淺談威脅狩獵

雷英

威脅狩獵，顧名思義，就是在網絡安全的世界中尋找威脅。威脅每天都在變化，因此，開發新技術來防御和檢測各種類型的威脅和攻擊是我們的責任。

從威脅狩獵的定義開始，通過主動和被動的方式搜尋網絡中想逃避安全解決方案的高級威脅的過程。

威脅狩獵不是一種技術，而是一種方法，作為一名安全分析師，威脅獵捕有效地運用可以發現網絡環境中的任何異常情況。

威脅獵人使用批判性思維能力和創造力來查看正常的網絡行為并識別異常的行為。

1為什么要做威脅狩獵

在傳統的安全監視方法中，大多數成員基于SIEM或其他安全設備觸發的警報來尋找威脅。除了警報驅動的方法之外，添加一個連續的過程從數據中查找內容，而不是通過任何警報提醒發生事件。這就是威脅搜尋的過程，主動尋找網絡中的威脅。可以使用此過程來查找現有安全解決方案無法識別的威脅或繞過解決方案的攻擊。因此，為什么不能將其驅動為警報驅動，原因是警報驅動主要是某種數字方式而非行為方式。

威脅狩獵的方法：

人工測試———分析人員需要不斷尋找可能是入侵證據/指示的任何事物。對于威脅獵人而言，保持最新的安全研究非常重要。

自動化或機器輔助———分析師利用“機器學習”和“UEBA”功能的軟件來告知分析師潛在風險，它有助于提供預測性和規范性分析。

2如何進行獵捕

建立假設———假設意味著要查找的內容，例如，查找與Internet等建立連接的Powershell命令。

收集數據———根據假設，進行狩獵查找需要的數據。

測試假設并收集信息———收集數據后，根據行為，搜索查詢來查找威脅。

自動化某些任務———威脅搜尋永遠不能完全自動化，而只能是半自動化。

實施威脅搜尋———現在，不執行即時搜尋，而是實施搜尋程序，以便可以連續進行威脅搜尋。

3如何產生假設

只需閱讀文章、安全新聞、新的APT公開報告、Twitter和一些安全網站獲得。威脅獵捕是對各種數據源（例如端點、網絡和外圍等）執行的。它只是有效地運用我們的知識來發現異常，需要批判性思維能力。由威脅指數（IOC）組成的威脅情報在執行狩獵過程中也起著重要作用。

4 MITER ATT&CK輔助威脅獵捕

大多數威脅獵捕平臺都使用“Attack MITRE”對手模型。MITER ATT&CK是基于現實世界觀察結果的全球對抗性戰術和技術知識庫。Attack MITER還提出了一個名為“CAR”的網絡分析存儲庫。MITER團隊列出了所有這些對手的行為和攻擊者在受害機器上執行的攻擊媒介。它基于歷史爆發提供了描述以及有關威脅的一些參考；它使用TTP的戰術、技術和程序，并將其映射到網絡殺傷鏈；大多數威脅獵捕方法都使用MITRE框架來執行搜尋過程。

5實現威脅獵捕

現在，要執行獵捕，我們需要假設，并且在生成假設之后，根據所使用的任何平臺來獵捕或搜索攻擊。為了檢驗假設，可以使用任何可用的工具，例如Splunk，ELK Stack等，但是在開始獵捕之前，請妥善保管數據。Florian Roth為SIEM簽名提出了一種新的通用格式———Sigma。大多數Mitre Att&ck技術都映射到Sigma規則，這些規則可以直接合并到SIEM平臺中以進行威脅獵捕。還可將Sigma轉換為Splunk，arcsight，ELK。

可以在Google工作表上找到Sigma規則轉換準備好的列表：

威脅獵捕永遠無法實現自動化，但是某些部分可以做到，例如可以在SIEM中直接警告這些Sigma規則，但是調查和分類等部分需要人工操作。

威脅獵捕也可以由分析驅動。用來進行風險評分的機器學習和UEBA也可以用作狩獵假設。大多數網絡分析平臺都利用此UEBA，ML功能來識別異常。

6威脅狩獵

運行Mimikatz命令進行哈希轉儲在Word或Excel文件。

打開powershell，要檢查此假設，請首先查找數據，是否有適當的數據來尋找該假設，然后尋找winword.exe /execl.exe進程來創建powershell.exe，以及包含（mimikatz）的命令行。

從Internet下載文件。查找用于從瀏覽器以外的Internet下載文件的過程，certutil.exe，hh.exe可以相同。

7機器學習和威脅獵捕

機器學習在網絡威脅獵捕中起著重要作用。可以使用多種算法，例如分類、聚類等，基于SIEM中的日志來識別任何種類的異常和異常值。機器學習在協助尋找威脅方面起著輔助作用，它提供了異常值，分析師將進一步研究以尋找威脅。