TaHiTI威胁狩猎白皮书——他是基于情报驱动的威胁狩猎

from：https://www.betaalvereniging.nl/wp-content/uploads/TaHiTI-Threat-Hunting-Methodology-whitepaper.pdf

google翻译 要点高亮 原文的几个图不错 写ppt可以复用

TaHiTI：威胁追踪方法 1 简介 威胁追踪是一个相对较新的专业领域。虽然活动本身并不新鲜，但近年来已经开发了特定的狩猎工具、模型和最佳实践。与任何新领域一样，对于这项活动的确切组成部分，人们常常感到困惑。缺乏好的定义，以及如何执行此类活动的常用方法。 2017 年关于威胁追踪的 SANS 调查表明，在所有从事威胁追踪活动的公司中，只有 4.6% 采用了已发布的外部方法。排除外包和不执行威胁追踪的公司，超过 70% 的组织要么不使用方法论，要么使用内部创建的方法论 [1]。这表明显然缺乏以结构化方式覆盖整个过程的威胁搜寻方法。进行威胁追踪活动的荷兰金融部门成员得出了相同的结论。正在单独开发内部方法和狩猎专业知识。因此，现在正是共同努力在威胁搜寻中建立共同理解和共同方法以及在彼此之间共享最佳实践的正确时机。 TaHiTI（代表 Targeted Hunting 集成威胁情报）方法是这种努力的直接结果。该方法本身旨在将威胁搜寻和威胁情报结合起来，以提供一种重点突出且以风险为导向的威胁搜寻方法。威胁情报被用作追捕调查的来源，并在整个调查过程中使用，以进一步了解和丰富追捕活动。本文是完整 TaHiTI 文档的简要版本。完整的文档和支持工具（用于威胁追踪的 MaGMa）可从以下网址获得：https://www.betaalvereniging.nl/en/safety/tahiti/ 2 威胁追踪 要对威胁追踪有一个共同的理解，需要一个共同的定义. TaHiTI 中的威胁追踪定义如下： 威胁追踪是在 IT 基础设施中搜索当前和历史中已逃避现有安全防御的恶意活动迹象的主动努力。这种对安全防御的规避可能是由于使用了新的、改进的或未知的攻击者技术、0 日漏洞或组织内缺乏足够的检测技术。虽然检测技术的配置不完整或错误，或者分析师对 1 https://www.sans.org/reading-room/whitepapers/analyst/hunter-strikes-back-2017-threat-hunting-survey-37760 安全事件的误解分类也可能是逃避的原因，威胁追踪假定安全监控过程正常运行。威胁追踪的主要目的是减少查找已经破坏 IT 环境的攻击者踪迹所需的时间。通过尽快找到这些痕迹，可以最大限度地减少违规对组织的影响。威胁追踪的其他好处包括：识别检测和响应特定攻击者 TTP 所需的可见性差距。 ?识别检测中的差距。 ?开发新的监控用例和检测分析。 ?发现反馈给威胁情报流程的新威胁和 TTP。 ?关于新的预防措施的建议。 2.1 漏洞检测差距 如前所述，威​​胁追踪的目标是减少攻击者的初始破坏与环境中发现该攻击者之间的差距：漏洞检测差距也称为停留时间。图 1 显示了包含几个关键时刻的攻击时间线。漏洞检测间隔是 T=1 和 T=2 之间的时间。图 1：漏洞检测差距 根据最新的 Verizon 数据泄露调查报告 (DBIR)，68% 的泄露数月未检测到 [2]。威胁搜寻在缩小漏洞检测差距方面发挥着重要作用。这在 SANS 威胁追踪调查中也很明显，其中提到对事件响应的改进是威胁追踪活动带来的关键改进。威胁追踪将通过引入新的或改进现有的检测机制来帮助加速检测攻击者，从而进一步缩小漏洞检测差距。需要持续洞察检测机制的状态，以避免寻找传统检测机制已经涵盖的恶意活动。用例管理框架，例如 MaGMa [3] 可以帮助获得这种洞察力。 