威胁狩猎简介<译文>

2019独角兽企业重金招聘Python工程师标准>>>

什么是威胁狩猎

威胁狩猎也被叫做威胁搜索、网络狩猎或者网络威胁搜索，他不同于apt攻击或者红蓝军渗透测试这类模拟攻击者攻寻找黑入IT设施漏洞的行为。

在威胁狩猎中，安全专家们会打破常规化身为狩猎者。在一次威胁狩猎中，狩猎者们会预定一个风险假设：IT设施已经被攻击者成功控制，而狩猎者会主动开展寻找IT环境中安全威胁的行动。

随着多个供应商都提供某种类型的威胁狩猎服务，甲方安全从业者可能想知道：威胁狩猎是真的能给公司带来好处?还是仅仅是一种时尚?

这个问题的答案也非常简单：威胁狩猎并不是基于浮华的安全技术的自娱自乐，它是一个严肃的并基于信息安全的基本原则之一：检查IT设施以发现恶意活动或误操作的安全审计行为。

而企业通过开展威胁狩猎的行动，可以了解到IT设施是否真的受到了恶意攻击。

如何进行威胁狩猎？

为了帮助安全专业人员更好地促进威胁狩猎，接下来会一步一步的指导如何进行威胁狩猎。

1。内部团队还是外包团队

如果决定进行威胁狩猎演习，首先需要决定是使用企业内部的安全团队还是将其外包给乙方的安全服务提供商。

如果公司内有老练的安全人才能领导一次威胁狩猎行动。企业必须保证内部的安全团队必须将所有的精力都花在这次行动上，不要增派其他任务。

如果内部团队时间或者资源有限，可以考虑采购外部安全团队的威胁狩猎服务

2. 初期计划

无论是内部安全团队还是外部安全供应商，威胁狩猎都是从完备的计划开始的。这里要注意一些坑：

1. 组织一次威胁狩猎行动必须对公司安全建设是最有价值的，不能为了威胁狩猎而狩猎。
2. 实施一次威胁狩猎如果参照消防演习，每个步骤都是预先安排好的，那么这种狩猎行为是不会有任何效果的。
3. 制度一个好的计划是能在时间上确保威胁狩猎不会干扰公司其他部门的日常工作的，毕竟威胁狩猎不是一次团建活动。

3. 建立目标

接下来，狩猎团队需要一个假想的风险点作为“猎物”，在确定这个“猎物”之后执行安全行动以肯定或者否定这个“猎物”是否真的在当前的IT设施中存在。

例如，狩猎团队可以假想公司被apt团队控制了若干IT资产，并且apt团队使用了诸如基于PowerShell的无文件恶意程序来躲过公司当前的安全策略（不仅仅考虑0day攻击或者钓鱼攻击方式，也同时要考虑服务器或pc目标被控制）。

4. 风险假设

在确定目标后狩猎者们需要建立一个风险假设。例如在狩猎行动中，假设定位IT设施中存在无文件的恶意程序，而本次行动的“猎物”是找到使用PowerShell或WMI等技术进行攻击的黑客。

但是如果收集当前IT设施所有PowerShell进程的数据将使狩猎者们需要审计海量的数据，而分析海量数据最终很可能导致狩猎者们遗漏了关键性的恶意数据最终导致无功而返。

所以狩猎者们需要一种先进的方法来检验“猎物”是否真的存在。

狩猎者们可以这么假设:狩猎者们知道公司只有少量的PC使用者和服务器管理员使用了PowerShell来进行日常操作，因为由于PowerShell并没有在公司中广泛使用，所以狩猎者可以假设正常情况下系统中只看到PowerShell的有限使用量。

如果狩猎行动中分析的结果呈现出大量的PowerShell使用量则很可能表明IT设施中存在恶意行为。

所以本次行动检验狩猎目标的一种可以采取的方法是测量PowerShell的使用量作为潜在恶意活动的特征，如果PowerShell的活动量超过正常情况下的阈值，就可以说明风险假设有存在的可能性。

5. 信息收集

如果PowerShell的数据量超过了阈值狩猎者就可以开始进行数据收集活动。

针对PowerShell的活动量，狩猎者们需要通过检查网络日志和数据库日志、服务器日志、Windows事件日志中找到的终端数据。

而弄清楚PowerShell在特定环境中的行为特性，狩猎者将大量收集数据：包括进程名、命令行文件、DNS查询、目的地IP地址和数字签名。

而收集的这些数据将允许狩猎团队构建跨不同数据类型的关系图并勾勒出关系图谱（参考图数据库）。

6. 数据的重组

一旦数据被收集完毕，狩猎者们需要确定他们将使用什么工具来组织和分析这些信息。

可以采用的技术包括SIEM中自带的报表工具、第三方分析工具，甚至使用Excel来创建数据透视表和排序数据。随着数据的重组，狩猎者们需要能够挑选出IT设施中的趋势。

在回顾公司的PowerShell使用的例子中，狩猎者们可以将事件日志转换成CSV文件，并将它们上传到终端分析工具。

7. 将狩猎任务自动化

有关自动化的部署可能会使一些安全产品开发者下岗:)。然而，我们要知道自动化部分审计任务是狩猎团队成功的关键。

开发自动化工具一个重要的原因是：虽然分析师可以手动挖掘DNS日志并构建数据库，但是这个过程非常耗时，并且经常导致错误，这让狩猎者无法专心于那些只有人力能完成的分析工作。

狩猎团队可以自动化一些重复性的任务就可以让狩猎者们从繁琐的“手工”查询大量网络和终端数据的这种繁琐任务中解脱出来的，专心的挖掘系统中可能存在的那些机器无法发现的威胁特征。

例如：狩猎者们可以使用能自动搜索使用DGA（域生成算法）的自动化工具，这样狩猎者们便可以从重复的动静态分析中解脱出来，专心于追踪DGA的后台控制者。

8. 总结行动并制定行动计划

狩猎者现在应该有足够的数据来检验他们的风险假设，知道他们的IT设施中发生了什么，并采取安全行动。如果发现有人违反安全措施，事故响应小组应该接管并补救这个问题。如果发现任何漏洞，安全团队应该解决它们。

例如PowerShell，我们假设检测到恶意的PowerShell活动。除了告警事件，安全团队或IT管理员还应该在Windows中设置安全策略以防止PowerShell脚本的执行。

总结:

传统的安全防御平台有一个巨大的缺陷，如果平台部署到巨大的IT设施的中会出现安全审计数据量过大的情况，最后往往导致安全问题审计如大海捞针，而恶意的渗透攻击又往往是是隐藏很深、复杂多变的恶意行为，安全平台的规则如果更新不及时或者遗漏等情况，会纵容攻击者长期的潜伏。

所以现实情况中，一旦IT设施发展到一定程度，传统的安全平台会存在大量的误报，导致安全部门人员手足无措，出现安全失效的风险。

而威胁狩猎分析的是攻击者的特征，从攻击者的角度看待问题，将攻击者可能产生恶意特征结合IT设施提前的分析出一个假设，针对这个假设确定分析的数据集、恶意的特征值，大大加强了对攻击者的针对性以及审计的精准度。

参看某司威胁狩猎负责人博客：http://pirogue.org/

转载于:https://my.oschina.net/9199771/blog/1975826