333
威脅追捕有3種技術風格 假設驅動威脅值得關注
| 有兩種可能的結果:如果實驗結果符合假設,這就是測量;如果不符合假設,這就是發現。
——恩裏科·費米(原子能之父) |
威脅追捕,就是主動識別並抑製已在企業環境中建立了橋頭堡的對手。這與威脅檢測不同,威脅檢測主要是靠特征碼檢測或係統事件關聯等手段,發現入侵指標(IOC),識別出威脅。此類上下文中的威脅,就是具備做壞事的意圖、能力和機會的對手。威脅追捕是對威脅檢測的補充。威脅檢測有其局限,且依賴4個先決條件(或者假設):
- IOC可預測
- IOC有邏輯且可量化
- IOC靜態且不可交換
- IOC可見且可發現
這4個先決條件未必總能滿足,某些情況下,一個都不能滿足。即便前3個都滿足了,最大的挑戰在於最後一個往往滿足不了。監測每個可能的係統、網絡或用戶,是非常難的。更重要的是,時間和金錢的消耗都太大了。產出的大量警報、事件和誤報,也引發了其自身的一係列問題。而且,即使威脅檢測成功,相關警報也有可能被漏過,或者事發後很久才被注意到。威脅駐留時間的統計數據,已一次又一次地證實了這一點。
如果信禪,或許會問:“如果網絡上出現了一個IOC,而沒人正在監視,那還算是威脅嗎?”鑒於高調數據泄露發生的頻率,該問題的答案無疑是:算!
黑客同樣注意到了這些因素,並據此對自身戰術、技術和流程(TTP)做出調整,盡可能地消除這些先決條件。這是網絡安全中自然選擇的基礎,也是黑客與網絡安全人士間持續武器競賽的根源。
威脅追捕旨在矯正威脅檢測中的固有弱點。很明顯,如果黑客已經出現在內部網絡中,威脅檢測就已失敗,或者說,至少是在初始漏洞利用前沒能做出響應。若是前者,發現自己是否被黑的唯一方法,就是從等待檢測技術指出威脅,轉向人工調查是否有檢測技術漏掉的指標。若是後者,威脅追捕將專注評估入侵的範圍,旨在肅清攻擊者建立的任何立足點。
一、威脅追捕的3種風格
1. IOC驅動威脅追捕
檢測已知IOC,並用於識別相關IOC和TTP,以驅動對環境中存在威脅的搜索與分析。
2. 分析驅動威脅追捕
高級分析、機器學習和行為分析技術識別出異常或可疑活動,驅動進一步調查。一定程度上,行為分析技術已自動化了傳統威脅追捕的某些方麵,但承襲了與威脅檢測類似的局限,且產生了一些自身的弱點。
3. 假設驅動威脅追捕
特定威脅可能已成功侵入環境的初始假說或假設。可推斷出與該威脅相關的TTP和IOC,驅動對威脅的搜索與分析。
聰明的讀者可能已經發現,前兩種風格都依賴對至少一個IOC的成功檢測及發現。因此,這兩種方式主要用於驗證入侵是否發生,並評估威脅的散布範圍。
二、假設威脅
假設驅動威脅追捕不依賴前置檢測。這種方法會假設有尚未檢測到的威脅可能已經針對公司下手了。這其中比較沒那麼明顯的一點,是假設驅動威脅追捕、威脅評估和威脅模擬之間的關係。
1. 威脅評估
威脅評估中,可能針對公司的潛在相關威脅,往往通過利用威脅情報的方式,被識別出來。然後納入風險管理過程,用以確定需要部署哪些安全預警措施,來抵禦潛在威脅。
2. 威脅模擬
威脅模擬中,威脅TTP與現有安全技術、人員和過程相抗衡,借以評估攻擊情況下能否撐住。若能實際測試,效果會更好。真正的滲透測試或道德黑客活動,或者成熟企業所謂的紅隊測試,就是該方法的一個樣例。
三、假設驅動威脅防禦
假設的一個定義,是“基於有限證據做出的假設或提案,用作進一步調查的起點。”對網絡安全人員來說,“有限證據”是其中關鍵詞。
威脅檢測技術提供有限證據——或許會發現一些IOC,但可能提供不了對高級/大範圍入侵的清晰評估。這些技術可能根本無法成功檢測威脅。威脅情報提供理論上都有些什麼的大量證據,但無法確定到底誰會實際攻擊你。預防技術防護多種已知攻擊類型,但我們沒有足夠證據證明可以防住下一波攻擊。
假設驅動威脅防禦,將這些假設都整合進了單個框架中,用作風險管理項目的基礎。威脅假設、威脅模擬和假設驅動威脅追捕,是假設驅動安全的三大基石,也是成功威脅緩解的三駕馬車。綜合起來,它們考慮的是:誰可能針對你,他們有沒有可能成功,以及他們是否已經成功了。
威脅快速進化,技術不斷湧現,再加上可執行證據和確定性的缺乏,這麼一種態勢下想要成功,假設,已經是我們最逼近預測的做法了。
本文作者:nana
來源:51CTO
最後更新:2017-11-02 16:04:13