許多人對「威脅捕捉」(Threat Hunting)的概念都比較模糊,實際上,只要把它想像成「捉迷藏」遊戲就能很容易理解這個概念的本質。與捉迷藏的區別在於,威脅捕捉是在網絡中的敵我雙方對抗,而且這是現實,不是遊戲。
在捉迷藏遊戲中,首先要給予被捉者一定的時間,好讓其藏起來。在網絡世界裡,意味著防守者往往不能在第一時間發現闖入者。然後,被捉的一方儘量會在非常難以發現的地方把自己隱藏起來。同樣,網絡攻擊者也會找地方潛伏。防守者則需要敏銳的視覺、聽覺(檢測分析),以及快速的捕捉能力(響應),才能贏得這場遊戲(對抗)。
擁有一套良好的檢測與響應工具,可以極大程度地助力分析人員,在數以GB甚至是數以TB、PB的海量數據中開展威脅捕捉工作。這就是XDR的概念得以出現的原因。
何為XDR?簡單的來說,可以理解為傳統的端點檢測與響應,即EDR的擴展和增強版。它提供了一種攻擊的檢測模型,橫跨各種端點、網絡、SaaS應用、雲基礎設施等各種可以處理的網絡資源,為所有的網絡層和應用程式堆踐提供可見性,同時具備高級檢測、自動關聯和機器學習能力以發現事件,而這些事件往往是傳統的SIEM無力發現的。除此之外,XDR還可有效降低長期折磨安全人員的大量警告嗓音。
XDR的優勢:
通過收集正確的數據並基於上下文信息轉化數據,最大化數據收集的效率基於機器學習和高端複雜的行為模型識別隱藏威脅在所有的網絡層和應用程式堆踐中識別並關聯威脅提供精準警報以最小化安全調查的疲勞度提供必要的取證能力,整合多種威脅信息,繪製整個攻擊畫面。幫助安全人員快速完成調查工作,同時對入侵指徵(IoC)有著高度的信心。從組織的角度來看,XDR可以幫助安全團隊防範已知威脅,發現新的威脅,增強整體安全流程。藉助XDR,安全人員可以成為一個更好的「捉迷藏」者,找到並揪出隱藏者。
威脅捕捉是在網絡、資產和基礎設施中,面向過程的信息處理和搜索工作,以發現那些能夠規避現有安全防範措施的高級威脅。防火牆、入侵檢測和日誌管理這些傳統的安全手段,往往在面臨未知威脅時手足無措。而威脅捕捉則站在更高的層面應對威脅。網絡中隱藏著著哪些傳統安全工具難以發現的威脅?如何找到它們?在傳統的網絡環境中,很難僅憑一套日誌關聯或安全解決方案來發現潛在威脅,而XDR假定網絡已經被入侵,威脅已經存在,並主動的進行識別和採取行動,這正是XDR的價值所在。
深入日誌文件和訪問請求
威脅捕捉與XDR結合能夠對已收集的數據進行更好的檢測,包括更深度的日誌文件和訪問請求,以及處理對來自應用控制和網絡的事件關聯。檢測之後就是自動化響應,以控制或緩解檢測到的威脅。判斷一個威脅是否真正存在,需要考慮以下三種情況:
通過機器學習實現的高級分析:行為或者外部事件可以用來風險評級,並判斷是否一起高風險事件正在發生態勢感知:分析高價值目標,包括數據、資產、員工等,發現異常行為和非正常請求。情報:把威脅模式、威脅情報、惡意軟體、會話,以及資產漏洞信息關聯起來,以得出結論因此,成功的威脅捕捉需要滿足以下7個條件:
需要整合類的工具,如XDR,以收集適合識別模型的數據。安全數據越多越好,但要注意過濾、清洗或抑制額外的數據。風險評估、入侵檢測和攻擊防護等工具要保持更新並正常運行,否則不僅第一道防線失守,而且這些工具收集的數據也變得不可信。信息資源要通過用戶帳戶和主機名可靠的關聯起來,否則DHCP甚至是時間同步都會造成IP的變化,從而影響判斷。打造數據模型要準確的識別核心資產和敏感帳戶,包括監測它們的使用,誰在使用,以及使用行為。基於重大入侵事件建立威脅假設,如果攻擊者這樣做,業務是否能夠恢復,造成的損失有多大?諸如網絡拓撲、業務流程描述、資產管理等文檔,非常重要。結合XDR的威脅捕捉依賴人的因素來關聯真實的業務信息,沒有基於對真實業務的信息工作流映射,就無法做到真正的威脅模擬。對威脅的自動化響應要成為標準工作流程的一部分,並保證其安全。如果採取的響應措施是隔離某項資產或改變防火牆的配置,自動化響應的本身要保證安全可靠,以免被利用,比如拒絕服務。關鍵詞:XDR;威脅捕捉;