威胁狩猎概述
什么是威胁狩猎(定义)
威胁狩猎是一种主动、周期性的安全活动,旨在发现未被现有防御体系检测到的失陷信号。其核心特征包括:
- 定义:主动搜索网络中潜伏的未检测威胁(CrowdStrike、CheckPoint)
- 活动性质:安全活动,基于失陷假设,针对所有相关环境
- 目标:发现未被现有防御体系发现的失陷信号
- 实施方式:安全运营人员主动开展,周期性执行
- 产出:明确的结论(已失陷/未失陷)和Playbook(数据源、分析规则、检测规则)
- 最终目标:解决安全防御体系中的痛苦金字塔问题
威胁狩猎在安全运营中的位置
- NIST框架:处于安全运营闭环中,连接多个领域(事件收集、检测引擎等)
- Google 10x运营体系:作为高阶运营活动,需在基础建设之上开展
- 安全运营阶段:属于检测阶段,补充现有检测能力,贯穿整个安全运营生命周期
- 闭环作用:促进暴露面管理、事件收集、检测规则、威胁情报的改善
- 成熟度提升:提高团队技能和整体运营成熟度
- 实施条件:依赖现有日志、SIEM、TI平台,但非完全成熟条件限制开展
- 问题解决:主要解决痛苦金字塔上层问题
威胁狩猎为什么重要而且必须
- 被动检测局限性:多数失陷事件在事件后6个月才被发现(第三方发现2.5%)
- 核心原因:信息安全对抗性本质导致防御手段需持续进化
- 木桶效应:防御水平取决于最薄弱环节,攻击者天然占据优势
- 重要价值:
- 将未知威胁转为已知威胁
- 深入检验现有数据采集、检测规则、情报成熟度
- 检验防御手段覆盖面和缺失面
- 提升安全运营成熟度
- 提高团队技战术水平
- 满足合规需求
- 实现从What到Why的威胁分析
- 验证威胁情报有效性
- 支持特定安全领域专项研究
- 增加管理者对网络环境的信任
Motivation & Preparation
- GOST框架:包含目标(Goals)、目标(Objectives)、策略(Strategies)、战术(Tactics)
- 组织团队:扁平化结构,可兼任TI、IR角色,流程重于架构
- 准备工作:
- 数据源:边界/纵深防御设施、日志数据
- 数据字典:确保数据完备性、时效性、准确性
- 技术栈:分析工具(MSTICpy、Hunter)、实验室环境(DetectionLab)
威胁狩猎类型
- 情报驱动:针对特定APT组织(如APT-X)
- TTP驱动:基于攻击手法(如Microsoft Word启动恶意进程)
- 基线行为:分析流量、进程、命令等基线行为异常
流程 Process
- OTHF流程:
- 开发假设:基于情报、TTP或异常(如T1204.002执行)
- 建立证据:了解攻击背景、TTPs、采集IOA
- 执行分析:制定策略(体量分析、频率分析等)、验证假设
- 归档:记录假设、数据集、分析Playbook、结论、转换规则
- 关键工具:Sentinel、Bert-Jan、ThreatHuntingProject等Playbook
总结
威胁狩猎作为主动防御手段,通过科学方法(假设-验证)发现未检测威胁,对提升安全运营成熟度、验证防御体系、增强团队技能具有重要价值。其有效实施需依赖完善的数据基础、专业团队和标准化流程,是解决安全防御痛点的关键环节。
