威脅追踪，或如何保護自己免受 5% 的威脅

95% 的資訊安全威脅是已知的，您可以使用防毒、防火牆、IDS、WAF 等傳統手段來保護自己免受這些威脅。 剩下的 5% 的威脅是未知的，也是最危險的。 它們構成了公司 70% 的風險，因為檢測它們非常困難，更不用說防範它們了。 例子 “黑天鵝” 受歡迎的WannaCry 勒索軟體、NotPetya/ExPetr、加密貨幣挖礦程式、「網路武器」Stuxnet（襲擊了伊朗核設施）以及許多其他攻擊（還有人記得Kido/Conficker 嗎？），而傳統安全措施無法很好地防禦這些攻擊。 我們想談談如何使用威脅狩獵技術來應對這 5% 的威脅。

網路攻擊的不斷演變需要不斷的偵測和對策，這最終讓我們想到攻擊者和防禦者之間無休止的軍備競賽。 經典安全系統不再能夠提供可接受的安全水平，在該水平下，風險水平不會影響公司的關鍵指標（經濟、政治、聲譽），而無需針對特定基礎設施進行修改，但總的來說，它們涵蓋了一些風險。 在實施和配置過程中，現代安全系統發現自己處於追趕者的角色，必須應對新時代的挑戰。

源

對於資安專家來說，威脅狩獵技術可能是應對當今挑戰的答案之一。 威脅狩獵（Threat Hunting，以下簡稱TH）一詞在幾年前就出現了。 該技術本身相當有趣，但目前還沒有任何普遍接受的標準和規則。 由於資訊來源的異質性以及有關該主題的俄語資訊來源的數量較少，問題也變得複雜。 在這方面，我們 LANIT-Integration 決定撰寫一篇對該技術的評論。

時事

TH 技術依賴基礎設施監控流程。 內部監控主要有兩種場景—警報和狩獵。 警報（類似於 MSSP 服務）是搜尋先前開發的攻擊特徵和跡象並對其做出回應的傳統方法。 傳統的基於簽名的保護工具可以成功執行此場景。 Hunting（MDR類型服務）是一種監控方法，它回答了「簽章和規則從哪裡來？」的問題。 它是透過分析隱藏的或以前未知的攻擊指標和跡象來創建關聯規則的過程。 威脅追蹤就是指這種類型的監控。

只有將兩種類型的監控結合起來，我們才能獲得接近理想的保護，但始終存在一定程度的殘餘風險。

使用兩種類型的監控進行保護

這就是為什麼 TH（以及整個狩獵！）將變得越來越重要：

威脅、補救措施、風險。 源

95% 的威脅已被充分研究。 其中包括垃圾郵件、DDoS、病毒、rootkit 和其他經典惡意軟體等類型。 您可以使用相同的經典安全措施來保護自己免受這些威脅。

在任何專案的實施過程中 20%的工作需要80%的時間才能完成，剩下20%的工作就佔了80%的時間。 同樣，在整個威脅格局中，5% 的新威脅將占公司風險的 70%。 在組織了資訊安全管理流程的公司中，我們可以透過避免（原則上拒絕無線網路）、接受（實施必要的安全措施）或轉移等方式來管理 30% 的實施已知威脅的風險。 （例如，由整合商承擔）這種風險。 保護自己免受 零日漏洞、APT 攻擊、網路釣魚、 供應鏈攻擊、網路間諜和國家行動，以及大量其他攻擊已經困難得多。 這5%的威脅的後果會嚴重得多（buhtrap集團的平均銀行損失金額為143億美元）比垃圾郵件或病毒的後果，防毒軟體可以避免。

幾乎每個人都要應付5%的威脅。 我們最近必須安裝一個開源解決方案，該解決方案使用 PEAR（PHP 擴充功能和應用程式儲存庫）儲存庫中的應用程式。 嘗試透過 pear install 安裝此應用程式失敗，因為 網站 不可用（現在上面有一個存根），我必須從 GitHub 安裝它。 就在最近，PEAR 成為了受害者 供應鏈攻擊.

