文档章节

互联网威胁狩猎框架 白皮书

超级大黑猫
 超级大黑猫
发布于 04/03 12:10
字数 1734
阅读 51
收藏 0
点赞 0
评论 0

1:威胁狩猎的定义

    我们将狩猎定义为在网络中主动和迭代的进行搜索的行动,以发现并进一步隔绝针对现有安全策略的高级威胁。威胁猎人可能会用许多不同的安全技术来终结攻击者的攻击,问题在于不同案例中时常出现猎人采取了错误的方案解决攻击行为。最好的方法必须根据攻击者的具体攻击行为随时规划。狩猎不仅仅依赖于像SIEMs这样的自动化系统,还需要威胁猎人的手工分析,软件往往只是做一些辅助工作。在实际场景中,威胁警报很重要,但是你能想象一天生成几十万条威胁告警日志的情况吗,真正的安全威胁被大量的误报给淹没了同时淹没了安全工程师的戒心。所以威胁狩猎的主要目标之一就是通过设计新的方法来检测恶意活动,然后将这些新的方法转化为有效的自动化的安全分析,从而改进自动检测。

2:狩猎成熟度模型

    考虑到狩猎的需要,考虑一下什么是一个好的狩猎基础设施。在判断一个团队的狩猎能力时,有许多因素需要考虑,这些包括:

                    1-收集的数据的数量和质量;

                    2-可以用什么方式来可视化和分析各种类型的数据;

                    3-可以用什么类型的自动分析来增强分析能力

        团队从IT系统中定期收集的数据的质量和数量,是决定狩猎技术成熟程度的一个重要因素。信息的质量和信息的种类越多,作为猎人的分析效率和分析质量会更高。而可以作为分析数据所使用的工具,包括可以生成可视化图表和你可以进行攻击行为的具体工具,而这些工具的选择将会塑造你的狩猎风格和决定你将能够利用什么类型的狩猎技巧。

        第0等级:主要依赖于自动警报,路由数据收集很少甚至没有

        这些企业往往利用IDS、SIEM或杀毒软件在整个企业中检测恶意活动,他们不断更新威胁数据库的数据,虽然有技术的告警,但是他们完全没能力做威胁狩猎。

        第1等级:对威胁日志进行收集并索引,可以对威胁日志进行搜索

         企业已经成功部署了一些不错的安全分析工具并做了一些简单的定制,但是在分析手段上还是严重依赖于频率分析这类简单的手段

        第2等级:更高级并更复杂同时是遵循第三方安全标准的数据收集来源方案

        第3等级:有能力开展根据业务场景自研的安全分析系统

        第4等级:部署了大量的对数据进行可以进行自动化分析的安全规则

        第4等级和第1等级最大的区别在于拥有自动化的分析系统后,4级企业的安全分析师从大量的重复性工作中解放出来可以进行大量创新化的安全分析行为

        设计这个等级的意义在于,如果一个企业需要设计自己的安全狩猎队,这个模型可以帮助企业评估当前企业的现状,以及改进的方向和可以改进的程度

3:狩猎循环

        每一次“狩猎季节”开始于创造一个安全假设。可以关于某种类型的活动也可能在你的IT环境中进行。我们来看一个假设的例子:某企业的高管出差,而他携带的信息数据如果泄露所带来的风险很高,而他被其他国家资助的黑客盯上了。所以你可以通过计划在他的笔记本电脑上寻找被放置后门的迹象或者假设他们的授权账户在企业的内部网络中进行各种非常规操作。每一个假设都是单独进行测试。分析人员可以根据这种类型的狩猎结果来手动设计新的安全假设。