2.2 威胁追踪的类型当谈到威胁追踪的类型时，它基本上可以深入到2种类型：非结构化狩猎和结构化狩猎。非结构化狩猎是数据驱动的狩猎。潜在的恶意活动可以被猎人检测到，他只是在挖掘可用数据以寻找异常情况。这种类型的威胁追踪不是从假设开始的，不遵循预定路径，因此被认为是非结构化的。结构化狩猎是基于假设的狩猎：创建假设，确定狩猎活动的范围并随后执行。 TaHiTI 是一种结构化的狩猎方法，涉及多个步骤，并且在开始任何狩猎活动之前清楚地了解猎人正在寻找什么。 2.3 痛苦金字塔 痛苦金字塔 [4] 是一个重要而优雅的概念，可用于威胁追踪和威胁情报。金字塔解决了攻击者改变其攻击的某些特征的难度。同时，也说明了组织要找到这些特征是多么的困难。查找具有特定哈希值的文件很容易，但在经常使用 PowerShell 的组织中发现 PowerShell 的非法使用会带来完全不同的挑战。同样，攻击者生成具有不同哈希值的新文件是微不足道的，但移动或修改攻击者技术以逃避检测要困难得多。图 2 显示了疼痛金字塔。图 2：痛苦金字塔（来源：David Bianco，检测-响应博客）。 TaHiTI 专注于金字塔的前 3 层。痛苦金字塔将威胁搜寻与威胁情报联系起来。威胁情报提供有关金字塔所有层的攻击者的相关信息。使用 TaHiTI 方法的威胁追踪将集中在金字塔的前 3 层（但仍可能使用较低的 3 层）。 TTP（攻击者使用的攻击方法）在威胁追踪调查中最为关注。 3 威胁情报 与威胁搜寻一样，对威胁情报有一个清晰的定义是很有帮助的。威胁情报的定义如下： 威胁情报是收集、处理和传播有关威胁和攻击者的信息的过程。威胁情报的目标是将信息置于上下文中，并提供可用于决策过程的可操作信息。威胁情报流程将来自外部世界的信息纳入组织的视角，并在可能的情况下就如何进行提供建议。这需要从情报信息中确定风险、影响和可能的缓解措施。威胁情报还可以洞察攻击者的运作方式、他们的动机、他们运作的部门和地理位置以及他们拥有的能力水平。 3.1 威胁追踪和威胁情报的关系 威胁追踪和威胁情报之间的关系很明确。这在威胁追踪部分已经很明显，因为如果没有威胁情报的基本知识，威胁追踪中的一些概念很难解释。对于 TaHiTI 方法，威胁情报和威胁搜寻之间关系的 3 个具体要素尤为重要： - 情报作为搜寻的起点。 - 用于情境化和推动狩猎的情报。 - 狩猎以产生情报。 3.1.1 情报作为狩猎的起点 由于威胁情报为我们提供了大量有关攻击者及其能力的信息，因此它可以成为参与狩猎活动的主要来源。例如，描述攻击者群体及其独特能力的威胁情报报告应该引起人们极大的兴趣。如果该攻击者团体也在您组织的部门开展业务并且在地理上也具有相关性，则其构成的威胁可能很大。威胁情报流程可以根据此信息触发威胁搜寻流程，并提供有关威胁的相关上下文。 3.1.2 用于背景化和推动追捕的情报 在追捕调查期间，威胁情报可用于调查结果的背景化。例如，在威胁搜寻过程中可能会发现某个 TTP。使用威胁情报，该信息可用于查找相关的 TTP（例如，使用 MITRE ATT&CK 框架 [5][6]）或关于该 TTP 的附加信息。这随后可用于进一步推动狩猎。这个过程称为旋转，可能会导致额外的狩猎活动或主动狩猎的细化。对于 TaHiTI 方法，威胁情报和威胁搜寻之间的这种交互尤为重要。来自威胁情报的上下文可能会导致扩大追捕范围、向追捕添加新数据、改进狩猎假设或为后续狩猎产生想法。 3.1.3 搜寻以生成威胁情报 如前所述，威​​胁搜寻可以成为威胁情报的来源。狩猎调查可能会发现以前未知的攻击者 TTP。此信息可用于威胁情报过程以构建攻击者配置文件。随后，所有此类信息都可以与威胁情报社区的同行共享，为他们提供有关未发现威胁的信息。如果这些同行根据这个新的 TTP 开始他们自己的狩猎调查，他们可能会发现可以与威胁情报社区共享的其他指标。