威胁猎人保护企业的指南

你已经违反了。以下是如何在攻击者造成破坏之前跟踪他们的方法

现在是时候面对事实了:攻击者的隐秘程度足以避开您的监视系统。如果你坐在那里等着闹钟响起，很有可能你已经被洗了。

尽管在安全产品和服务上花费了超过750亿美元，但企业经常受到威胁，高度敏感的数据被窃取，其后果可能是毁灭性的。更糟糕的是，企业在最初的入侵后几周到几个月都没有发现自己被攻破，平均需要120到200天才能发现攻击。这相当于提前6个月进行调查和开发——比你最近雇佣的大多数员工花更多的时间在社交网络上。

不用说，现有的威胁检测方法不起作用。现在是时候带上你的威胁搜索装备，主动寻找你的环境中的恶意活动了。这是追踪威胁的计划。

在自家后院打猎

威胁搜索，或网络搜索，是一套技术和技巧，可以帮助您找到坏人之前，对您的环境造成太大的破坏。Sqrrl Data公司的安全技术专家大卫·比安科(David Bianco)说，尽管搜索威胁可能涉及手工和机器辅助技术，但重点是调查人员在背景中查看所有信息并发现它们之间的关系。

安全自动化可以帮助从网络收集数据和端点段,和机器学习可以加快分析,但是最终,它是由你来组装一系列多样化的狩猎活动威胁到一个全面的过程对于侦查敌人,克丽丝洛夫乔伊说,总裁兼首席执行官的敏锐度和前总经理IBM安全服务解决方案。

“威胁狩猎是一个防御过程，而不是进攻性过程，”洛夫乔伊补充道。

虽然成功的搜索需要您像黑客一样思考，但这并不意味着您应该追踪攻击的源头，让自己沉浸在黑暗的Web论坛中，或从事有问题的实践来发现潜在的问题。对于美国国防部(Department of Defense)或联邦调查局(Federal Bureau of Investigation)的调查人员和狩猎者来说，情况可能就是这样，但网络搜索在企业中纯粹是防御性的。您通过形成关于攻击者如何进入您的网络的假设进行搜索，然后在您的环境中寻找证据来证明或反驳这些假设。

建立一个知识基线

评估安全风险是搜索威胁的一个核心方面，这个过程可以分为三个阶段。首先，您必须了解最有可能针对您的组织的威胁，无论它们是持久的对手、特定的恶意软件集，还是特定类型的攻击。其次，您必须确定您的漏洞，如未打补丁的软件或易受人为错误影响的流程。第三，您必须评估成功的威胁在锁定您的漏洞时可能产生的影响。一旦你可以计算出这些风险，你就可以优先考虑你的威胁狩猎活动，以它们为目标。

洛夫乔伊说:“如果我是一家银行，我知道犯罪分子很可能会从我的数据库中获取账户信息，那么我首先需要保护这个数据库。”

在你开始狩猎之前，你需要了解你狩猎的环境。这可以追溯到基本的IT管理，例如对系统的数量、运行的软件和版本以及谁可以访问每个系统有清晰的了解。网络架构、补丁管理流程和您所拥有的防御手段都是了解您的威胁状况的关键信息。IT团队需要了解弱点，以确定潜在的切入点。

在这里，采用敌对心态是决定攻击者行动的关键。攻击者的动机可能大不相同，但是他们通常有相似的目标，并且经常共享相似的技术。例如，一个致力于网络犯罪的对手与一个专注于经济间谍或破坏活动的对手的行为通常会有所不同。

威胁情报是一种获取信息的方式，可以了解同一行业中规模相似的组织所遭受的攻击。如果许多竞争对手受到使用Flash漏洞的团伙的攻击，优先调查潜在的基于Flash的攻击是有意义的。知道利用套件和其他类型的恶意软件都推动相同的滴管有效载荷是有帮助的。

确定当前攻击者对您的组织最感兴趣的内容也是至关重要的。这可能是你的组织正在开发的新产品，也可能是关于潜在收购的传言。当您知道什么可能引发潜在攻击者的兴趣时，您就可以更好地预测他们将使用什么技术，以及他们将如何通过您的网络来获得他们想要的东西。

绘制杀死链

几年前，洛克希德·马丁公司推出了“网络杀伤链”，该系统将目标攻击分为七个不同阶段:侦察、武器化、交付、开发、安装、指挥控制和行动。攻击者通常会从最初的入侵到盗窃，在窃取任何数据之前就了解您的环境。有针对性的攻击需要时间来发展;尽早发现漏洞并阻止攻击将使损害最小化。