        第二,通过各种工具和技术对假设进行调查,包括关联数据分析和可视化。使用工具利用原始数据和中间数据并通过可视化、统计分析或机器学习来融合不同的网络安全数据集。关联这些数据集以合理的方法论分析解决问题所需的安全假设,这也是狩猎平台的关键组成部分。有关数据甚至可以为可视化添加权重和方向性,使大数据搜索变得更容易。设置和使用更强大的分析。在更高级的层面上,安全假设也可能由风险算法自动生成根据各种不同的条件对特定的用户或实体进行怀疑。例如,一个风险评估算法可以利用各种杀链行为分析的输出(例如,信标行为,横向运动行为,外渗行为)并将它们组合成一个单一的用户或实体的风险评分,这将为狩猎提供一个良好的起点。还有许多其他的补充技术,包括像数据聚类。分析人员可以使用这些不同的技术来轻松地发现新的他们的数据中有恶意的模式,并重建复杂的攻击路径来揭示攻击者的策略,技术和过程(ttp)。

        通过对行为的分析找出恶意行为的特征后,使用自动化的工具将恶意行为分析出来。就能进行针对攻击者的意图分析。

 

这个白皮书我真是后悔翻译,都特码的是废话。

//2018.5.25更新

    某团已经开始内部测试威胁狩猎了,以内部安全审计为驱动的安全审计工作非常先进,具体细则不讲,但是已经挖掘出内鬼了,总体思路以假想敌和线索挖掘为主,实践的成功表明过多的安全告警在大体量的企业中参考价值会随着企业的膨胀而减小,威胁狩猎的假想敌演习却能重新挖掘相关的日志中所蕴藏的黄金!参看某团威胁狩猎负责人博客:http://pirogue.org/

© 著作权归作者所有

共有 人打赏支持
超级大黑猫
粉丝 4
博文 95
码字总数 36018
作品 0
杭州
程序员
安华金和刘晓韬:举生态之力 共建数据安全

  【IT168 评论】众所周知,前不久Facebook公司遭到重创,究其根源是由于大量的用户数据遭到泄露,给Facebook公司造成了巨大影响。无独有偶,之前雅虎也接连多次被曝数据泄露,直接影响到公...

it168网站
05/24
0
0
企业与个人数据安全大会 以AI保护数据安全

    【IT168 资讯】2018年1月12日,2018中国企业与个人数据安全技术大会在北京国家会议中心举行,在本次大会上,来自全国各地的500余位信息化主管部门领导、权威院士、知名专家学者以及国...

it168网站
01/13
0
0
48% 的用户不知道物联网设备带来的安全威胁

Ubuntu 发布的关于IoT 安全漏洞白皮书报告。从 2000 多名的英国公民调查数据统计显示,人们对互联网和物联网安全意识不够。48%的人不知道自己的连接设备会被泄露并用来进行网络攻击。37%的...

凝小紫
2017/02/03
903
2
勒索软件——对于网络攻击,企业必须先发制人

岱凯和思科发布新白皮书,为企业建议了勒索软件防御措施 2017年10月17日,中国北京 — 全球ICT服务和解决方案提供商岱凯与思科公司联合发布了白皮书,旨在帮助企业针对勒索软件威胁能够先发致...

玄学酱
03/16
0
0
快讯:国务院新闻办发表《中国互联网状况》白皮书

北京时间6月8日,国务院新闻办网站发布消息,《 中国互联网状况》白皮书发布,并刊登全文。 白皮书指出,中国政府充分认识到互联网对于加快国民经济发展、推动科学技术进步和加速社会服务信息...

老枪
2010/06/08
709
8
出汗有什么用?是人类成为地球优势物种的重要原因

北京时间4月26日消息,据国外媒体报道,坚持不懈确实会有回报!即使是你不得不忍耐运动产生的汗水,从生物和进化层面来讲,人类身体出汗是非常正确的,也是人类如何进化成为地球最顶端掠食者...

软件达人
04/26
0
0
首批人工智能手机将推出 会是什么样?