通过这种方式，可以在社区工作中构建更完整的攻击者能力和 TTP。在活跃的威胁情报生态系统中，总和大于其整体。 4 TaHiTI 方法 如简介中所述，TaHiTI 代表集成威胁情报的有针对性的狩猎。有针对性，因为该方法使用假设来推动狩猎活动。这意味着威胁搜寻是在考虑特定目标的情况下进行的。集成威胁情报，因为威胁情报是威胁狩猎假设的主要来源，用于丰富和情境化狩猎活动。最后，狩猎活动也可能产生威胁情报。 4.1 TaHiTI 流程概述 图 3 提供了 TaHiTI 流程及其 3 个阶段的概述：启动、搜寻和最终确定。该过程共有 6 个步骤。4.2 阶段 1：启动 启动阶段是处理威胁搜寻输入的地方。首先，有一个初始触发器来启动狩猎过程。接下来，触发器被转换为狩猎调查的摘要并存储在狩猎积压中。威胁搜寻过程可以从多个过程触发。图 4 显示了威胁搜寻的触发器。需要注意的一件重要事情是，可能会触发开始搜寻的流程与接收调查输出的流程高度重叠（图 5）。如果执行得当，狩猎可以作为改进这些其他过程的加速器。图 4：狩猎触发器 在所有这些触发器中，MITRE ATT&CK 框架尤为重要。 MITRE ATT&CK 框架可用作潜在攻击向量和技术的输入，并包含可供任何猎人使用的丰富信息。该框架还提供了检测建议，这对于搜寻和安全监控都很有价值。请注意，这不是该框架的主要目的，应仅作为监测指南。当收到触发时，狩猎团队会创建一个狩猎调查摘要。该摘要不包括所有细节，而是对调查的基本描述。大多数信息将在稍后选择执行狩猎时进行细化和更新。创建摘要后，将其存储在狩猎积压中。这个 backlog 不需要是一个复杂的工具。 Microsoft SharePoint 或 JIRA 等简单的协作工具就足够了。最重要的是，积压工作为狩猎团队提供了所需的洞察力，以便为下一次狩猎选择最相关的摘要。 4.3 阶段 2：追捕 追捕的第二阶段是进行实际调查的地方。这个阶段有2个活动。狩猎阶段的第一个活动称为“定义/提炼”。第二个活动称为“执行”，是狩猎的实际进行。在“定义/细化”步骤中，定义了狩猎的细节并使其更加具体。在此步骤中，通过提炼和添加信息将摘要转化为调查。添加了一些新元素，例如所需的数据源和数据分析技术。最重要的是，创建了一个推动狩猎的假设。产生这个假设是狩猎过程中的重要一步。一个定义错误的假设可能会导致没有结果，甚至更糟，会导致错误的结果，从而导致对组织的错误结论和建议。完成“定义/细化”活动后，可以开始“执行”活动。在搜索阶段的“执行”步骤中，检索和分析数据。现有的狩猎文档列出了许多数据分析技术。其中一些技术（例如查询）简单且易于执行。其他技术，例如聚类更难理解，需要对统计有一些基本的了解才能正确使用它们。一些分析技术可以由分析师手动应用，而另一些则需要某种形式的机器学习。可以利用包含分析技术和可视化的狩猎平台来简化分析。在数据分析步骤中，狩猎团队可能会发现定义阶段引入的遗漏。此时，猎人们将细化初步调查。这是一个反复的过程，直到调查得到优化。可以对假设、范围、选定的数据源和分析技术进行改进。在执行数据分析时，威胁情报可用于为调查添加上下文。这是否需要取决于调查。当威胁搜寻团队在特定 TTP 上找到匹配项时，必须对该 TTP 进行进一步分析。如果可能，此活动应与威胁情报团队合作进行。这种分析可以提供有关可能的威胁行为者、他们的方法和能力、技术基础设施和同一行为者的其他受害者的信息（入侵分析钻石模型的 4 个特征 [7]）。在这个过程中可以使用 MITRE ATT&CK 框架。此外，MITRE ATT&CK 导航器可以成为有用的资源，因为它将攻击技术与 APT 组相关联。要确定哪些 APT 组与您的部门和组织类型相关，APT 威胁跟踪概述是一个很好的起点 [8]。