.