14、信息安全专业的多维度洞察

信息安全专业的多维度洞察

1. 基于机器学习的威胁狩猎

在当今的网络安全领域，组织采用了多种方法来增强防御能力，其中“威胁狩猎”是一种有效的手段。它能够发现传统基于 SIEM 的工具通常无法检测到的高级威胁。威胁狩猎借助分析模型，在环境中搜索攻击者的战术、技术和程序（TTPs）。攻击者的 TTPs 常源自妥协指标（IoCs），如与威胁行为者或恶意软件相关的 IP 地址、受感染的域名、恶意软件签名和行为等。

通过一个案例可以更好地理解其应用。有一个恶意扩展程序被上传到谷歌应用商店，它营造出可信的假象，诱使用户下载，进而导致用户的遥测数据和其他敏感信息（包括凭证）被泄露。该扩展程序安装成功后，会读取敏感信息并与外部连接，以实现数据泄露或重定向到广告/活动的目的。

在检测过程中，最初的触发点是为战术 TA0011 创建的高级检测模型。此模型检测到向一个进行持续信标活动的实体（IP）的异常连接。基于这一发现，我们启动了预案，并借助 MITRE 框架的其他技术/战术（如使用进程注入、可疑进程、特权命令执行等模型）进行调查，验证了其他战术（如 T1176、T1503 和 T1185），确定该活动确实是恶意的。通过检测，我们成功阻止了攻击进入威胁生命周期的下一阶段，即收集（T1056）和影响（TA0040）战术阶段。

通过关联 ATT&CK 框架中的各种 TTPs，并利用威胁狩猎机器学习模型，我们能够在早期成功检测到攻击，防止潜在的安全漏洞。同时，我们还能在网络中识别出谷歌应用商店中的恶意应用。

如今，利用人工智能和机器学习进行异常检测在行业中越来越普遍，用于发现未知的攻击和威胁。随着机器学习的应用，新技术和产品将从传统的用例检测转向高级威胁狩猎