此信息随后可用于扩展搜寻调查以发现其他恶意活动。这为猎人提供了更完整的概览已经发生的妥协。 “寻找”阶段的最后一项活动是假设验证。狩猎调查结束后，必须验证假设。这将导致经过验证的假设（发现恶意活动，事件响应开始）、否定假设（未发现恶意活动）或不确定。在后一种情况下，猎手可以循环回到第一步（定义/精炼）改变猎杀的一些参数并重复执行。在某些情况下，所需的数据可能根本不可用。在这种情况下，可以认为搜寻失败。这仍然可以带来宝贵的经验教训。 4.4 阶段 3：完成 TaHiTI 流程的最后阶段是记录结果并移交给其他流程。威胁追踪团队必​​须处理执行步骤的结果并记录发现。该文档必须涵盖最重要的搜寻结果，以及基于这些结果得出的结论。文档也可能有建议。建议可能包括对预防措施的改进（从简单的配置更改到架构更改）、日志建议（附加源、附加详细信息等）、安全监控用例的建议和流程建议（漏洞或配置管理的改进）。最后，文件应该有一个“经验教训”部分，涵盖狩猎如何帮助猎人提高。吸取的教训也可能是猎人已经获得了对部分基础设施的宝贵见解。这些见解最终可能会导致新的狩猎活动，并使后续的狩猎更有效率。最后的活动是移交给其他流程。可以从狩猎调查接收输入的潜在流程是安全事件响应、安全监控、威胁情报、漏洞管理等。这些流程如图 5 所示。 7 http://www.activeresponse.org/wp-content/uploads/2013/07/diamond.pdf 8 http://apt.threattracking.com 图 5：威胁搜寻触发的流程调查 5 威胁搜寻的指标和 MaGMa 指标对于确定威胁搜寻过程的效率和有效性以及向组织展示其附加价值非常重要。有两种基本类型的度量标准：定量（数字）和定性（价值）。重点应该放在威胁搜寻如何为组织增加价值上，因此需要仔细选择指标。以下是一个简短的指标列表，这些指标是威胁搜寻过程所增加价值的指标： ?调查结果的停留时间：由于威胁搜寻应减少停留时间，因此应对威胁搜寻中发现的任何妥协进行报告。 ?事件响应：威胁搜寻过程触发的事件数量。 ?安全监控：添加和更新的用例数量。 ?威胁情报：在威胁搜寻过程中创建的新威胁情报。 ?安全建议：威胁追踪报告中建议的新预防措施。 ?漏洞管理：发现的漏洞或错误配置的数量。在定义威胁搜寻指标时，重要的是从流程目标开始，然后确定有用的指标。虽然定义质量指标比简单地提供数字更难，但值得付出努力。 TaHiTI 方法得到“MaGMa 威胁追踪”工具的支持，该工具允许追踪者记录他们的结果、构建追踪调查的结果并为威胁追踪过程的发展提供方向。上述一些指标已嵌入 MaGMa 中，用于威胁搜寻工具。虽然该工具可以与 MaGMa 用例框架分开使用，但已经使用 MaGMa 进行用例管理的组织将能够更轻松地集成威胁搜寻和安全监控流程。这是由于这些团队及其工具之间的共同语言。 6 结论 TaHiTI 方法集成了威胁搜寻和威胁情报，并提供了一个清晰的分步流程，搜寻者可以遵循该过程来进行结构化的搜寻调查。考虑最后的这些注意事项： 1. 仔细选择、确定优先级并记录您的输入（触发器）。 2. 谨慎执行狩猎并持续应用批判性思维。 3. 使用狩猎输出来驱动其他安全流程，并使狩猎流程本身成熟和发展。与任何方法一样，并非每次狩猎都需要所有方法。在某些情况下，狩猎调查将宽泛一些，看看复杂 TTP 的不同方面。 在其他情况下，狩猎调查可能很窄，只限于一个特定的方面。 一些狩猎将受益于非常正式的方法，而另一些则可能不会。 因为每次狩猎的情况不同，调查会有不同的要求。 组织应该以灵活的方式应用该方法，让猎手能够以标准化和高效的方式自由地进行狩猎，而不会引入不必要的开销。 威胁搜寻团队应在启动搜寻之前考虑需要哪些元素，同时保留在需要时应用更改的灵活性。