(一)介绍
威胁追踪(hunting)是一种主动和迭代来检测威胁的方法。在On the
Sliding Scale of Cyber Security(www.sans.org/reading-room/whitepapers/analyst/sliding-scale-cyber-security-36240)中提到,追踪(hunting)属于主动防御类别,因为它主要由人类分析师实施。虽然威胁追踪人员需要自动化和机器帮助,但是其过程本身不能完全自动化,任何产品也不能替代分析人员进行追踪(hunting)。分析人员主动发起追踪的初始概念,以及尝试如何在环境中发现恶意活动。我们通常将这种初步概念称为追踪(hunting)的假设,但它只是追踪人员关于环境中可能面临的威胁以及如何去寻找的可疑想法的陈述。
进行合理追踪假设有两个关键组成部分。首先,分析师创造假设的能力来源于观察。一个观察可能很简单,可能是注意到一个“似乎不正确”或更复杂的特定事件,比如基于过去与攻击者的经验和外部威胁情报相结合来假设威胁方的活动。
第二个概念是假设必须是可验证和测试的。也就是说,至少有机会找到数据来验证假设。良好的追踪(hunting)取决于追踪人员能够知道需要哪些数据和技术来测试假设。为了充分测试假设,还需要能够利用好环境的信息。一个好的威胁追踪平台支持分析人员进行假设,并通过提供对进行测试所需的数据和工具,来减少测试这些假设的障碍。
有三种典型的假设类型,这三种可以组合,假设可以从这些来源得出:
•威胁情报
• 态势感知
•领域专长
本指南探讨了这三种类型的假设,并概述了如何和何时制定这些假设。
(二)情报驱动的假设
情报驱动防御的概念进入了网络安全主流,带出了威胁情报、攻击指标(IOC)以及对手手段,技术和程序(TTP)。假设不能由工具产生,假设产生的过程是一个人为过程。情报可以作为分析人士为形成假设需要提问的问题的基础。
即使IOC搜索不直接导致产生假设,它们仍然可能导致发现告警和日志,追踪人员可以决定哪些优先考虑调查。搜索结果可能引发一个假设,因为追踪人员开始提出有关数据的问题,以及这些数据可能代表着对手什么样的活动。在这种情况下,即使初始IOC没有产生假设,但IOC的搜索结果帮助产生假设。
有多种方式IOC可以帮助分析师提问,包括:
•防御者在其环境中找到IOC的地点
•对手隐藏的方式
•C2服务器与多个对手入侵或行动之间的重叠
•对手如何获得C2服务器,以及有关对手的复杂性
追踪人员必须注意IOC来自哪里,不仅要考虑到来源的可信,还要考虑是在the kill chain的哪个阶段。与“踩点和侦察”阶段的IOC将有助于分析人员的分析,与“利用”或“安装”阶段的完全不同,可能会产生不同的假设。
追踪人员们应该谨慎对待依赖IOC。在当今行业中,有许多威胁数据Feed缺乏上下文,不算真实攻击指标。如果分析师想进行假设,即需要分析feed中的数据或情报报告中的IOC,但由于低质量的匹配,分析人员将很快不堪负荷。不好的攻击指标仍可能发现数据,但是大量误报通常会浪费分析师的时间。利用IOC可以加速进程,但应关注Pyramid
of
Pain的顶部(http://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html),以了解对手的技战术(TTP)。
然而,好的IOC往往会导致发现其他的高质量指标。好的追踪和追踪假设也是如此。不要将“假设”视为静态过程。即使没有足够的时间从开始充分探索,也可以使用后续追踪中假定的假设。
良好的情报驱动假设(intelligence-driven
hypothesis)考虑了地缘政治和威胁全景的评估,并力求将低信度告警和指标与附加信息相结合,以帮助确定其是否有用。威胁追踪人员应使用精炼的和有上下文的威胁情报来进行假设,发起追踪。情报驱动的假设可能会导致最快的发现,但分析人员仍然必须要了解其运行环境。
为未来追踪做假设
