洞見RSAC | 什麼是威脅狩獵的正確“姿勢”？

威脅狩獵依舊是2021RSA的熱門話題，企業往往透過威脅狩獵發現已知遺漏威脅和未知威脅。本文結合2021RSA內容，總結了威脅狩獵的基礎知識，並分享了綠盟科技的威脅狩獵體系。

一.  概述

網路攻擊技術和方法不斷升級換代，攻擊者從指令碼小子、黑產犯罪團伙向國家級組織演進，攻擊能力不斷提高，攻擊技術不斷升級；威脅利用也從已知到未知不斷髮展變化。我們在NSA武器庫洩漏事件中發現，AI技術的普及以及服務雲化等技術讓攻擊門檻越來越低。隨著攻擊技術的演進，防守方也需要升級自身的防禦方案。

 

SANS網路安全滑動標尺模型把整個安全建設劃分為五個階段：架構安全、被動防禦、主動防禦、威脅情報和反制。為了應對日益嚴峻的網路安全挑戰，越來越需要防守方將自身安全建設從被動防禦轉換到主動防禦、反制等主動安全的方向上來，威脅狩獵技術應運而生。

 

【圖】SANS網路安全滑動標尺模型[1]

二.  從RSA2021看威脅狩獵

威脅狩獵是一種主動識別攻擊痕跡的方法。有別於SOC、IDS、滲透測試和掃描，由威脅獵人利用威脅分析工具、威脅情報和實踐經驗來積極篩選、分析網路和端點資料，尋找可疑的異常或正在進行的攻擊痕跡，去證明威脅假設。

從威脅狩獵的方法論來講，威脅狩獵包含如下過程：

 

【圖】威脅狩獵流程[2]

 

l威脅假設：威脅獵人可以依賴於對自身資產的瞭解結合全網威脅情報對可能出現的高風險資產遭受的攻擊進行假設；

l攻擊工具/技術調查取證：利用已收集的資料結合威脅情報，使用視覺化、資料統計分析等方法對資料集進行挖掘與分析，獲取攻擊者的已知的或未知的攻擊工具和攻擊技術；

lTTP發現與轉換：狩獵的關鍵部分，結合威脅模型對已發現攻擊者的攻擊工具和攻擊技術進一步挖掘，發現攻擊者的TTP。

l持續改進與自動化處置：上述步驟基本上都是由威脅獵人發起並參與的，發現已知或未知威脅的過程可以透過自動化處理，並改進狩獵過程。最終將整個狩獵過程標準化、程式化，形成完整的自動化TTP情報發現機制。

基於上述狩獵過程，透過不斷的迴圈、迭代，形成越來越多和越來越完善的高階情報生產流程。

基於上述的威脅狩獵過程依賴於威脅資料，收集終端的運算元據、IDPS、WAF的告警資料、全流量裝置的流量特徵資料、威脅情報資料等等這些資料都是威脅狩獵過程中的基礎。研究員需要從這些資料中分析出攻擊者的戰略、戰術目標。

為了評估狩獵過程的成熟度，引入了狩獵成熟度模型。資料驅動的威脅狩獵成熟度模型是基於威脅狩獵框架，從資料收集能力、資料分析能力和自動化程度來評估威脅狩獵能力。

lHM0：有基本的IDPS威脅資料，但是資料並沒有匯聚在一起。幾乎無法分析；

lHM1：能夠把安全裝置的告警資料匯聚在一起，但是沒有更深一步的分析能力；

lHM2：對收集的資料能夠使用工具進行分析及基礎的安全假設，並使用情報資料進行威脅狩獵；

lHM3：能夠建立有效的流程使用系統、工具，對收集的威脅資料基於威脅情報進行關聯查詢，對威脅進行狩獵；

lHM4：在HM3的基礎上最大程度的使各個流程進行自動化，儘量減少人員的參與。

  

【圖】威脅狩獵成熟度分級[2]

 

威脅狩獵技術路線大致可分為兩類：基於流量進行狩獵和基於主機進行狩獵。RSA 2021大會中由來自美國的DLP廠商的CISO Tim Bandos分享的《Hunt and Gather:Developing Effective Threat Hunting Techniques》主題，介紹了一個從無到有，怎樣基於Sysmon、Shimcache、Autorun等主機側的系統工具建立威脅狩獵體系。

自動化程度是威脅狩獵成熟度的標誌性特徵，怎樣從手工狩獵達到自動化狩獵呢？IBM的兩位研究員推薦一個開源專案Kestrel，一種用於威脅狩獵的程式語言，提供了一套對狩獵目標進行描述的表達語法，威脅獵人只需輸入狩獵目標，Kestrel會實時輸出狩獵結果。Kestrel提高了自動化狩獵的程度，幫助威脅獵人進行更高效地狩獵。

【圖】 “狩獵目標”表達語法示例[3]

