文档章节

互联网威胁狩猎框架 白皮书

超级大黑猫
 超级大黑猫
发布于 04/03 12:10
字数 1734
阅读 91
收藏 0

1:威胁狩猎的定义

    我们将狩猎定义为在网络中主动和迭代的进行搜索的行动,以发现并进一步隔绝针对现有安全策略的高级威胁。威胁猎人可能会用许多不同的安全技术来终结攻击者的攻击,问题在于不同案例中时常出现猎人采取了错误的方案解决攻击行为。最好的方法必须根据攻击者的具体攻击行为随时规划。狩猎不仅仅依赖于像SIEMs这样的自动化系统,还需要威胁猎人的手工分析,软件往往只是做一些辅助工作。在实际场景中,威胁警报很重要,但是你能想象一天生成几十万条威胁告警日志的情况吗,真正的安全威胁被大量的误报给淹没了同时淹没了安全工程师的戒心。所以威胁狩猎的主要目标之一就是通过设计新的方法来检测恶意活动,然后将这些新的方法转化为有效的自动化的安全分析,从而改进自动检测。

2:狩猎成熟度模型

    考虑到狩猎的需要,考虑一下什么是一个好的狩猎基础设施。在判断一个团队的狩猎能力时,有许多因素需要考虑,这些包括:

                    1-收集的数据的数量和质量;

                    2-可以用什么方式来可视化和分析各种类型的数据;

                    3-可以用什么类型的自动分析来增强分析能力

        团队从IT系统中定期收集的数据的质量和数量,是决定狩猎技术成熟程度的一个重要因素。信息的质量和信息的种类越多,作为猎人的分析效率和分析质量会更高。而可以作为分析数据所使用的工具,包括可以生成可视化图表和你可以进行攻击行为的具体工具,而这些工具的选择将会塑造你的狩猎风格和决定你将能够利用什么类型的狩猎技巧。

        第0等级:主要依赖于自动警报,路由数据收集很少甚至没有

        这些企业往往利用IDS、SIEM或杀毒软件在整个企业中检测恶意活动,他们不断更新威胁数据库的数据,虽然有技术的告警,但是他们完全没能力做威胁狩猎。

        第1等级:对威胁日志进行收集并索引,可以对威胁日志进行搜索

         企业已经成功部署了一些不错的安全分析工具并做了一些简单的定制,但是在分析手段上还是严重依赖于频率分析这类简单的手段

        第2等级:更高级并更复杂同时是遵循第三方安全标准的数据收集来源方案

        第3等级:有能力开展根据业务场景自研的安全分析系统

        第4等级:部署了大量的对数据进行可以进行自动化分析的安全规则

        第4等级和第1等级最大的区别在于拥有自动化的分析系统后,4级企业的安全分析师从大量的重复性工作中解放出来可以进行大量创新化的安全分析行为

        设计这个等级的意义在于,如果一个企业需要设计自己的安全狩猎队,这个模型可以帮助企业评估当前企业的现状,以及改进的方向和可以改进的程度

3:狩猎循环

        每一次“狩猎季节”开始于创造一个安全假设。可以关于某种类型的活动也可能在你的IT环境中进行。我们来看一个假设的例子:某企业的高管出差,而他携带的信息数据如果泄露所带来的风险很高,而他被其他国家资助的黑客盯上了。所以你可以通过计划在他的笔记本电脑上寻找被放置后门的迹象或者假设他们的授权账户在企业的内部网络中进行各种非常规操作。每一个假设都是单独进行测试。分析人员可以根据这种类型的狩猎结果来手动设计新的安全假设。

        第二,通过各种工具和技术对假设进行调查,包括关联数据分析和可视化。使用工具利用原始数据和中间数据并通过可视化、统计分析或机器学习来融合不同的网络安全数据集。关联这些数据集以合理的方法论分析解决问题所需的安全假设,这也是狩猎平台的关键组成部分。有关数据甚至可以为可视化添加权重和方向性,使大数据搜索变得更容易。设置和使用更强大的分析。在更高级的层面上,安全假设也可能由风险算法自动生成根据各种不同的条件对特定的用户或实体进行怀疑。例如,一个风险评估算法可以利用各种杀链行为分析的输出(例如,信标行为,横向运动行为,外渗行为)并将它们组合成一个单一的用户或实体的风险评分,这将为狩猎提供一个良好的起点。还有许多其他的补充技术,包括像数据聚类。分析人员可以使用这些不同的技术来轻松地发现新的他们的数据中有恶意的模式,并重建复杂的攻击路径来揭示攻击者的策略,技术和过程(ttp)。