“网络猎人假定某些东西被利用了，而他们的工作就是在真正造成影响之前发现威胁，”ac敏于的洛夫乔伊说。

在侦查过程中，犯罪分子会收集潜在目标和袭击途径的信息。在收购的情况下，攻击者将收集可能参与交易的高管和助理的信息。根据收集到的信息，犯罪分子会制定一系列行动，比如发起网络钓鱼活动。

一个成功的捕猎包括检查杀死链的每个阶段，评估攻击者可能使用的特定战术和技术。这可能涉及挖掘社交媒体上的帖子，以确定参与可能的收购的人是否已经确认自己参与了交易，并创建可能成为钓鱼邮件目标的员工名单。如果您认为网络钓鱼是有目标攻击的可能入口点，那么您可以对攻击场景在杀死链的每个阶段的样子进行假设。

积极搜寻威胁

您对潜在攻击的假设和假设为您的搜寻提供了起点。成功的搜索包括检查你的网络的特定部分，而不是试图看到所有可能出错的地方。它的目的是要仔细检查端点的特定攻击指标，而不是从高处俯瞰系统安全性。

大多数威胁情报工作关注的是对网络搜索没有帮助的妥协指标。这些因素往往是廉价的、脆弱的，而且对对手来说改变起来也不昂贵。考虑域名或携带有效负载的武器Word文档的名称。对于攻击者来说，生成新域名和更改附带攻击文件的电子邮件中的消息以绕过安全过滤器是很容易的。洛夫乔伊建议，猎人应该关注攻击的模式。

例如，您应该注意打开远程桌面会话以在Active Directory中创建新管理帐户的尝试。新账户叫什么名字并不重要——你应该搜索未解释的账户。

对攻击者来说，更改命令和控制服务器的域是小事一件，但放弃使用通过恶意广告传递的Flash漏洞来远程执行代码并在受损的机器上打开后门，代价要大得多。使用以下命令查找攻击者合法的工具比如PowerShell和WMI。查看使用帐户凭据的位置。攻击模式比妥协指标更能揭示攻击者，因为它们的相关性较长。

下一代防火墙、异常检测平台和日志都提供了丰富的信息，威胁情报平台和网络威胁检测系统也是如此。在许多情况下，存在竖井效应，信息被锁定在每个系统中，使得防御者很难看到所有相关的部分。威胁狩猎迫使防御者打破孤立地考虑系统的倾向。当一个过程涉及到不同的部分和系统时，猎人必须注意它们之间的关系。

建立保安反应

一旦你发现了漏洞的迹象，威胁猎人应该让传统的事件反应小组来接管。“猎人”的工作是猜测攻击者可能在网络中的什么位置，但它们不一定具备阻止攻击者的专业技能。事件响应将负责减轻攻击和补救问题。

创建专门的搜索团队可能很有吸引力，因为他们可以查明问题区域并发现攻击，但这不应该以牺牲基本的It管理、网络监控和深度防御策略为代价。网络搜索首先假设“我被入侵了”，然后寻找证据来支持这一假设，当证据被发现并且必须控制损害时，专门的事件响应和取证就会开始。它们都是非常独特的技能，而且都是必要的。防守队员需要所有这些因素的配合。

阻止癌症

威胁搜索并不是一个新概念，许多组织已经采用了某种形式的实践作为其整体安全计划的一部分。在最近一次SANS Institute的调查中，86%的IT专业人员说他们已经在他们的组织中实施了威胁搜索流程，75%的人声称威胁搜索已经减少了他们的攻击面。

就像信息安全的其他方面一样，网络搜索也有它的时间和地点。企业应该看狩猎成熟度模型由Sqrrl数据公司的Bianco开发，用来判断它们是否准备好开始狩猎。该模型基于三个因素来定义成熟度:收集的数据的质量，可用的工具访问和分析数据，以及分析人员的技能。拥有高质量数据的足够熟练的分析师可以弥补工具集中的缺陷，但在大多数情况下，组织应该关注这三个因素。

Bianco在一篇概述了这一模式的博客文章中写道:“要想有所成就，首先你必须知道自己在哪里，想去哪里。”

企业需要减少漏洞检测的缺口——半年多时间发现漏洞是不可接受的。首先假设攻击者已经出现，然后继续查找，直到找到了折衷方案，或者有确凿的证据证明您的环境没有被折衷。

把企业想象成一个被感染的生物系统，通过威胁搜索可以发现感染已经扩散了多远，造成了什么样的破坏。

洛夫乔伊说:“威胁追踪就是在癌症转移和死亡之前的早期阶段就发现它。”

这篇文章，“威胁猎人保护企业的指南”最初是由信息世界。

加入网络世界社区有个足球雷竞技app脸谱网和LinkedIn对最重要的话题发表评论。

Fahmida Y. Rashid是一名自由撰稿人，为CSO撰稿，关注信息安全。

工资调查:结果在