许多人对“威胁捕捉”(Threat Hunting)的概念都比较模糊,实际上,只要把它想象成“捉迷藏”游戏就能很容易理解这个概念的本质。与捉迷藏的区别在于,威胁捕捉是在网络中的敌我双方对抗,而且这是现实,不是游戏。
在捉迷藏游戏中,首先要给予被捉者一定的时间,好让其藏起来。在网络世界里,意味着防守者往往不能在第一时间发现闯入者。然后,被捉的一方尽量会在非常难以发现的地方把自己隐藏起来。同样,网络攻击者也会找地方潜伏。防守者则需要敏锐的视觉、听觉(检测分析),以及快速的捕捉能力(响应),才能赢得这场游戏(对抗)。
拥有一套良好的检测与响应工具,可以极大程度地助力分析人员,在数以GB甚至是数以TB、PB的海量数据中开展威胁捕捉工作。这就是XDR的概念得以出现的原因。
何为XDR?简单的来说,可以理解为传统的端点检测与响应,即EDR的扩展和增强版。它提供了一种攻击的检测模型,横跨各种端点、网络、SaaS应用、云基础设施等各种可以处理的网络资源,为所有的网络层和应用程序堆践提供可见性,同时具备高级检测、自动关联和机器学习能力以发现事件,而这些事件往往是传统的SIEM无力发现的。除此之外,XDR还可有效降低长期折磨安全人员的大量警告嗓音。
XDR的优势:
通过收集正确的数据并基于上下文信息转化数据,最大化数据收集的效率
基于机器学习和高端复杂的行为模型识别隐藏威胁
在所有的网络层和应用程序堆践中识别并关联威胁
提供精准警报以最小化安全调查的疲劳度
提供必要的取证能力,整合多种威胁信息,绘制整个攻击画面。帮助安全人员快速完成调查工作,同时对入侵指征(IoC)有着高度的信心。
从组织的角度来看,XDR可以帮助安全团队防范已知威胁,发现新的威胁,增强整体安全流程。借助XDR,安全人员可以成为一个更好的“捉迷藏”者,找到并揪出隐藏者。
威胁捕捉是在网络、资产和基础设施中,面向过程的信息处理和搜索工作,以发现那些能够规避现有安全防范措施的高级威胁。防火墙、入侵检测和日志管理这些传统的安全手段,往往在面临未知威胁时手足无措。而威胁捕捉则站在更高的层面应对威胁。网络中隐藏着着哪些传统安全工具难以发现的威胁?如何找到它们?在传统的网络环境中,很难仅凭一套日志关联或安全解决方案来发现潜在威胁,而XDR假定网络已经被入侵,威胁已经存在,并主动的进行识别和采取行动,这正是XDR的价值所在。
深入日志文件和访问请求
威胁捕捉与XDR结合能够对已收集的数据进行更好的检测,包括更深度的日志文件和访问请求,以及处理对来自应用控制和网络的事件关联。检测之后就是自动化响应,以控制或缓解检测到的威胁。判断一个威胁是否真正存在,需要考虑以下三种情况:
通过机器学习实现的高级分析:行为或者外部事件可以用来风险评级,并判断是否一起高风险事件正在发生
态势感知:分析高价值目标,包括数据、资产、员工等,发现异常行为和非正常请求。
情报:把威胁模式、威胁情报、恶意软件、会话,以及资产漏洞信息关联起来,以得出结论
因此,成功的威胁捕捉需要满足以下7个条件:
需要整合类的工具,如XDR,以收集适合识别模型的数据。安全数据越多越好,但要注意过滤、清洗或抑制额外的数据。
风险评估、入侵检测和攻击防护等工具要保持更新并正常运行,否则不仅第一道防线失守,而且这些工具收集的数据也变得不可信。
信息资源要通过用户账户和主机名可靠的关联起来,否则DHCP甚至是时间同步都会造成IP的变化,从而影响判断。
打造数据模型要准确的识别核心资产和敏感账户,包括监测它们的使用,谁在使用,以及使用行为。
基于重大入侵事件建立威胁假设,如果攻击者这样做,业务是否能够恢复,造成的损失有多大?
诸如网络拓扑、业务流程描述、资产管理等文档,非常重要。结合XDR的威胁捕捉依赖人的因素来关联真实的业务信息,没有基于对真实业务的信息工作流映射,就无法做到真正的威胁模拟。
对威胁的自动化响应要成为标准工作流程的一部分,并保证其安全。如果采取的响应措施是隔离某项资产或改变防火墙的配置,自动化响应的本身要保证安全可靠,以免被利用,比如拒绝服务。
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。