摘自:《网络安全技术和产业动态》2022年第3期,总第21期。

威胁狩猎(Threat Hunting)是指借助威胁数据、分析技术和专家经验,主动搜索、识别网络中未知威胁的过程,其核心思想是假设存在威胁,并开展主动和持续的搜索发现,以缩短发现攻击者踪迹所需时间和提高响应处置能力。

威胁狩猎是一个持续性、闭环的主动防御过程。狩猎团队基于网络中的异常情况,以安全假设作为狩猎的起点,借助工具、分析技术和攻击框架展开调查发现新的TTP(战术、技术和过程,Tactics Techniques Procedures,是描述APT组织及其攻击的重要指标)。除触发事件响应外,威胁狩猎会将新的TTP添加到分析平台或者安全管理平台。每一次威胁狩猎活动都可以拓展其发现能力,进而使得狩猎能够发现更广泛更多样的攻击。

0发展情况

随着网络攻击技术的演进,攻击者不断更新武器库,使用无文件攻击、高级持续性威胁(Advanced Persistent Threat,APT)攻击等手段绕过现有的防御体系,进行隐秘攻击。未知威胁具有攻击手段多、驻留时间长、检测难度高等特点。网络攻击者也趋于组织化、军事化,攻击技术趋于专业化、武器化,攻击动机趋于经济化、政治化。

传统的安全解决方案是先部署安全防护设备,后根据报警信息进行分析和处置,这种方案能够比较好地防御已知攻击,但是对于未知威胁、甚至已经入侵成功并在系统中驻留的攻击缺乏有效发现手段。因此,防御者只有从以往的被动响应转向主动发现,通过不断学习攻击者的攻击手段,主动分析查找入侵痕迹,才能缩短攻击者的驻留时间,最大程度的减少攻击者对组织的危害。

2011年,时任通用电气计算机事故响应小组(General Electric Computer Incident Response Team,GE-CIRT)总监Richard提出需要使用一种基于主动检测和响应的创新方法来应对未知威胁,即威胁狩猎。该方法由安全专家组织狩猎团队,通过数据和自动化分析寻找攻击者踪迹,并将其纳入分析流程中。威胁狩猎提出后引起行业浓厚兴趣,尽管在威胁狩猎的定义、目的等方面存在不同的观点,但行业内基本认同威胁狩猎是一种基于假设、验证和测试,寻找未知威胁的迭代安全分析方法。

目前,威胁狩猎已形成一些方法论和理论框架,相关机构/公司已推出体系化的威胁狩猎工具集、平台和服务,如MITRE、JPCERT/CC和Sqrrl等机构/公司创建了狩猎方法及相应的狩猎平台。此外,活跃的开源社区提供了能够拓展开发的初步体系架构,包括:Splunk App Threat Hunting和HELK为代表的开源威胁狩猎平台,Kestrel为代表的威胁狩猎编程语言,以及其他数据收集、分析和威胁模拟工具。

威胁狩猎活动由“假设”所驱动,并且是针对具体特定目标进行的,这种假设有三种来源:数据分析、关键资产分析和情报分析。从实施角度看,一次威胁狩猎过程可划为六个步骤:

1.目的确认,明确狩猎的目的和预期的结果;

2.范围确认,明确目标、数据、技术手段和假设用例;

3.技术准备,明确数据、产品和威胁情报的使用;

4.计划审查,评审2、3步工作内容;

5.执行阶段,利用攻击工具和技术,明确攻击者TTP;

6.反馈阶段,明确不足,推动狩猎标准化、程序化。

为帮助组织机构建设和评价自身的威胁狩猎能力,Sqrrl的首席威胁猎人(David J. Bianco)提出了威胁狩猎成熟度模型(Hunting Maturity Model)。该模型将组织机构的狩猎能力分为五个层级:

1.起步级:围绕IDS、SIEM等自动报警系统开展,但不主动的收集数据;

2.基础级:有一定的威胁情报处理和数据收集能力;

3.程序级:能依据别人的狩猎模型开展数据采集和分析,能判断出简单的恶意行为或活动;

4.创新级:具备制定威胁狩猎模型和数据采集、分析过程的能力,能开展高级数据分析、数据可视化以及机器学习等工作;

5.领先级:能在创新级的基础上实现自动化改进现有数据分析方法,具备高水平的数据自动化收集能力。

尽管威胁狩猎是安全行业新兴主题,但超过88%的组织认同“威胁狩猎应该是顶级安全方案”(根据Cybersecurity Insiders《2021 Threat Hunting Report》披露的数据)。威胁狩猎具备威胁发现能力优势:SIEM提供基础的安全信息与安全事件的日常性操作与管理能力;SOAR提供日常性操作与管理基础上的安全编排与自动化以及响应能力;威胁狩猎则提供针对某一特定威胁的深度挖掘和识别能力。