你還記得 使用 CCleaner 進行攻擊，NePetya 勒索軟體透過稅務報告程式的更新模組流行 醫學博士。 威脅變得越來越複雜，隨之而來的邏輯問題是：“我們如何應對這 5% 的威脅？”

威脅追蹤的定義

因此，威脅狩獵是主動、迭代地搜尋和偵測傳統安全工具無法偵測到的高階威脅的過程。 高級威脅包括APT攻擊、0day漏洞攻擊、Living off the Land攻擊等。

我們也可以將 TH 改寫為檢驗假設的過程。 這是一個主要是手動過程，帶有自動化元素，其中分析師依靠自己的知識和技能，篩選大量信息，尋找與最初確定的存在某種威脅的假設相對應的妥協跡象。 其顯著特點是資訊來源多樣化。

應該指出的是，威脅狩獵不是某種軟體或硬體產品。 這些不是在某些解決方案中可以看到的警報。 這不是 IOC（妥協標識符）搜尋過程。 這並不是某種沒有資訊安全分析師參與的被動活動。 威脅追蹤首先是一個過程。

威脅追蹤的組成部分

威脅追蹤的三個主要組成部分：數據、技術、人員。

數據（什麼？），包括大數據。 各種流量、有關先前 APT 的資訊、分析、用戶活動數據、網路數據、員工資訊、暗網資訊等等。

技術（如何？） 處理這些數據 - 處理這些數據的所有可能的方式，包括機器學習。

人（誰？） – 在分析各種攻擊方面擁有豐富經驗、具有敏銳的直覺和檢測攻擊能力的人。 通常，這些人是資訊安全分析師，必須有能力提出假設並找到假設的確認。 它們是過程中的主要環節。

模型巴黎

亞當貝特曼 描述了 理想 TH 過程的 PARIS 模型。 這個名字暗示了法國的一個著名地標。 模型可以從兩個方向查看 - 從上方和從下方。

當我們自下而上地研究模型時，我們會遇到大量惡意活動的證據。 每個證據都有一個稱為置信度的衡量標準 - 該特徵反映了該證據的權重。 有“鐵”，即惡意活動的直接證據，根據這些證據，我們可以立即到達金字塔的頂端，並針對精確已知的感染創建實際警報。 而且還有間接證據，這些證據的總和也可以引導我們到達金字塔的頂端。 像往常一樣，間接證據比直接證據多得多，這意味著需要對它們進行分類和分析，必須進行額外的研究，並建議將其自動化。

模型巴黎。 源

模型的上半部（1和2）基於自動化技術和各種分析，下半部（3和4）基於管理流程的具有一定資格的人員。 您可以考慮從上到下移動的模型，在藍色的上部，我們有來自傳統安全工具（防毒、EDR、防火牆、簽名）的警報，具有高度的置信度和信任度，以下是指標（ IOC 、URL、MD5等），確定性較低，需額外研究。 最低和最厚的層次（4）是假設的生成，為傳統保護手段的運作創造新的場景。 這一水準不僅限於特定的假設來源。 等級越低，對分析師的資質要求越高。

非常重要的是，分析師不要簡單地測試一組有限的預先確定的假設，而是不斷努力產生新的假設和測試它們的選項。

TH 使用成熟度模型

在理想的世界中，TH 是一個持續的過程。 但是，既然不存在理想世界，我們來分析一下 成熟度模型 以及所使用的人員、流程和技術方面的方法。 讓我們考慮一個理想的球形 TH 模型。 使用該技術有 5 個等級。 讓我們以單一分析師團隊的演變為例來看看它們。

成熟度級別
人
流程
技術

0級別
SOC 分析師
24/7
傳統樂器：

傳統
警報集
被動監控
IDS、AV、沙箱、

沒有TH
使用警報

特徵分析工具、威脅情報資料。

1級別
SOC 分析師
一次性TH
EDR

實驗性的
法醫學基礎知識
國際奧委會搜尋
網路設備資料部分覆蓋

TH 實驗
良好的網路和應用知識

部分申請

2級別
臨時職業
衝刺
EDR

定期的
法醫學的平均知識
每週
完整申請

臨時TH
豐富的網路和應用知識
常規TH
EDR 資料使用完全自動化

部分使用先進的 EDR 功能

3級別
專用TH指令
24/7
檢驗假設的部分能力 TH

預防性
對取證和惡意軟體有豐富的了解
預防性TH
充分利用先進的EDR能力

特殊情況TH
對進攻方的出色了解
特殊情況TH
網路設備數據全覆蓋

滿足您需求的配置

4級別
專用TH指令
24/7
完全有能力檢驗 TH 假設

領導
對取證和惡意軟體有豐富的了解
預防性TH
3 級，加上：

使用TH
對進攻方的出色了解
假設的測試、自動化和驗證 TH
資料來源緊密整合；

研究能力

根據需求開發和非標準使用API​​。

TH 成熟度等級（依人員、流程和技術劃分）

0級： 傳統的，不使用TH。 常規分析師使用標準工具和技術（IDS、AV、沙箱、簽章分析工具）在被動監控模式下處理一組標準警報。

1級： 實驗性的，使用 TH。 具有取證基礎知識以及對網路和應用程式有深入了解的分析師可以透過搜尋妥協指標來執行一次性威脅搜尋。 EDR 加入工具中，部分覆蓋來自網路設備的資料。 這些工具已部分使用。