三.  綠盟威脅狩獵體系

綠盟科技有著豐富的攻防經驗，對威脅狩獵有著自己獨特的理解和落地方式，下面會詳細介紹綠盟的威脅狩獵體系。

3.1 綠盟威脅狩獵的迴圈和過程

威脅狩獵的核心首先是人，然後是資料，最後是自動化。綠盟科技能創中心，在威脅狩獵理論基礎上加入了威脅誘捕和反制能力環節，透過對攻擊者進行反制能夠更充分的瞭解到攻擊者的戰略意圖和戰術目的，從而豐富和增強情報資料。狩獵活動基於經驗、情報和資料三個維度驅動。綠盟科技在雲端完整的執行了一套威脅狩獵流程，不斷的增加狩獵規則完成狩獵過程，最終形成狩獵成果。

3.2 綠盟威脅狩獵體系

基於威脅場景的假設首先要建立在完善的狩獵體系中，才能在體系中進行後續的狩獵過程。綠盟科技威脅情報中心，依託完整的安全產品線裝置和健全的安全服務能力建立完整的狩獵資料基礎，藉助多年積累的威脅情資料，結合安全研究院對攻防的理解和經驗形成的知識庫，建立完整的威脅狩獵體系，支撐從行為、風險、環境等多個維度進行威脅狩獵。

3.2.1 基於假設的線索關聯圖分析

威脅假設並不是憑空進行假設，而是將資產、環境、知識、行為、告警、情報等資料，透過關聯分析找出線索，使用線索進行威脅假設。

通常，資料中會包含攻擊者攻擊的結果、目標和使用手法，這些資料無序的分佈在浩瀚的資料中。將所有的資料的威脅特徵、行為特徵結合產生的環境進行特徵抽取和資料歸一，結合知識庫和情報資料對威脅資料進行關聯並提取可疑線索。線索包括攻擊者的所處環境、使用手段、攻擊技術等特徵。研究人員透過這些線索特徵大致推斷攻擊者的意圖，並對威脅場景進行假設。

 

3.2.2 情報知識庫建立

綠盟科技威脅情報中心，依託多年的攻防經驗和安全資料，基於知識組織層次模型進行情報知識庫構建，自頂而下定義情報知識庫框架，分為資訊層、知識層和智慧層。

1) 資訊層作為知識庫的基礎，基於STIX2.0表示方法，使用雲沙箱，威脅告警規則形成基礎的知識庫資訊層。資訊層抽象出21個知識本體和963481個知識實體；

2) 知識層利用MITRE定義的ATT&CK框架利用資訊曾資料，將攻擊模式、威脅指示器、惡意程式碼、戰役等情報資料進行關聯抽象形成知識層；

3) 智慧層描述了每次狩獵過程中驗證完成的威脅主體（攻擊者/組織），包括威脅主題的戰略戰術、影響和危害。

3.2.3 全球誘捕系統

透過在全球範圍內部署威脅誘捕系統，對攻擊者/組織進行全方位的誘捕和監控。誘捕資料結合知識庫透過威脅研判和分析，對已知攻擊者進行實時監控，對未知攻擊者進行及時發現。誘捕節點遍佈世界五大洲，涵蓋了20多個國家，致力於透過部署在不同的地區，更加全面的捕獲威脅攻擊，增強威脅狩獵能力。

3.2.4 威脅狩獵系統

綠盟科技威脅狩獵系統的目標是能夠讓Hunter（威脅獵人）在一個統一的自動化平臺上使用海量威脅資料完成威脅狩獵過程。使用工作平臺檢索威脅資料，結合知識庫發現威脅關鍵線索，利用線索進行威脅假設，結合全球誘捕系統進行威脅狩獵系。狩獵成功後，將發現的已知或未知的威脅和影響範圍以情報的方式輸入至綠盟威脅情報平臺。並將攻擊者資訊作為全球誘捕系統的輸入對攻擊者進行持續監控。

四.  結語

威脅狩獵是一個重要的威脅發現過程，狩獵的結果可以作為高可靠的情報供企業進行安全防護和威脅監控。綠盟科技情報中心自成立以來一直致力於對威脅的發現和感知，透過自研情報資料來源、交換情報資料來源、開源情報資料來源每天產生超過千萬級的高質量情報資料。威脅狩獵是自研情報資料來源的重要一環。相信這些高質量的情報資料能夠為廣大客戶的安全能力帶來新的提升。

綠盟威脅情報中心（NSFOCUS Threat Intelligence center, NTI）是綠盟科技為落實智慧安全3.0戰略，促進網路空間安全生態建設和威脅情報應用，增強客戶攻防對抗能力而組建的專業性安全研究組織。其依託公司專業的安全團隊和強大的安全研究能力，對全球網路安全威脅和態勢進行持續觀察和分析，以威脅情報的生產、運營、應用等能力及關鍵技術作為核心研究內容，推出了綠盟威脅情報平臺以及一系列整合威脅情報的新一代安全產品，為使用者提供可操作的情報資料、專業的情報服務和高效的威脅防護能力，幫助使用者更好地瞭解和應對各類網路威脅。

·   參考文獻   ·    

[1]【公益譯文】網路安全滑動標尺模型–SANS分析師白皮書，綠盟技術部落格，http://blog.nsfocus.net/sliding-scale-cyber-security/

[2] WHITE PAPER A Framework for Cyber Threat Hunting，@sqrrl

[3] RSA 2021 《Introducing Kestrel:The Threat Hunting Language》