假设的生成不是静态过程。 考虑这个例子。 在调查活动时,
威胁追踪人员进行了两个假设:
1、对手通过修改注册表项来保持攻击的持久性。
2.对手通过图形卡内存中的rootkit维护持久性。
结果:威胁追踪人员决定修改注册表项更有可能,调查它将需要较少的时间和资源; 她沿着这个假设进行追踪。 这证明是正确的。 她不是放弃关于显卡rootkit的假设,追踪人员会记录它,并探索技术,以备将来要测试假设。
(二)态势感知
态势感知需要可视化和了解网络环境及元素,以便分析人员可以了解其在时间和变化方面的动态性质。简而言之,防护者必须了解他们的环境,并能够以某种重要的方式识别何时发生变化。有了这种态势感知,分析师就可以对他们的环境中可能发生的攻击者的攻击活动的进行适当假设。
态势感知使防护者能够专注于最重要的资产和信息。这个重点在于对组织使命至关重要的资源被确定为Crown
Jewels
Analysis(CJA,即关键资产分析)。如果追踪人员有了这种知识,他就可以提出问题,做出假设对手进入网络时可能寻找什么。这可以引导追踪人员考虑在环境中收集的最有用的数据类型(以及应该收集的位置),以便能够开始寻找攻击者的活动。
Crown Jewels Analysis (CJA) 过程
准备CJA要求组织执行以下操作:
•确定组织的核心任务。
•将任务映射到其所依赖的资产和信息。
•发现和记录网络上的资源。
•构建攻击图。
– 确定对其他系统或信息的依赖。
– 分析资产及其互连的潜在攻击路径。
– 根据严重性对任何潜在的漏洞进行评估。
这种分析允许追踪人员排定行动的优先级别,以保护他们最重要的,最可能影响组织的威胁进行假设。
理解网络中的资产和软件的威胁追踪人员可以排除以环境中未找到的技术或数据支撑的假设。分析人员有创意,但是要避免花费太多时间在不成功追踪的假设上。
为了帮助了解快速变化的基础设施、软件和漏洞,威胁追踪人员应该利用自动化,特别是在仪表盘、报告和风险评分方面。在一个环境中手动观察和记录所有资产和数据流是浪费分析人员的时间。这样将阻止分析师将时间或精神清晰度集中在产生假设上。
态势感知也不应局限于纯技术方面。人员,流程和业务需求也是组织威胁形态的关键部分。没有考虑这些因素往往使得防御更加困难。将它们和技术资产和资源组合考虑,以最大限度地发挥防御优势。
态势感知的假设的例子
分析人员首先考察了组织的非技术性影响。分析师收到公司将要收购一家新公司的信息。新公司位于世界不同地区,其基础设施将与新的母公司网络相连接。分析师知道,母公司也将继承收购公司的资产,数据和漏洞。
追踪人员产生这样的假设,即这两个公司网络之间的连接点将被威胁者(已经攻击了被收购公司的攻击者)所滥用。为了测试这一假设,分析师设置了额外的监控,以将流入和流出新网络连接的数据视为可疑。
(三)领域专长
在分析的任何方面,分析经验很重要。不同的分析师带来不同的经验、背景和技能,所有这些都影响到他们产生的假设。
除了领域专长之外,追踪人员以前与对手所打的交道都将影响到后来做出的假设,即使是对在新环境中的无关威胁。分析人士不仅要努力通过这些来培养自己的技能,还要记录从以前的追踪中获得的经验教训和知识。此外,追踪人员应与团队共享此文档,并将其作为新分析师的培训资料和知识资源。这样的做法使团队能够一起成长和发展。
具有良好领域专长的追踪人员,了解环境和威胁,能问问题并产生假设。在许多方面,领域专长是将态势感知和情报驱动(含上下文)相结合。它们不是立即相关的,但它们知识塑造了今天的威胁追踪人员。这两种类型的信息有助于帮助追踪人员提出良好问题并产生良好假设。
经验会带来不必要的副作用:偏见。追踪人员必须注意偏见和其他不利的分析习惯,这可能会影响他们,作出预判断。例如,如果一个分析师只是在一个关注来着中国的威胁的政府机构中工作,她可能会发现她的领域专业知识引入了影响她的偏见,产生主要与以前面临的威胁有关的假设。偏见可能导致关于共享威胁数据和分析结论不佳的防御态度,甚至在威胁不再存在时,分析人员还继续分析此威胁。
