威胁情报&威胁狩猎
威胁情报
威胁情报是收集、处理和分析以了解敌方的动机、目标和攻击行为的数据。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,可以用于通知主体针对相关威胁或危险采取某种响应。使我们能够做出更快、更明智、有数据支持的安全决策,从而在对抗攻击者时将从被动变为主动。
参考:https://www.anquanke.com/post/id/164836#h2-9
参考:https://www.secpulse.com/archives/111108.html
从情报的类型上来看
可以分为:资产情报、事件情报、漏洞情报和威胁情报。
我们常说的威胁情报,并不完全等同于安全情报。
-
资产情报:主要用于确认企业自身的资产(企业自身的数据SOC、SIEM数据日志、告警等)
-
事件情报:对于已经发生的安全事件的报道
-
漏洞情报:软硬件各种已知或未知的漏洞的情报
-
威胁情报:从信息源的透明程度看,可以分为:OSINT(Open source intelligence ,公开资源情报)、 未公开数据(暗网、黑产群、社区等,Telegram中存在大量的交流频道(手动狗头))。
常见误区
1.漏洞情报就是威胁情报。威胁企业的,漏洞只是一部分。漏洞知己,威胁知彼。
2.威胁信息=威胁情报。 威胁情报,不仅是收集,还需要分析。情报是已经处理和分析的。
3.威胁情报就是信息收集。信息收集只是威胁情报的第一部分。情报是对企业有意义的
CTI的5W1H
威胁情报通过使用多种数据(5W1H)来生成关于对手的知识:
- 对手是谁(Who),包括威胁行为体,赞助商和雇主
- 对手使用什么(What),包括他们的能力和基础设施
- 对手的行动时(When),确定行动的时间表和规律
- 对手的目的(Why),包括他们的动机和意图
- 对手的目标行业和地理区域(Where),详细说明行业,垂直行业和地理区域
- 对手如何运作(How),专注于他们的行为和规律
CTI生命周期
网络威胁情报经历以下生命周期。
- 规划:确定 CTI 的目的、目标和要求
- 收集:从多个来源收集数据
- 处理:处理收集的数据并准备好进行分析
- 分析:对处理后的数据进行分析,将信息转化为情报,为共享做好准备
- 传播:共享威胁情报数据
- 反馈:通过从共享的报告中获取反馈,确定是否应为未来的威胁情报行动做出安排。
收集方法
- 开源情报收集
- 针对IOC,从常见的指标进行分析
- 网络。IP,URL
- 主机。文件哈希,动态链接库,注册表
- 邮件
- 威胁情报平台
- 自己搭建蜜罐、蜜网,收集攻击数据(IP,Hash,URL等)
- 对自己的已有资产进行分析建模
信息收集:
https://qftm.github.io/Information_Collection_Handbook/
https://github.com/0x727/ShuiZe_0x727
工具:
https://github.com/laramies/theHarvester
https://github.com/Te-k/harpoon
https://github.com/lyy289065406/threat-broadcast
超级情报收集工具库:
https://medium.com/@iyouport/超级情报收集工具库-开源验证和调查工具及使用方法-aef21bbe3b8b
威胁狩猎
威胁狩猎是主动搜索潜伏在网络中未被发现的网络威胁的实践。威胁狩猎深入挖掘环境中已绕过最初的端点安全防御的恶意行为者。
潜入网络后,攻击者可以在网络中潜伏数月,静静地收集数据,寻找机密材料,或获得允许他们在环境中横向移动的登录凭证。
一旦攻击者成功地躲过了检测,并且攻击已经穿透了组织的防御,许多组织就缺乏阻止高级持续威胁(APT)留在网络中所需的高级检测能力。这就是为什么威胁狩猎是任何防御战略的重要组成部分。
狩猎方法
威胁猎手假设对手已经在系统中,他们开始调查以发现可能表明存在恶意活动的异常行为。在主动威胁搜寻中,这种调查的启动通常分为三个主要类别:
1. 基于假设的调查
基于假设的调查通常由通过大量众包攻击数据确定的新威胁触发,从而洞察攻击者的最新战术、技术和程序(TTP)。一旦确定了新的TTP,威胁猎手就会查看是否在自己的环境中发现了攻击者的特定行为。
2. 基于已知的IOC或IOA的调查
这种寻找威胁的方法涉及利用战术威胁情报对与新威胁相关的已知ioc和IOAs进行分类。然后,这些会成为威胁猎手用来发现潜在的隐藏攻击或正在进行的恶意活动的触发器。
3. 高级分析和机器学习调查
第三种方法结合了强大的数据分析和机器学习来筛选大量信息,以检测可能表明潜在恶意活动的不规范行为。这些异常现象成为搜寻线索,由熟练的分析师进行调查,以识别隐形威胁。
威胁狩猎步骤
威胁狩猎的过程通常包括三个步骤:触发、调查和解决。
第 1 步:触发
当高级的检测工具识别出可能表明恶意活动的异常动作时,触发点将威胁猎手指向特定的系统或网络区域,以便进行进一步调查。通常,关于新威胁的假设可能会触发主动狩猎。例如,安全团队可能会搜索使用无文件恶意软件等工具来规避现有防御的高级威胁。
第 2 步:调查
在调查阶段,威胁搜索器使用诸如EDR(端点检测和响应)等技术来深入研究系统潜在的恶意攻击。调查将继续进行,直到该活动被认为是良性的,或者恶意行为的完整画像已经创建。
第 3 步:解决
解决阶段包括向运营和安全团队传递相关的恶意活动情报,以便他们能够对事件作出响应并减轻威胁。收集到的关于恶意和良性活动的数据可以输入到自动化技术中,以提高其有效性,而无需进一步的人工干预。
在整个过程中,威胁猎手尽可能多地收集攻击者的行动、方法和目标的信息。然后分析收集到的数据,以确定组织安全环境的趋势,消除当前的漏洞,并做出预测,以增强未来的安全性。
狩猎战术
情报驱动
情报驱动的狩猎是结构化狩猎中使用的一种策略,狩猎者使用来自内部和外部威胁情报提供者的报告来制定假设。这种类型的狩猎将非常依赖于组织生成和使用的情报报告的质量。当发布新的漏洞或攻击技术时,威胁情报报告将记录攻击,这通常会构成新假设的基础。
目标驱动
目标驱动的狩猎是一种承认狩猎者的时间和资源都有限的策略,虽然攻击者可以通过多种途径获得访问权限,但他们的最终目标通常是相似的:特定的网络基础设施和大型数据存储库。审查狩猎计划,对于资源有限的组织,应优先考虑这些目标。
技术驱动
技术驱动的狩猎是一种狩猎策略,旨在专注于攻击者可能采用的一种或一系列技术。这些技术通常(但不总是)源自 MITRE ATT&CK 框架,并试图发现在环境中对该技术的所有使用,无论它是否合法。这种策略在很大程度上依赖于威胁猎手的技能和环境中各种操作系统的经验。
狩猎理念:
https://cyborgsecurity.medium.com/6-threat-hunting-ideas-you-can-use-today-dbb2acb5a6e
工具:
威胁狩猎产品:星云风控系统
威胁狩猎工具和其他资源的集合:
https://github.com/0x4D31/awesome-threat-detection
https://github.com/chihebchebbi/CyberThreatHunting
splunk威胁狩猎:https://securityaffairs.co/wordpress/81288/security/hunting-mitres-attck-splunk.html
Atomic Red Team是一个映射到 MITRE ATT&CK®框架的测试库。安全团队可以使用 Atomic Red Team 快速、可移植且可重复地测试他们的环境:https://github.com/redcanaryco/atomic-red-team
EQL威胁狩猎:https://eqllib.readthedocs.io/en/latest/analytics.html
安全数据集:https://github.com/OTRF/Security-Datasets/