中文科讯网消息:据人民日报消息,5月17日是世界电信和信息社会日。今年世界电信和信息社会日的主题是“推动人工智能的正当使用,造福全人类”。 当天,中国电信在北京发布了《AI终端白皮书》...

admin
05/28
0
0
报告显示,我国区块链产业生态初步形成

  新华社北京5月23日电(记者高亢)工业和信息化部信息中心近日发布的《2018中国 区块链产业白皮书》显示,目前,我国 区块链行业处于高速发展阶段,创业者和资本不断涌入,截至2018年3月底...

中国机器人
05/24
0
0
了解国内 Growth 现状?《GrowingIO 2017 增长白皮书》重磅发布!

为了让更多的企业认识到“数据驱动增长”的价值,帮助更多的企业实现高速增长,业内领先的用户行为数据分析公司 GrowingIO 在调研 138 位企业管理者的基础上,推出国内第一本以“数据驱动增长...

张溪梦 Simon
2017/11/22
0
0
中国信通院:中美智能交通白皮书(附下载)

报告下载:添加199IT官方微信【i199it】,回复关键词【中美智能交通白皮书】 随着社会经济的快速发展,汽车保有量持续增加,以及人口向城市迁移,城市地区人口密度不断增加,许多国家都饱受交...

d1j4robv
2017/12/20
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

Python数据分析numpy(1)

Python开源的科学计算基础库 1.表示N维数组对象ndarray 2.线性代数、傅里叶变换、随机数生成 3.广播函数,整合c++、c 一.数据的维度 1.数据 2.数据维度 3.一维数据 (1)特点 (2)Python中的...

十年磨一剑3344
5分钟前
0
0
csv导入Hive脚本

from pyspark.sql import HiveContexthivec = HiveContext(sc) # 创建一个hivecontext对象用于写执行SQL,sc为sparkcontext# 拼接一个字段类型字符串str_s = 'label String,'...

gulf
7分钟前
0
0
TensorFlow 隐含层 拟合 异或运算

a⊕b = (¬a ∧ b) ∨ (a ∧¬b) 数据 X = [[0, 0], [0, 1], [1, 0], [1, 1]]Y = [[0], [1], [1], [0]] 单层网络只能拟合线性问题,由于异或是非线性问题,需要使用多层网络 输入和输出 [[...

阿豪boy
21分钟前
0
0
SVN 教程

http://www.runoob.com/svn/svn-tutorial.html

yeahlife
22分钟前
0
0
在Python中,不用while和for循环遍历列表

a = [1, 2, 3, 8, 9]def printlist(l, index): if index == len(l): return else: print(l[index]) printlist(l, index + 1)printlist(a,......

丁典
23分钟前
0
0
Kubernetes使用中发现的错误及解决

运行 kubectl dashboard 时报错: Error validating service: Error getting service kubernetes-dashboard: services "kubernetes-dashboard" not found 排查 kubectl get po --all-names......

哎码
28分钟前
0
0
在git上面找开源项目遇到的坑

1,不写安装环境。 2,不写包版本 3,半成品 4,写了自动部署脚本,但是里面没有都是用默认最新包名

NLGBZJ
35分钟前
0
0
在线准考证如何保存为PDF

1.IE浏览器右键点击保存为html文件至桌面 2.将html文件打开方式选择word打开 3.word打开选择pdf进行保存

森火
39分钟前
0
0
【二】Actions, Controllers and Results

什么是Action? 一个Play应用接收到的请求一般都交给 Action 来处理。 而一个 play.api.mvc.Action 本质上就是一个 (play.api.mvc.Request => play.api.mvc.Result) 函数,它被用来处理请求并...

Landas
48分钟前
0
0
我所理解的接口设计

前言 自己做接口开发的时间也算不短了(三年),想写这篇文章其实差不多已经有一年多的时间了。我将从下面的方向来对我所理解的接口设计做个总结: 接口参数定义 -> 接口版本化的问题 -> 接口的...

度_
53分钟前
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部