分析师往往依靠模型和分析框架来帮助结构化数据,以揭示攻击模式。一个模型的例子是入侵分析的钻石模型(Diamond Model of Intrusion
Analysis),它需要追踪人员将他们发现的数据转换为对手、基础设施、能力和受害者的类别。模型是一种将数据结构化已供分析的方法,不代表适用于每一种情况。威胁追踪人员充分利用其领域专长,也了解其局限性以及如何防止认知偏见。
(四)最佳实践
生成假设的最佳方式是三种不同类型的假设的组合。情报结合态势感知和分析师的领域专长将产生在发现环境威胁中更有可能成功的假设。这个过程应该例如追踪成熟度模型模型来指导。
假设的成熟度
不是所有的假设都是好的假设。以下示例说明了新手追踪人员与使用情报,态势感知和领域专长相结合的经验丰富的追踪人员之间假设成熟度的差异。
追踪人员在组织的其中一个业务部门的域控制器上运行的新文件识别出IOC告警。追踪人员会进行假设,即这个新文件也会在其他业务部门的域控制器上找到,并且在每个域控制器上去验证。
相比之下,更有经验的追踪人员也从Crown
Jewels
Analysis开始,研发网络的数据对于组织来说最重要。从情报报告中,追踪人员得知一个新的威胁组织已经从相似的组织窃取了专有的研究信息,而且该组织会使用类似于在域控制器上发现的恶意软件。因此,这个追踪人员会进行假设,即IOC是对手正在使用的多个文件之一,敏感的研究文件是对手的目标,并且可能会通过加密通信从网络中泄露。
好的假设地生成需要技术,支持回答问题的技术。假设必须是可测试的。如果假设不可测试,因为它们不是基于现实的,那么分析人员应该重新评估它们是如何产生和重新给假设排优先级别。然而,如果由于缺乏数据或分析工具而导致的假设不可测试,那么这是技术问题应尽快予以补救。分析师不能单靠自动化,而应该要求追踪平台的自动化。实质上,平台支持是威胁追踪人员进程的关键。
工具能支撑吗?
确定组织安全架构中是否存在问题的一种方法是,检查用于分析假设的工具。如果一个分析人员能够产生一个合理假设,而工具做出回答,这是技术问题。如果是由于缺乏适当的数据而无法回答问题,那么是收集数据的问题。同样,如果分析人员无法产生假设用于测试,他们可能是缺乏经验。
让分析人员参加技术培训,尤其是结构化分析培训(structured
analytical
training,http://chrissanders.org/2016/05/how-analysts-approach-investigations/),或将向他推荐社区资源,和其他追踪人员交流,例如作为“The
ThreatHunting Project”项目。
自动化能支撑追踪人员进行追踪的可重复和可持续。技术也有助于降低组织今天追踪的障碍。缺乏有领域专长的分析人员来对付目前观察到的所有威胁。平台可以帮助基于情报驱动和态势感知的假设,使得分析人员的能力增加。通过这个过程,这些威胁追踪人员也将成为更好的分析人员,随着时间的推移获得宝贵的领域专长。成功的追踪经验帮助追踪人员更成功。
假设生成只是发现对手的第一步。追踪人员必须小心,不要把这么长时间的焦点集中在假设生成上,而减小了调查的时间和机会。良好的假设导致了良好的追踪,但是防御者不得对追踪假设以及通过工具和技术进行测试感到胆小。失败往往是过程的一部分,它鼓励更好实践。实际上,许多追踪活动导致没有检测到新的攻击活动,因为该活动不存在。追踪是一个敏捷的过程,甚至“失败”的追踪增加了安全性。追踪人员不应该犹豫尝试新事物。威胁正在进化,但威胁追踪人员要充分利用其工具、数据集和分析技能以追踪威胁。
原文链接https://www.sans.org/reading-room/whitepapers/threats/generating-hypotheses-successful-threat-hunting-37172