雷英

威脅狩獵，顧名思義，就是在網(wǎng)絡(luò)安全的世界中尋找威脅。威脅每天都在變化，因此，開發(fā)新技術(shù)來防御和檢測(cè)各種類型的威脅和攻擊是我們的責(zé)任。

從威脅狩獵的定義開始，通過主動(dòng)和被動(dòng)的方式搜尋網(wǎng)絡(luò)中想逃避安全解決方案的高級(jí)威脅的過程。

威脅狩獵不是一種技術(shù)，而是一種方法，作為一名安全分析師，威脅獵捕有效地運(yùn)用可以發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中的任何異常情況。

威脅獵人使用批判性思維能力和創(chuàng)造力來查看正常的網(wǎng)絡(luò)行為并識(shí)別異常的行為。

1為什么要做威脅狩獵

在傳統(tǒng)的安全監(jiān)視方法中，大多數(shù)成員基于SIEM或其他安全設(shè)備觸發(fā)的警報(bào)來尋找威脅。除了警報(bào)驅(qū)動(dòng)的方法之外，添加一個(gè)連續(xù)的過程從數(shù)據(jù)中查找內(nèi)容，而不是通過任何警報(bào)提醒發(fā)生事件。這就是威脅搜尋的過程，主動(dòng)尋找網(wǎng)絡(luò)中的威脅?？梢允褂么诉^程來查找現(xiàn)有安全解決方案無法識(shí)別的威脅或繞過解決方案的攻擊。因此，為什么不能將其驅(qū)動(dòng)為警報(bào)驅(qū)動(dòng)，原因是警報(bào)驅(qū)動(dòng)主要是某種數(shù)字方式而非行為方式。

威脅狩獵的方法：

人工測(cè)試———分析人員需要不斷尋找可能是入侵證據(jù)/指示的任何事物。對(duì)于威脅獵人而言，保持最新的安全研究非常重要。

自動(dòng)化或機(jī)器輔助———分析師利用“機(jī)器學(xué)習(xí)”和“UEBA”功能的軟件來告知分析師潛在風(fēng)險(xiǎn)，它有助于提供預(yù)測(cè)性和規(guī)范性分析。

2如何進(jìn)行獵捕

建立假設(shè)———假設(shè)意味著要查找的內(nèi)容，例如，查找與Internet等建立連接的Powershell命令。

收集數(shù)據(jù)———根據(jù)假設(shè)，進(jìn)行狩獵查找需要的數(shù)據(jù)。

測(cè)試假設(shè)并收集信息———收集數(shù)據(jù)后，根據(jù)行為，搜索查詢來查找威脅。

自動(dòng)化某些任務(wù)———威脅搜尋永遠(yuǎn)不能完全自動(dòng)化，而只能是半自動(dòng)化。

實(shí)施威脅搜尋———現(xiàn)在，不執(zhí)行即時(shí)搜尋，而是實(shí)施搜尋程序，以便可以連續(xù)進(jìn)行威脅搜尋。

3如何產(chǎn)生假設(shè)

只需閱讀文章、安全新聞、新的APT公開報(bào)告、Twitter和一些安全網(wǎng)站獲得。威脅獵捕是對(duì)各種數(shù)據(jù)源（例如端點(diǎn)、網(wǎng)絡(luò)和外圍等）執(zhí)行的。它只是有效地運(yùn)用我們的知識(shí)來發(fā)現(xiàn)異常，需要批判性思維能力。由威脅指數(shù)（IOC）組成的威脅情報(bào)在執(zhí)行狩獵過程中也起著重要作用。

4 MITER ATT&CK輔助威脅獵捕

大多數(shù)威脅獵捕平臺(tái)都使用“Attack MITRE”對(duì)手模型。MITER ATT&CK是基于現(xiàn)實(shí)世界觀察結(jié)果的全球?qū)剐詰?zhàn)術(shù)和技術(shù)知識(shí)庫(kù)。Attack MITER還提出了一個(gè)名為“CAR”的網(wǎng)絡(luò)分析存儲(chǔ)庫(kù)。MITER團(tuán)隊(duì)列出了所有這些對(duì)手的行為和攻擊者在受害機(jī)器上執(zhí)行的攻擊媒介。它基于歷史爆發(fā)提供了描述以及有關(guān)威脅的一些參考；它使用TTP的戰(zhàn)術(shù)、技術(shù)和程序，并將其映射到網(wǎng)絡(luò)殺傷鏈；大多數(shù)威脅獵捕方法都使用MITRE框架來執(zhí)行搜尋過程。

5實(shí)現(xiàn)威脅獵捕

現(xiàn)在，要執(zhí)行獵捕，我們需要假設(shè)，并且在生成假設(shè)之后，根據(jù)所使用的任何平臺(tái)來獵捕或搜索攻擊。為了檢驗(yàn)假設(shè)，可以使用任何可用的工具，例如Splunk，ELK Stack等，但是在開始獵捕之前，請(qǐng)妥善保管數(shù)據(jù)。Florian Roth為SIEM簽名提出了一種新的通用格式———Sigma。大多數(shù)Mitre Att&ck技術(shù)都映射到Sigma規(guī)則，這些規(guī)則可以直接合并到SIEM平臺(tái)中以進(jìn)行威脅獵捕。還可將Sigma轉(zhuǎn)換為Splunk，arcsight，ELK。

可以在Google工作表上找到Sigma規(guī)則轉(zhuǎn)換準(zhǔn)備好的列表：

威脅獵捕永遠(yuǎn)無法實(shí)現(xiàn)自動(dòng)化，但是某些部分可以做到，例如可以在SIEM中直接警告這些Sigma規(guī)則，但是調(diào)查和分類等部分需要人工操作。

威脅獵捕也可以由分析驅(qū)動(dòng)。用來進(jìn)行風(fēng)險(xiǎn)評(píng)分的機(jī)器學(xué)習(xí)和UEBA也可以用作狩獵假設(shè)。大多數(shù)網(wǎng)絡(luò)分析平臺(tái)都利用此UEBA，ML功能來識(shí)別異常。

6威脅狩獵

運(yùn)行Mimikatz命令進(jìn)行哈希轉(zhuǎn)儲(chǔ)在Word或Excel文件。

打開powershell，要檢查此假設(shè)，請(qǐng)首先查找數(shù)據(jù)，是否有適當(dāng)?shù)臄?shù)據(jù)來尋找該假設(shè)，然后尋找winword.exe /execl.exe進(jìn)程來創(chuàng)建powershell.exe，以及包含（mimikatz）的命令行。

從Internet下載文件。查找用于從瀏覽器以外的Internet下載文件的過程，certutil.exe，hh.exe可以相同。

7機(jī)器學(xué)習(xí)和威脅獵捕

機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)威脅獵捕中起著重要作用。可以使用多種算法，例如分類、聚類等，基于SIEM中的日志來識(shí)別任何種類的異常和異常值。機(jī)器學(xué)習(xí)在協(xié)助尋找威脅方面起著輔助作用，它提供了異常值，分析師將進(jìn)一步研究以尋找威脅。