目前,国内厂商也正在积极提供威胁狩猎的产品和服务,也出现了利用威胁狩猎方法识别出未知威胁的案例。

0发展难点

自动化程度是衡量威胁狩猎成熟度的标准,也是影响狩猎效果和执行效率的决定因素,从手工狩猎演进到自动化狩猎是安全团队面临的挑战。威胁狩猎是主动安全防御的建设重点,开展威胁狩猎活动的三要素是人员(猎人)、流程(狩猎的步骤)、技术和工具(产品和服务),存在以下发展难点:

一是威胁猎人稀缺,培养难度大。威胁猎人无论在组织内部还是外部的安全厂商都是稀缺资源,而国内的威胁狩猎处于起步阶段,通用的自动化流程和分析模型积累不够,不足以建立一套完善的威胁狩猎引导程序配合培训工作,以提高威胁猎人的培养效率。

二是威胁狩猎流程自动化能力不足。机器学习技术能够帮助威胁狩猎发挥重要作用,但目前机器学习在威胁狩猎上的应用尚不成熟,缺乏流程自动化能力,而具备流程自动化能力是威胁狩猎能力成熟的重要标志。

三是高效的数据收集方法缺乏。开展威胁狩猎活动需要海量数据驱动,而目前的数据收集来源繁杂,无效数据多,数据存储位置、格式不统一,对威胁狩猎工具造成了极大的性能负担,大大降低了威胁狩猎的效率。

0产业落地情况

落地到产品和服务,威胁狩猎目前主要围绕三类产品和服务开展:SIEM(Security Information Event Management,安全信息与事件管理平台)类产品、终端安全类产品、MDR(Managed Detection and Response,托管检测和响应服务)类产品。

(一)国外产业情况

1.SIEM类产品

SIEM厂商往往以威胁狩猎作为下一代SIEM的主要功能之一,其中的代表有IBM、Splunk、Logrhythm、Securonix、Exabeam等,主要特点是基于大数据能力,结合威胁情报,再通过可视化工具完成威胁狩猎。

2.终端安全类产品

鉴于终端是威胁高发地和攻击的最终落脚点,基于终端安全类产品的威胁狩猎将成为主流,代表厂商有Crowdstrike、Cylance、Cybereason、Carbon Black、Endgame、SentinelOne等。

3.MDR类产品

提供威胁狩猎产品的厂商基本都提供MDR服务,以Red Canary为例,基于Carbon Black产品,提供终端数据收集、建立假设、狩猎验证、用例开发、威胁检测、验证等服务。

(二)国内产业情况

在国内,青藤云安全、亚信安全等公司已上市终端安全类的威胁狩猎产品,以终端安全产品为基础,映射ATT&CK框架,来检测零日漏洞和主动识别潜在威胁。此外,绿盟科技、默安科技等推出了基于高交互式蜜罐产品结合专家服务,采用欺骗防御技术,对攻击威胁进行诱捕,以实现攻击者画像和攻击溯源。目前,国内暂无成熟的SIEM和MDR类的威胁狩猎产品和服务。

0意见和建议

目前,威胁狩猎被业内认为是最有效的主动防御解决方案之一,可以提高用户应对未知威胁的能力,但由于威胁狩猎的准确性和即时性取决于数据的来源和质量,只有具备足够的攻击信息和数据积累,才能实现自动化分析的高成熟度狩猎过程。建议从以下几方面推动威胁狩猎产品落地和应用推广:

一是加强人才队伍建设。威胁狩猎对人员综合能力要求较高,需具备威胁情报、安全分析、数据科学和安全运营等相关技术经验,还需熟悉组织内部相关系统、工具、流程等管理知识。应鼓励安全机构开展网络安全分析人才培养,并逐步建立一套全面的威胁狩猎实操培训课程,提高威胁猎人培训效率。

二是抓紧制订威胁狩猎成熟度评估规范和实施指南。可以预见,威胁狩猎成熟度不仅是衡量组织安全能力的重要指标,也能够引导组织进一步做好安全防护工作。制订相关评估规范和实施指南可以大力推动威胁狩猎的落地和发展,从而有效提高行业整体安全水平。

三是加强数据收集能力建设。加快制定和应用威胁数据格式规范,分层分级建设威胁情报共享平台。统一格式的日志和事件信息有利于进行威胁狩猎数据收集、共享和使用,可以提高威胁狩猎效率和质量,也有利于产业的协同发展。

中国网络安全产业联盟(CCIA)主办,北京升鑫网络科技有限公司供稿。

声明:本文来自CCIA网安产业联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。