洞見RSA 2021｜網路威脅狩獵——迴歸“樂趣”

威脅狩獵的過程就像網路世界中的“科學探索”，狩獵成功前需要進行大量繁雜的分析任務，例如複雜的資料查詢、大量手工資料關聯等。這些繁瑣的操作不僅影響效率，也降低了安全人員的戰鬥力。在2021年RSA大會上，來自IBM研究員提出了全新的威脅狩獵工具，可以有效降低狩獵過程中的繁瑣工作，使狩獵重新聚焦到其創造性和令人興奮的部分，實現樂趣迴歸。

一、威脅狩獵的痛點

“威脅狩獵”指採用人工分析和機器輔助的方法，針對網路和資料進行主動搜尋、關聯和分析，從而檢測出逃避現有安全防禦措施的高階持續性威脅（APT）。威脅狩獵過程中，安全人員主要思考和解決兩大類問題：

如何狩獵？

例如“如何從EDR查詢資料”、“怎麼提取資料欄位”、“如何補充線索的上下文資訊”、“如何使用機器學習模型”等。

 狩獵什麼？

例如“如何建立假設”、“如何基於假設進行分析”、“需要哪些威脅情報資料參與分析”、“哪種機器學習模型合適分析”等。

當前威脅狩獵的痛點在於：“如何狩獵”所花費的時間遠超“狩獵什麼”，但後者才是創造價值的重點。安全人員將太多時間浪費在閱讀各類EDR的API查詢介面上，而無法聚焦到對威脅狩獵更有價值的威脅假設和攻擊情節分析部分。

二、推薦“狩獵程式語言”-Kestrel

研究人員推薦了一個全新的開源專案“Kestrel”，可以降低安全人員在“如何狩獵”上的投入，將精力聚焦到威脅狩獵上。為了實現這個目標，Kestrel對面向威脅狩獵的程式語言進行了定義，可幫助使用者更高效的進行狩獵。

為幫助使用者將目標聚焦在狩獵上，Kestrel程式語言在設計理念上採用了方便狩獵目標描述的語法，有助於對狩獵目標實體進行表示。

三、推薦規範化資料格式-STIX

資料的標準化、規範化是威脅狩獵有效進行的關鍵，只有採用規範的資料格式才能從不同系統收集到統一的資料進行狩獵。來自IBM的研究人員推薦採用國際威脅情報標準STIX進行資料表示和共享。

為實現安全資料在不同系統之間直接的安全共享，IBM提出了Security Connect的概念，其核心技術之一是 STIX-Shifter 工程。該工程使用STIX(結構化威脅資訊表達Structured Threat Information eXpression )進行安全共享威脅資訊。在該工程中，STIX-Shifter能保持從所有 IBM Security 產品和各第三方產品中收到的資料的一致性。透過提供同一個通用API的通用服務，IBM如今可以跨任意資料來源查詢資料，無論資料來源是產品還是儲存倉庫，並收穫同樣的資料投入到分析和搜尋中。

四、如何構建威脅狩獵場景

研究員分享瞭如何基於免費工具進行威脅狩獵環境搭建的案例。案例中結合駭客攻擊的路徑，使用Sysmon、Sysflow、SIEM等軟體工具平臺，分別在攻擊者的釣魚郵件投遞、橫向移動、C&C聯絡通訊、資料訪問、資料滲出等過程進行資料監測和收集。收集到的資料經過規範化處理後，提供為威脅狩獵平臺。最終安全人員可以在威脅狩獵平臺上使用Kestrel進行威脅狩獵的分析。

五、總結與解讀

威脅狩獵進入實戰應用階段後，如何在實際操作過程中提升安全人員的狩獵效率是業內關心的問題。IBM研究人員推出的方案可以成為企業進行威脅狩獵的選項之一，該方案有很多亮點：

1、狩獵方案採用開源/免費軟體進行搭建，搭建成本降低；

2、狩獵場景基於駭客攻擊過程進行狩獵點設計和部署，在體系化建設威脅狩獵思路方面值得參考；

3、新推出的狩獵工具/語言Kestrel可以大幅提升溯源效率，讓安全人員脫離苦海。

Kestrel可以幫助安全人員降低異構資料資訊獲取、繁瑣基礎操作等方面的開銷，但仍是人工狩獵操作。接下來，如何基於攻擊線索的自動關聯儘可能實現威脅狩獵的自動化有望成為新的技術方向。