實現主動威脅狩獵的七種方法及其特點分析

在數位化的世界裡,每個組織都必須具備在危險環境中航行的能力,這需要由他們的守護者——網路安全專業團隊來守護。在這場沒有終點的攻防博弈中,開展主動威脅狩獵活動是一項重要的安全實踐,它使防御者能夠先發製人,破壞對手精心佈置的攻擊計劃,將安全團隊從被動應對攻擊的哨兵轉變為主動發動攻擊的網路戰士。

威脅狩獵是一種主動且永續的網路安全方法,旨在識別和緩解威脅,避免其對組織造成重大危害。與依賴反應性技術(如基於簽名的檢測或事件響應)的傳統安全措施不同,威脅狩獵的核心是基於假設妥協的原則,鼓勵安全專業人員採取更主動和持續的監控方法,尋找到可能已經避開傳統防禦措施的威脅痕跡和證據。

組織實施威脅狩獵計畫的核心目標就是縮短出現危險和完成攻擊之間的時間差,也就是所謂的「停留時間」。當攻擊行為者在企業環境中停留的時間越長,他們可能造成的傷害後果就越大。更確切地說,威脅狩獵需要能夠發現傳統安全工具未偵測到的風險,並幫助企業分析和提高現有威脅偵測機制和流程的有效性,提出合理的安全性最佳化建議。此外,它們還需要能夠辨識新的攻擊手法、戰術、技術和程序(TTP),從而發動全新的威脅處置任務。

為了幫助組織更有效地進行威脅狩獵工作,本文收集整理了目前應用較廣泛的7種威脅狩獵方法,並對其特點進行了分析:

1.基於假設的威脅狩獵

由假設驅動的威脅狩獵類似於偵探的工作,主要透過細緻的調查發現威脅並檢驗它們。在這種方法中,威脅獵人(安全分析師)會運用所掌握的攻擊者行為知識,並利用MITRE ATT &CK 框架作為他們的行動指南。這個框架詳細闡明了攻擊者所採用的戰術、技術和流程,幫助威脅獵人有針對性地搜尋潛在的攻擊行為。

基於假設的威脅狩獵方法,其最大的價值在於它能夠有效地引導流程化的狩獵活動,專注於運用已知的技術,去發現特定的攻擊者行為。它提供了一個結構化和主動的方法,使獵人保持領先的潛在威脅搜索,並持續調整優化組織的防禦。透過不斷設定新的威脅假設和納入新的情報,威脅獵人可以更有效地預測和打擊他們的網路對手。

2.基於異常行為的威脅狩獵

相較於基於假設的威脅狩獵活動,以識別異常行為為基礎的威脅狩獵則採取了一個獨特的狩獵路徑,強調對網路內的異常行為進行識別。其狩獵目標將會更加全面和廣泛。基於異常行為的威脅狩獵需要建立一個代表正常活動的行為基線,並在出現偏離時發出警報和提醒。這種方法需要大量利用機器學習的能力來偵測可能預示潛在威脅的異常行為模式。

基於異常行為分析的威脅狩獵的優點在於它能夠發現一些未知的新威脅。透過對比網路中的規律性模式和安全行為基線,可以迅速識別和調查出現的行為偏差。這種方法在偵測內部威脅或新型複雜網路攻擊時特別有用。

不過要說明的是,基於異常行為的威脅狩獵也存在著許多挑戰,例如如何有效區分真異常和良性異常就是一項非常複雜的任務。威脅獵人也必須投入大量的時間和精力來不斷優化其偵測機制,以最大限度地減少誤報,確保他們的調查重點是那些真正的威脅。

3.與簽名無關的威脅狩獵

組織在尋求威脅偵測的過程中,一些與簽名無關的狩獵活動會讓安全分析師脫離了常規的監測路徑,此時需要大膽地超越傳統的基於簽名的威脅偵測方法。簽名不可知的威脅狩獵活動挑戰了預先定義的偵測規則和簽名的局限性,能夠發現那些動態變化中的模糊威脅。在這種狩獵模式下,要求威脅獵人仔細檢查大量的安全指標,包括可疑的行為模式、惡意程式碼片段以及出現異常的網路設施。

