紫队与威胁检测
什么是紫队
紫队是一个虚拟的职能团队,由网络威胁情报、红队和蓝队组成,共同测试、测量和改进防御安全态势。其成员包括:
- 网络威胁情报:研究并提供对手战术、技术和相关程序(TTPs)
- 红队:模拟对手和TTP的攻击团队
- 蓝队:安全运营中心(SOC)、威胁狩猎、取证和事件响应(DFIR)或托管安全服务提供商(MSSP)
紫队演练流程
紫队演练流程包括以下步骤:
- 桌面推演:期望执行的TTP和安全控制演练,协调当前对手TTP和技术细节
- 红队模拟:模拟TTP并共享屏幕,以便所有人了解攻击样子
- 检测工程调整:对安全控制和日志记录进行调整,提高可见性
- 重复过程:重复上述步骤并记录结果,移至下一条TTP
- 蓝队跟踪:跟踪TTP检测流程与响应,分享屏幕内容以便人工鉴别
紫队运营
紫队运营主要包括以下方面:
- 检测工程:调整安全控制、日志记录、处置编排
- 组建TTPs:分析并编写TTPs
- 桌面推演:编排攻击仿真和安全控制流程
- 攻击仿真:模拟执行TTP及衍生绕过
- 威胁情报:收集新的网络威胁情报或TTPs
威胁组成部分
制造威胁所需的技术资源、能力和目的,包括:
- 目的:确认对手意图
- 能力:充分利用漏洞或薄弱环节
- 机会:情况机会
网络威胁情报收集
网络威胁情报收集包括:
- 开源&非共享威胁情报:识别对手
- 分析&甄别威胁:提炼TTPs
- 输出TTPs:通过分析提取特征
TTPs金字塔
TTPs金字塔分为三个层次:
- 战术:代表对手目标手段(如TA-006 - 凭据访问)
- 技术:代表战术目标过程(如T1003.001-OS 凭证转储 LSASS内存)
- 过程:此项技术是如何实施的(如攻击者使用procdump -ma lsass.exe lsass_dump过程)
TTP提取过程
以微软发现威胁攻击者针对SolarWinds Serv-U软件的0-day漏洞利用为例:
- 攻击者使用MSHTA.exe连接互联网
- 执行whoami并输出.txt文件
检测工程流程
紫队运营的检测工程流程包括:
- 信息收集:验证是否在事件产生周围收集了数据,检查日志是否存在可见性差距
- 处理:基于假设开展检测,通过广撒网验证假设,缩小搜索范围
- 传播:交付最终相关人员,包括安全运营、管理层、攻击能力团队等
检测工程的重点
检测工程的重点包括:
- 信息收集:收集与武器化漏洞利用、初始访问、部署C2目标上的行动相关的信息
- 处理:基于假设开展检测,通过广撒网验证假设,缩小搜索范围
- 传播:交付最终相关人员,包括安全运营、管理层、攻击能力团队等
核心驱动力
- 分析师及工具之间的熟练程度与能力:运营能力对于威胁理解程度,决定当前检测项与能力
- 威胁理解:了解当前的威胁形势至关重要
数据收集
数据采集包括:
- 需要收集的数据:确定需要收集的数据类型和位置
- 数据源优先级:确定数据源的优先级
运营能力
分析人员与工具之间的熟练度与能力,优秀的分析师和工具可以提高效率
威胁理解
了解当前的威胁形势至关重要,例如如果不知道Power Shell可以用于恶意活动,则不会作为检测项去检测它
检测工程:信息收集
验证是否在事件产生周围收集了数据,检查日志是否存在可见性差距,如果确定存在差距,则应将其修复或记录此问题
检测工程:处理
基于假设开展检测,通过广撒网验证假设,缩小搜索范围
开展假设
以微软发现威胁攻击者针对SolarWinds Serv-U软件的0-day漏洞利用为例,分析攻击者的行为和可能的检测方法
传播:结果产出
交付最终相关人员,包括安全运营、管理层、攻击能力团队等
传播:内容结构
利用警报和检测框架(ADS框架),包含目标、分类、战略摘要、技术背景、盲点和假设、误报、验证、优先、回复等部分
关注我们
安世加专注于网络安全行业,通过互联网平台、线上线下沙龙、峰会、人才招聘等多种形式,致力于创建亚太地区最好的甲乙双方交流学习的平台,培养安全人才,提升行业的整体素质,助推安全生态圈的健康发展。
