专家谈及网络威胁的细分时,通常会提及二八定律(又名80/20定律、帕累托法则(定律)也叫巴莱特定律、最省力的法则、不平衡原则等,被广泛应用于社会学及企业管理学等。)。二八定律的概念为:80%的网络威胁攻击者通常比较“低能”,而剩下20%则非常先进,如果给定的时间和资源充足,这20%的攻击者可以入侵任何网络。
网络“狩猎”新范式
从历史上来看,国防和情报界主要关注那20%的网络攻击者。然而,如今商业化恶意软件的兴起让传统 “菜鸟级”攻击者也能使用先进技术。
例如,2006年,WebAttacker漏洞利用工具提供了一套任何威胁攻击者都能操作的工具套件。在这种新范式下,我们要认清三大真相:
- 不可能防止所有的攻击。
- 企业网络难免会遭遇攻击。
- 不存在100%的安全
大多数安全从业人员都明白,良好的网络习惯和边界网络安全将缓解底层80%的攻击者。在安全运维中心(SOC),阻止和处理技术可以应对超过90%的攻击者。而那剩下的10%,就属于威胁狩猎的领域。
人工分析师可以调查数据源找到单靠机器无法检测到的威胁证据。例如,寻找异常的分析师可以发现对手的指示器(Indicator),以及执行攻击者的部分杀伤链,并在对方采取行动前加以阻止。
威胁狩猎新手需了解的注意事项
当创建威胁狩猎计划时,组织机构应牢记三件事:
- 需求是什么?
威胁狩猎的基础是安全信息和事件管理(SIEM)解决方案,该解决方案在网络内适当聚合内部结构化数据。威胁情报信息允许组织机构对比外部威胁指示器(Indicator),并理解威胁格局。
此外,还要增加统计分析引擎和情报分析工具。分析师可通过统计分析根据数学模型发现异常,而不是规则引擎。情报分析工具可以使相关数据可视化,以便分析师围绕实体、联系和财产进行关联。
- 需要哪些人才?
威胁分析师是威胁狩猎从业人员。威胁分析师通常被称为“三级分析师”,他们具有信息安全、取证科学和情报分析相关的技能。因为具备这些技能,三级分析师能主动根据情报需求积极发现威胁,并直接展开调查。 - 怎么做?
执行威胁狩猎最重要的起点是建立优先情报需求(PIR)。PIR需求基本上都是领导层寻求的高层次问题。
你可能想知道,自己是否遗漏了隐藏的威胁。若是如此,具体信息需求(SIR)可以帮助回答以下问题:
众多低级警报何时连接到同一指示器(Indicator)?
30天至90天之前,新威胁情报指示器(Indicator)在哪里与日志匹配?
通过以前从未见过的命令执行的远程访问会话在哪里?
威胁狩猎者通过这些问题可以了解重要情报,以解决高层次的问题,并破坏先前未知的复杂威胁。
奠定基础
刚开始涉足威胁狩猎的公司应了解上述基本概念,并在成熟时增加更多功能。使用正确的工具和配备有技能的员工至关重要。通过适当的技术、人员和可操作的威胁情报,组织机构可以填补安全空缺,并保护网络免于遭受“藏在暗处”的恶意攻击。