這種方法的優點在於它能夠偵測出目標性很強的APT威脅。攻擊者通常採用自訂惡意軟體、零日漏洞或混淆技術來逃避基於簽章的防禦措施。透過尋找簽章特徵以外的特徵,威脅獵人可以識別出與任何已知模式都不匹配的惡意攻擊,因此對發現APT攻擊以及一些不斷調整攻擊手段和戰術的複雜攻擊特別有效。

與簽名無關的威脅狩獵要求威脅獵人對攻擊者的技術有非常深入的了解,並有能力分析多種安全資料和指標。它要求威脅獵人能夠像攻擊者一樣思考,預測他們的行動,並根據他們的潛在行為和意圖來偵測威脅。

4.以情報為導向的威脅性狩獵

以情報為導向的威脅性狩獵主要利用集體知識的力量,將大量的威脅情報轉化為組織的主動防禦能力。在這種方法中,威脅獵人需要廣泛利用從各種來源所獲得的威脅情報,包括廠商通報、安全研究機構、安全社區,以及一些暗網監測平台。透過收集和分析關鍵入侵指標(IOC),例如惡意IP位址、網域或檔案哈希,威脅獵人可以主動搜尋組織內特定威脅的存在或潛在影響。

有一個典型的狩獵場景:威脅情報源向威脅獵人發出警報,提示攻擊者已經開始在針對性的攻擊中使用了一種新的惡意軟體。以情報為導向的威脅狩獵將全面分析這種惡意軟體的特徵,例如它的命令和控制基礎設施或獨特的網路簽署。然後,威脅獵人就會在企業的網路環境中主動尋找這些指標,並偵測任何妥協或正在進行的攻擊跡象。

以情報為導向的威脅狩獵方法主要優點在於它能夠提供狩獵活動的背景和重點。透過了解特定威脅者的戰術、目標和工具,獵人可以設計出更有針對性的偵測策略。這種方法還可以實現安全社區內的協作和資訊共享,共同加強防禦並破壞對手的活動。

5.基於攻擊者畫像的威脅狩獵

以攻擊者畫像為基礎的威脅狩獵將威脅獵人的工作重點聚焦到對主流威脅團體的廣泛特徵研究。在這種方法中,獵人研究和分析特定威脅團體或攻擊事件中所採用的方法、技術和流程(TTP)。透過了解這些活動中使用的行為、工具和基礎設施,威脅獵人可以設計有針對性的偵測策略。

例如,一個以網路釣魚攻擊和使用自訂惡意軟體而聞名的威脅行動者團體可能會成為基於攻擊者畫像的追捕對象。獵人會深入研究該組織先前的攻擊,剖析他們的TTP,並確定與他們先前攻擊事件相關的獨特模式或基礎設施。然後,這些知識將被用來設計旨在偵測組織網路內的類似攻擊模式的威脅搜尋。

以攻擊者畫像為基礎的威脅狩獵可以讓威脅獵人在持續且有針對性的威脅面前保持領先。透過了解對手的攻擊行為和動機,威脅獵人可以相應地調整其偵測策略,加強對特定威脅行為體或活動的防禦,降低組織的風險性。

6.自動化威脅狩獵

自動化的威脅狩獵活動可利用安全協調、自動化和回應(SOAR)工具以及安全分析平台的功能,簡化威脅偵測流程。這種方法利用AI技術有效率地分析大量資料、識別威脅模式並偵測潛在威脅。而自動搜尋規則和機器學習模型可用於持續監控組織的網路環境,並在偵測到可疑活動時觸發警報。

自動化威脅狩獵的優點在於它的速度和可擴展性。由於大幅減少了手動分析所需的時間和工作量,使安全團隊能夠專注於更高層級的任務和策略決策。

7.協作式威脅狩獵

協作式威脅狩獵方法強調安全社區和情報資訊共享的力量。在這種方法中,威脅獵人應該認識到,沒有一個組織是完全封閉的,而透過聯合力量,他們可以集體加強他們的防禦。透過與同行合作,參與資訊共享社區,並利用威脅情報平台,威脅獵人可以獲得更廣泛的知識和建議。

協作式威脅狩獵能夠促進對抗網路威脅的統一戰線。它使每個組織都能夠利用安全社區的集體經驗和專業知識,增強他們檢測、回應和防止各種攻擊的能力。透過團結一致,威脅獵人能夠加強了其組織的威脅監測能力和整體安全態勢。