最后更新于2024年7月25日星期四19:03:10 GMT
通过进攻来减轻威胁
而对于 威胁狩猎 可能是直截了当的——主动寻找威胁——但实现一个威胁寻找程序的现实要复杂一点, 因为有不同的威胁搜索方法可供选择.
为了优化像威胁搜寻这样的进攻方法, 这有助于你首先了解it /安全堆栈的细节,这样你就可以确保它们产生可操作的信息. 一旦计划到位, 您应该能够快速识别跨网络的折衷迹象, 系统, 以及应用程序环境.
开始吧
一个可靠的威胁搜索程序通常从生成假设开始,并注意以下方面:
- 程序名
- 项目的目的
- 狩猎所需的分析技术
例如, 如果您的目标是识别异常的用户代理字符串, 文档可能会说明, 查找异常短或长的用户代理字符串或已知的错误字符串.这些行动将有助于激发更深入的思考和洞察,了解你的团队想要通过威胁搜寻计划完成什么. 然后通过对计划标准进行搜索来减轻威胁, 报告调查结果, 在所有利益相关者的帮助下,启动一项确保环境安全的计划.
常见的威胁搜索模型
每个已建立的模型都有自己的公式,本质上是一系列过程的集合,旨在带您通过结构化的方法来搜索特定的威胁.
巴黎模式
这个模型是以它在方格纸上的最终形状命名的, 它强调自动化和自动警报. 这个模型的全部目的是让团队达到从R生成新用例的状态&D并有能力执行它们.
塔希提岛模型
目标狩猎整合威胁情报(TAHITI)模型是荷兰几家金融机构合作努力的结果. 这个模型包含了管理, 增长, 度量和评估(MaGMa)工具, 指导涉众完成生成用例过程的电子表格, 搜索操作化, 记录调查结果. 塔希提岛还利用了“痛苦金字塔”的概念, 旨在使攻击者在组织选择的狩猎方法金字塔越高,攻击就越痛苦.
钻石模型
这个有趣的模型从3个问题开始,以帮助定义战略:
- 你在找什么??
- 你在哪里能找到它?
- 你将如何找到它?
该模型包含四种基于恶意活动特征的方法:
- 以对手为中心的方法 能否提供对威胁参与者活动的深入可见性. 他们是如何创建和管理基础设施的? 他们的能力是什么?? 主要的缺点有两个:这种方法严重依赖于威胁行为者犯明显错误的可能性, 它还可能需要团队利用大量资源.
- 以受害者为中心的方法 为各种类型的搜索提供了许多机会,其中数据应该很容易获得. 缺点是,大量的狩猎类型可能导致无纪律的努力.
- 以基础设施为中心的方法 将重点放在潜在对手的基础设施上,而不是威胁猎人的基础设施. 团队可以利用现有的框架——比如RiskIQ的PassiveTotal工具. 缺点是,这种方法的搜索结果可能并不完全相关.
- 以能力为中心的方法 利用团队从对手那里发现的数据. 它具有VirusTotal恶意软件库,可用于生成YARA角色以帮助扫描环境. 缺点是对对手工具的有限访问可能会阻碍狩猎的能力.
攻击和. 数据狩猎
这到底是什么意思? 它可能在任何其他情况下都没有意义, 但是基于攻击的狩猎和基于数据的狩猎都有好处. 也许基于攻击的方法的最大优势是它们可以自动化. 这在很大程度上是可能的,因为该方法基于折衷指标(IoC)。, 例如已知的错误IP地址.
这样就有了“地标”来绘制狩猎地图. 然而, 国际石油公司的确倾向于迅速变得不那么重要, 因此,基于攻击的狩猎主要依赖于过去一个月的数据. 如果最近发生了可能影响全球的大规模入侵,团队可能会想要执行这种性质的搜索.
基于数据的搜索是一个包含大量过滤、排序和可视化的过程. 这是一种手工方法,主要关注更多的历史趋势和异常情况. 团队通常会从6个月前的数据中推断出见解.
你也可以开始寻找威胁!
利益相关者在决定威胁搜索程序是否适合他们,是否值得花费金钱和时间时,应该权衡一些关键标准. 如果组织处于高风险或严格监管的行业, 它很可能至少是威胁行为者的半常规目标. 而且,为这项任务分配人员或专家将是一个更大的投资领域.
然而,这并不一定是一个耗时的过程. 例如, 耐多药 (管理检测和响应)服务 Rapid7将代表一个组织执行广泛的威胁搜索. 它还通过让其他人——一个值得信赖的合作伙伴——处理威胁警报来释放资源.
重申计划阶段的重要性, 明确你的目标是至关重要的. 以这种方式, 团队最终将知道是否有必要实施威胁搜索,或者从设备或人员的角度来看,他们是否具备成功启动的技术能力. 从这里开始,更多的洞察力将跟随扩展程序的能力. 狩猎的频率有多高? 是否存在需要计划外狩猎的情有可原的情况? 和, 也许这是最重要的问题, 自动化功能存在吗, 如果不是, 如何获得和实现它们?
为了更深入地探索威胁狩猎, 如何快速建立一个狩猎计划, 还有更多, 转到 此点播网络直播.