2級： 週期性的、臨時的 TH。 已經提升了取證、網路和應用程式部分知識的分析師需要定期參與威脅搜尋（衝刺），例如每月一周。 這些工具增加了對網路設備數據的全面探索、EDR 數據分析的自動化以及高級 EDR 功能的部分使用。

3級： 預防性、常見的 TH 病例。 我們的分析師組成了一個專門的團隊，開始對取證和惡意軟體以及攻擊方的方法和策略擁有豐富的知識。 過程已經24/7 進行。 該團隊能夠部分測試 TH 假設，同時充分利用 EDR 的高級功能，全面覆蓋來自網路設備的數據。 分析師還可以配置工具來滿足他們的需求。

4級： 高端，用TH。 同一個團隊獲得了研究能力、產生和自動化檢驗 TH 假設的過程的能力。 現在，這些工具已經透過資料來源的緊密整合、滿足需求的軟體開發以及 API 的非標準使用進行了補充。

威脅追蹤技術

基本威脅追蹤技術

К 技術人員 TH 依照所使用技術的成熟度排序，分別是：基本搜尋、統計分析、視覺化技術、簡單聚合、機器學習和貝葉斯方法。

最簡單的方法是基本搜索，用於使用特定查詢來縮小研究範圍。 例如，統計分析用於以統計模型的形式建立典型的使用者或網路活動。 視覺化技術用於以圖形和圖表的形式直觀地顯示和簡化數據分析，這使得更容易辨別樣本中的模式。 按關鍵字段進行簡單聚合的技術用於優化搜尋和分析。 組織的 TH 流程越成熟，機器學習演算法的使用就越相關。 它們也廣泛用於過濾垃圾郵件、偵測惡意流量和偵測詐欺活動。 一種更高級的機器學習演算法是貝葉斯方法，它允許分類、樣本大小減少和主題建模。

鑽石模型和TH策略

塞爾吉奧·卡爾塔吉隆、安德魯·彭德加斯特和克里斯托弗·貝茨在他們的作品中“入侵分析的鑽石模型» 顯示了任何惡意活動的主要關鍵組成部分以及它們之間的基本聯繫。

惡意活動的鑽石模型

根據該模型，有4種威脅狩獵策略，它們基於相應的關鍵組件。

1. 以受害者為中心的策略。 我們假設受害者有對手，他們會透過電子郵件提供「機會」。 我們正在郵件中尋找敵人的資料。 搜尋連結、附件等。 我們正在一段時間內（一個月、兩週）尋找這個假設的證實；如果我們沒有找到它，那麼這個假設就不成立。

2.基礎設施導向戰略。 有多種方法可以使用此策略。 根據訪問和可見性，有些比其他更容易。 例如，我們監控已知託管惡意網域的網域伺服器。 或者，我們會透過監控所有新網域註冊的過程來尋找對手使用的已知模式。

3.能力驅動戰略。 除了大多數網路防禦者使用的以受害者為中心的策略之外，還有一種以機會為中心的策略。 它是第二受歡迎的工具，專注於檢測對手的能力，即「惡意軟體」以及對手使用 psexec、powershell、certutil 等合法工具的能力。

4.面向敵人的戰略。 以對手為中心的方法側重於對手本人。 這包括使用來自公開來源的公開資訊（OSINT）、收集有關敵人及其技術和方法的資料（TTP）、對先前事件的分析、威脅情報資料等。

TH 中資訊和假設的來源

威脅追蹤的一些資訊來源

資訊來源可以有很多。 理想的分析師應該能夠從周圍的一切中提取資訊。 幾乎所有基礎設施中的典型來源都是來自安全工具的資料：DLP、SIEM、IDS/IPS、WAF/FW、EDR。 此外，典型的資訊來源將是各種妥協指標、威脅情報服務、CERT 和 OSINT 資料。 此外，您還可以使用來自暗網的資訊（例如，突然接到命令破解某個組織負責人的郵箱，或網路工程師職位候選人的活動被曝光），從暗網收到的資訊HR（之前工作地點對候選人的評價）、安全部門的資訊（例如對方的驗證結果）。

但在使用所有可用來源之前，有必要至少有一個假設。

源

為了檢驗假設，必須先提出假設。 為了提出許多高品質的假設，有必要應用系統的方法。 生成假設的過程更詳細地描述於 文章，以此方案作為提出假設過程的基礎是非常方便的。

