编者按: 以下是Adobe赞助的博客文章.
当许多公司考虑网络安全时, 他们通常从防火墙的角度考虑问题, 杀毒软件, 入侵检测系统, 和多因素身份验证(MFA). 一旦这些预防措施到位, 公司通常通过建立响应警报的安全运营中心(SOC)来集中监控和响应流程, 包括一个事件响应(IR)团队,负责减轻和修复任何检测到的威胁.
随着安全组织的成熟, 它可以开始在更复杂的主动安全实践中投入资源, 比如威胁搜寻. 在Adobe, 这正是我们所做的, 我们想让大家深入了解我们安全协调中心(SCC)的威胁搜寻计划.
什么是威胁搜寻?
威胁搜索是一种“蓝队”功能,可以保护澳门赌场官方下载免受可能已经绕过现有安全防御的恶意活动的攻击. 如果你熟悉“蓝色”vs. 安全领域的“红色”团队术语, 蓝队是公司防御性安全计划的一部分,而红队是进攻性安全计划的一部分, 故意攻击澳门赌场官方下载,以便在真正的恶意行为者发现漏洞之前发现现有漏洞.
威胁搜索程序的主要目标是减少从最初的妥协到发现攻击之间的差距, 这就是所谓的“停留时间”.“坏人在环境中不被发现的时间越长, 停留时间越长,它们造成破坏的时间就越长.
更具体地说, 威胁搜索可以发现以前未被发现的问题, 包括受损或配置错误的主机, 可见性的差距, 以及其他安全风险. 它们还可以帮助分析和提高检测机制和流程的有效性, 以及提供搜索后建议以提高安全性. 有时, 他们可以发现新的威胁或策略, 技术和程序(TTPs)导致了一场全新的狩猎.
你应该寻找什么?
既然你知道了什么是威胁狩猎,你怎么知道该找什么呢? 亨特的想法或线索可以来自组织内部的许多来源. 主要来源来自你的SOC, 哪一个可能在他们的日常分类中观察到新出现的威胁模式. 搜索线索的另一个来源是事件响应团队确定的ttp. 这些行为模式可用于帮助防御恶意参与者使用的特定威胁向量和策略. 而您的IR团队可能仅限于减轻事件本身, 威胁搜索团队可以用更广泛的视角搜索行为,以发现潜在的类似攻击.
其他的狩猎想法可能来自组织外部. 如今,外部漏洞比比皆是, 因此,您的安全组织对利用这些漏洞的全行业利用尝试保持警惕是有意义的. 在这方面,你的威胁搜寻团队可以提供巨大的帮助. 该团队还可以负责搜索安全研究人员和标准组织发布的外部威胁或破坏报告中观察到的行为, 例如MITRE.
狩猎是如何组织的?
狩猎通常分为两个不同的类别:结构化和非结构化. 两者都是用假设开始的, 当威胁猎人从一开始就有特定的http或行为时,他们就会使用结构化搜索(例如,不良行为者使用系统原生工具,如 旋度 or wget 在受感染的主机上,从互联网下载额外的恶意软件或黑客工具). 黑客利用最近的Log4j漏洞获得的未经授权的访问可能是全球数千家公司的追捕对象.
非结构化的狩猎, 另一方面, 专注于在大型数据集中搜索异常或异常值,通常涉及数据科学技术或ML/AI. 例如, 您可能会观察到DNS活动的变化, 流程开始向未知域发出请求并决定需要进一步调查的位置. 另外, 您的威胁搜索团队可能正在搜索用户活动日志并发现异常, 例如,一个服务试图访问它没有授权的资源.
你如何衡量成功?
就像其他业务流程一样, 衡量威胁搜寻计划的成功可以分为定性和定量两个方面. 在质量方面,覆盖你的狩猎MITRE ATT&CK框架, 哪一个是分析攻击者的“黄金标准”, 能给你一个总体的想法,你如何保护你的公司免受常见的攻击. 新的检测分析, 比如检测规则, 从搜索中得出的安全建议也提高了公司现有的检测和预防能力.
定量, 记录事件的数量, 破坏宿主, 你的威胁搜寻程序发现了错误配置之类的问题 之前 已经造成的损害是衡量成功的一个很好的指标. 减少事件的停留时间和搜索的完成时间也有助于向管理层展示您的威胁搜索计划的必要性和成功. 使用分析软件, 您还可以度量各种附加的和特定于公司的度量标准和kpi.
积极主动的方法
在Adobe, 我们已经建立了一个可扩展的威胁搜索程序,可以提供潜在危害的早期检测, 减少信息安全事件的停留时间, 提供有关如何减轻对Adobe客户的潜在危害的指导, brand, 或产品, 并帮助我们教育我们的同伴如何在识别和应对可能的威胁方面有所提高. 通过主动寻找高级威胁, 搜索团队为Adobe的纵深防御态势增加了额外的一层,并提供持续的反馈,以帮助改进我们的网络安全控制.