写在前面:

威胁搜寻(Cyber Threat Hunting)是近年来为应对黑客层出不穷的攻击手段孕育而出的一种新的防御方式。它不是一种安全工具或者技术,而是基于多种安全工具和技术上的一套高级分析方法。


1. 背景

说到威胁搜寻就不得不先说高级持续威胁(Advanced Persistent Threat,简称APT)攻击。这些年来,针对企业、政府和组织的APT攻击越来越多,攻击手段也是越来越隐蔽。所谓APT,是黑客组织事先对目标的组织架构、IT网络结构、安全防御系统等进行侦查,而后针其弱点定制开发一套攻击工具,通过一定社工方式将工具植入到目标内部,最后窃取敏感、有价值信息的一种高级攻击手段。

由于APT的工具是定制开发,可以轻松绕过基于特征检测的传统安全工具(杀毒软件、IPS等)。而基于行为的安全工具(EDR、沙盒等)由于其本身的误报率非常高,加之APT攻击的行为多种多样,安全人员并不能很好的从含有大量误报的告警中有效地分辨出APT攻击。

因此如果想有效地防范APT攻击,则需请出我们今天的主角——威胁搜寻。

2. 定义

简单来说,威胁搜寻是在组织内寻找那些未知的、潜在的安全风险。威胁搜寻并没有一套固定的模式:不同的人对其的理解不一样,不同的情况下所用的搜寻方法也不一样。

但总的来说,威胁搜寻有以下几个特点:

  • 主动性——有别于传统的安全防御手段,先收到安全告警再事件响应。威胁搜寻则是主动的在组织内部搜索潜在的安全威胁,无论是否收到告警。
  • 周期性——由于威胁搜寻是主动发起,必须要保持周期性检查,才能起到应有的效果。并且周期不能太长,一般每天一次。
  • 指定搜寻对象——依照组织内所部署的安全工具和IT架构,找出有效的可以帮助威胁搜寻的对象。比如:系统日志、杀毒软件日志、网络数据包、EDR日志等。
  • 搜寻案例——在开始搜寻前,需要预先设想一些被入侵的场景,并根据这些场景做案例以供日后搜寻使用。
  • 自动化——由于搜寻需要耗费大量时间,在创建案例后可以通过自动化的方式减少安全人员工作量,提高搜寻效率。
  • 人员技能要求——需要综合技能的高级安全人员。知晓各种安全工具的告警和日志,能读懂主流IT系统和应用的日志,懂得分析网络数据包,有一定的软件逆向工程能力,至少掌握一门以上的脚本语言实现自动化等。

3. 信息来源

对于威胁搜寻,不同的组织有不同的信息来源,且差别非常大。这里举例说明一些典型的信息来源:

  • SIEM——组织内部的安全日志中心,绝大部分的日志都可以作为威胁搜寻的信息来源。比如:操作系统日志、防火墙日志、IPS日志、杀毒软件日志、网站应用日志等。通过SIEM系统的关联功能,可以把多个看似独立的告警相互联系起来,让安全人员得知当前内网的威胁态势。
  • 网络数据包——对关键节点的网络通信进行抓包,抓包节点可以是英特网出口、总部与分子公司的边界、VPN接口等。通过网络抓包分析工具,可以从网络层找出不常见的可疑行为,并分析该行为的来源、目的以及行为的具体内容。
  • 安全情报——非常重要的信息源,优秀的情报比以上两个信息源更重要。通过情报,可以了解最新的零日漏洞、组织是否已经被列为攻击目标、同行业的其他组织是否被攻击、最近流行的攻击手段等。安全人员可以有针对性地加强防御,并重点搜寻情报中的威胁信息。
  • 内部报告——用户在将任何可疑的安全问题报告给组织安全部门。这些可疑的问题包括:钓鱼邮件、电脑中毒、可疑网址、未知来源的应用软件等。内部报告可以在组织被攻击或者被攻陷时,可以让安全人员了解当前的状态并采取行动,避免事态进一步扩大。

4. 实现

实际应用环境中,不同的组织威胁搜寻方式也会有很大的不同,这里举例说明一个典型情况下的威胁搜寻实现方式——通过用户案例实现威胁搜寻。具体的步骤为:

  • 需求收集——根据组织当前环境,收集业务和系统信息,找出需要重点防护的对象。比如某台文件共享服务器部署在互联网上,则文件服务器为重点防护对象。
  • 转化为用例——根据需要防护的对象的特点,找出相应的防护用例。比如监控文件共享服务器是否有非法上传、或者非授权权限变更等。
  • 创建规则——根据已有的用例和组织内拥有的安全工具,创建相应的用例规则。比如在SIEM中搜索文件服务器上传日志、变更日志等。
  • 定期扫描——定期执行已经创建的规则,生成报告,并审阅报告。
  • 发现威胁——在审阅报告时,发现可疑的、存在风险的内容,并进一步调查。若发现存在威胁,则需要进一步采取安全事件响应流程来处理发现的威胁。
  • 优化规则——若通过搜寻中发现既有的规则中存在不足,则需要更新相应的规则。若通过其他渠道发现新的威胁,创建用例和规则,共以后使用。

5. 问题

威胁搜寻并十全十美地,它也存在一些问题:

  • 初期误报率高——比如新建的规则,由于其并不成熟,难以避免会存在误报。只有在安全人员根据误报不断改进,才能在后期比较精准地找到相应地威胁。所以,一条规则往往需要比较长的时间(一般一个月以上)才能真正用于威胁搜寻。
  • 比较耗费人力——无论是在创建规则阶段、改进规则阶段、还是调查搜索到地威胁,都是一个相当耗费人力地过程。又因为这项工作对安全人员的技能有一定要求,所以组织必须要安排有相应技能的专业人员做这项工作,这也相应地增大了成本。

6. 总结

威胁搜寻由于其不固定地运作模式和有针对性的防御特征,能够有效地抵御APT攻击。虽然它存在初期误报高、成本偏高的缺点,但瑕不掩瑜,成为近些年来各组织都在部署的一种防御方式。威胁搜寻还在不断发展中,以后还有可能引入AI来提高效率和识别精准度,让我们拭目以待。