        通过对行为的分析找出恶意行为的特征后,使用自动化的工具将恶意行为分析出来。就能进行针对攻击者的意图分析。

 

这个白皮书我真是后悔翻译,都特码的是废话。

//2018.5.25更新

    某团已经开始内部测试威胁狩猎了,以内部安全审计为驱动的安全审计工作非常先进,具体细则不讲,但是已经挖掘出内鬼了,总体思路以假想敌和线索挖掘为主,实践的成功表明过多的安全告警在大体量的企业中参考价值会随着企业的膨胀而减小,威胁狩猎的假想敌演习却能重新挖掘相关的日志中所蕴藏的黄金!参看某团威胁狩猎负责人博客:http://pirogue.org/

© 著作权归作者所有

共有 人打赏支持
超级大黑猫
粉丝 6
博文 94
码字总数 38259
作品 0
杭州
程序员
安华金和刘晓韬:举生态之力 共建数据安全

  【IT168 评论】众所周知,前不久Facebook公司遭到重创,究其根源是由于大量的用户数据遭到泄露,给Facebook公司造成了巨大影响。无独有偶,之前雅虎也接连多次被曝数据泄露,直接影响到公...

it168网站
05/24
0
0
精彩速递 聚焦终端响应 智慧安全运营,2018SOC&EDR 应用建设高峰论坛

  7月,蝉鸣的夏季,阳光炽热,我们相遇在“鹏城”,FreeBuf企业安全俱乐部活动首次来到深圳。本次高峰论坛以「聚焦终端响应 智慧安全运营」为主题,聚焦SOC&EDR在企业的应用建设,会议邀请...

FreeBuf
07/25
0
0
企业与个人数据安全大会 以AI保护数据安全

    【IT168 资讯】2018年1月12日,2018中国企业与个人数据安全技术大会在北京国家会议中心举行,在本次大会上,来自全国各地的500余位信息化主管部门领导、权威院士、知名专家学者以及国...

it168网站
01/13
0
0
48% 的用户不知道物联网设备带来的安全威胁

Ubuntu 发布的关于IoT 安全漏洞白皮书报告。从 2000 多名的英国公民调查数据统计显示,人们对互联网和物联网安全意识不够。48%的人不知道自己的连接设备会被泄露并用来进行网络攻击。37%的...

凝小紫
2017/02/03
903
2
勒索软件——对于网络攻击,企业必须先发制人

岱凯和思科发布新白皮书,为企业建议了勒索软件防御措施 2017年10月17日,中国北京 — 全球ICT服务和解决方案提供商岱凯与思科公司联合发布了白皮书,旨在帮助企业针对勒索软件威胁能够先发致...

玄学酱
03/16
0
0

没有更多内容

加载失败,请刷新页面

加载更多

如何通过 J2Cache 实现分布式 session 存储

做 Java Web 开发的人多数都会需要使用到 session (会话),我们使用 session 来保存一些需要在两个不同的请求之间共享数据。一般 Java 的 Web 容器像 Tomcat、Resin、Jetty 等等,它们会在...

红薯
今天
3
0
C++ std::thread

C++11提供了std::thread类来表示一个多线程对象。 1,首先介绍一下std::this_thread命名空间: (1)std::this_thread::get_id():返回当前线程id (2)std::this_thread::yield():用户接口...

yepanl
今天
3
0
Nignx缓存文件与动态文件自动均衡的配置

下面这段nginx的配置脚本的作用是,自动判断是否存在缓存文件,如果有优先输出缓存文件,不经过php,如果没有,则回到php去处理,同时生成缓存文件。 PHP框架是ThinkPHP,最后一个rewrite有关...

swingcoder
今天
1
0
20180920 usermod命令与用户密码管理

命令 usermod usermod 命令的选项和 useradd 差不多。 一个用户可以属于多个组,但是gid只有一个;除了gid,其他的组(groups)叫做扩展组。 usermod -u 1010 username # 更改用户idusermod ...

野雪球
今天
3
0
Java网络编程基础

1. 简单了解网络通信协议TCP/IP网络模型相关名词 应用层(HTTP,FTP,DNS等) 传输层(TCP,UDP) 网络层(IP,ICMP等) 链路层(驱动程序,接口等) 链路层:用于定义物理传输通道,通常是对...

江左煤郎
今天
3
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部