假設的主要來源是 ATT&CK矩陣 （對抗策略、技術和常識）。 從本質上講，它是一個知識庫和模型，用於評估在攻擊的最後步驟中執行活動的攻擊者的行為，通常使用殺傷鏈的概念來描述。 也就是說，在攻擊者滲透到企業內部網路或行動裝置上之後的階段。 該知識庫最初包含攻擊中使用的 121 種策略和技術的描述，每一種都以 Wiki 格式詳細描述。 各種威脅情報分析非常適合作為生成假設的來源。 特別值得注意的是基礎設施分析和滲透測試的結果 - 這是最有價值的數據，可以為我們提供鐵定的假設，因為它們基於具有特定缺點的特定基礎設施。

假設檢驗過程

謝爾蓋·索爾達托夫帶來 好圖 並詳細描述了該過程，說明了在單一系統中檢驗 TH 假設的過程。 我將用簡短的描述來指出主要階段。

源

第一階段：TI 農場

這個階段需要強調的是 物體 （透過將它們與所有威脅資料一起分析）並為其特徵分配標籤。 它們是檔案、URL、MD5、流程、實用程式、事件。 當它們通過威脅情報系統時，有必要附加標籤。 也就是說，這個網站在某年某年在 CNC 中被注意到，這個 MD5 與某某惡意軟體相關聯，這個 MD5 是從分發惡意軟體的網站下載的。

第二階段：案例

在第二階段，我們查看這些物件之間的交互作用並確定所有這些物件之間的關係。 我們被標記的系統做了壞事。

第三階段：分析師

第三階段，案件移交給一位具有豐富分析經驗的分析師，由他做出判決。 他將這段程式碼的作用、位置、方式、原因以及原因解析為位元組。 這個身體是惡意軟體，這台電腦被感染了。 揭示物件之間的聯繫，檢查沙箱運作的結果。

分析師的工作結果進一步傳達。 數位取證檢查影像，惡意軟體分析檢查發現的“屍體”，事件回應團隊可以前往現場調查已有的內容。 這項工作的結果將是一個被證實的假設、一個已識別的攻擊以及對抗它的方法。

源
 

結果

威脅狩獵是一項相當年輕的技術，可以有效應對客製化的、新型的、非標準的威脅，鑑於此類威脅的數量不斷增加以及企業基礎設施的複雜性不斷增加，其前景廣闊。 它需要三個組成部分——數據、工具和分析師。 威脅追蹤的好處不僅限於防止威脅的實施。 不要忘記，在搜尋過程中，我們會透過安全分析師的視角深入了解我們的基礎設施及其弱點，並可以進一步加強這些點。

我們認為，在您的組織中開始 TH 流程需要採取的第一步。

1. 負責保護端點和網路基礎設施。 負責網路上所有進程的可見性 (NetFlow) 和控制（防火牆、IDS、IPS、DLP）。 了解從邊緣路由器到最後一台主機的網路。
2. 探索 斜接.
3. 至少對關鍵外部資源進行定期滲透測試，分析其結果，識別主要攻擊目標並消除其漏洞。
4. 實施開源威脅情報系統（例如，MISP、Yeti）並與其結合分析日誌。
5. 實施事件回應平台 (IRP)：R-Vision IRP、The Hive、用於分析可疑文件的沙箱（FortiSandbox、Cuckoo）。
6. 自動化日常流程。 分析日誌、記錄事件、通知員工是自動化的一個巨大領域。
7. 了解如何與工程師、開發人員和技術支援人員有效互動，以協作處理事件。
8. 記錄整個過程、關鍵點、取得的結果，以便稍後返回或與同事分享這些數據；
9. 保持社交性：了解您的員工的近況、您僱用的人員以及您授予誰訪問組織資訊資源的權限。
10. 隨時了解新威脅和防護方法領域的趨勢，提高您的技術素養水平（包括 IT 服務和子系統的操作）、參加會議並與同事交流。

準備在評論中討論 TH 流程的組織。

或者來和我們一起工作吧！

• 首席資訊安全顧問
• 資訊安全系統架構師
• 首席網路安全工程師
• 首席資訊安全工程師（SIEM）
• 資訊安全架構師（應用）

研究來源和材料

• 威脅獵人大師
• 攻擊.mitre.org
• 數位取證.sans.org
• resources.infosecinstitute.com
• www.redcanary.com
• www.cybereason.com
• www.anti-malware.ru
• www.anti-malware.ru
• 回覆全部.blogspot.com
• lukatsky.blogspot.com
• 白皮書.theregister.co.uk

來源： www.habr.com