威胁检测与紫队建设-林科辰

紫队与威胁检测

什么是紫队

紫队是一个虚拟的职能团队，由网络威胁情报、红队和蓝队组成，共同测试、测量和改进防御安全态势。其成员包括：

• 网络威胁情报：研究并提供对手战术、技术和相关程序（TTPs）
• 红队：模拟对手和TTP的攻击团队
• 蓝队：安全运营中心（SOC）、威胁狩猎、取证和事件响应（DFIR）或托管安全服务提供商（MSSP）

紫队演练流程

紫队演练流程包括以下步骤：

1. 桌面推演：期望执行的TTP和安全控制演练，协调当前对手TTP和技术细节
2. 红队模拟：模拟TTP并共享屏幕，以便所有人了解攻击样子
3. 检测工程调整：对安全控制和日志记录进行调整，提高可见性
4. 重复过程：重复上述步骤并记录结果，移至下一条TTP
5. 蓝队跟踪：跟踪TTP检测流程与响应，分享屏幕内容以便人工鉴别

紫队运营

紫队运营主要包括以下方面：

1. 检测工程：调整安全控制、日志记录、处置编排
2. 组建TTPs：分析并编写TTPs
3. 桌面推演：编排攻击仿真和安全控制流程
4. 攻击仿真：模拟执行TTP及衍生绕过
5. 威胁情报：收集新的网络威胁情报或TTPs

威胁组成部分

制造威胁所需的技术资源、能力和目的，包括：

• 目的：确认对手意图
• 能力：充分利用漏洞或薄弱环节
• 机会：情况机会

网络威胁情报收集

网络威胁情报收集包括：

1. 开源&非共享威胁情报：识别对手
2. 分析&甄别威胁：提炼TTPs
3. 输出TTPs：通过分析提取特征

TTPs金字塔

TTPs金字塔分为三个层次：

• 战术：代表对手目标手段（如TA-006 - 凭据访问）
• 技术：代表战术目标过程（如T1003.001-OS 凭证转储 LSASS内存）
• 过程：此项技术是如何实施的（如攻击者使用procdump -ma lsass.exe lsass_dump过程）

TTP提取过程

以微软发现威胁攻击者针对SolarWinds Serv-U软件的0-day漏洞利用为例：

• 攻击者使用MSHTA.exe连接互联网
• 执行whoami并输出.txt文件

检测工程流程

紫队运营的检测工程流程包括：

1. 信息收集：验证是否在事件产生周围收集了数据，检查日志是否存在可见性差距
2. 处理：基于假设开展检测，通过广撒网验证假设，缩小搜索范围
3. 传播：交付最终相关人员，包括安全运营、管理层、攻击能力团队等

检测工程的重点

检测工程的重点包括：

• 信息收集：收集与武器化漏洞利用、初始访问、部署C2目标上的行动相关的信息
• 处理：基于假设开展检测，通过广撒网验证假设，缩小搜索范围
• 传播：交付最终相关人员，包括安全运营、管理层、攻击能力团队等

核心驱动力

• 分析师及工具之间的熟练程度与能力：运营能力对于威胁理解程度，决定当前检测项与能力
• 威胁理解：了解当前的威胁形势至关重要

数据收集

数据采集包括：

• 需要收集的数据：确定需要收集的数据类型和位置
• 数据源优先级：确定数据源的优先级

运营能力

分析人员与工具之间的熟练度与能力，优秀的分析师和工具可以提高效率

威胁理解

了解当前的威胁形势至关重要，例如如果不知道Power Shell可以用于恶意活动，则不会作为检测项去检测它

检测工程：信息收集

验证是否在事件产生周围收集了数据，检查日志是否存在可见性差距，如果确定存在差距，则应将其修复或记录此问题

检测工程：处理

基于假设开展检测，通过广撒网验证假设，缩小搜索范围

开展假设

以微软发现威胁攻击者针对SolarWinds Serv-U软件的0-day漏洞利用为例，分析攻击者的行为和可能的检测方法

传播：结果产出

交付最终相关人员，包括安全运营、管理层、攻击能力团队等

传播：内容结构

利用警报和检测框架（ADS框架），包含目标、分类、战略摘要、技术背景、盲点和假设、误报、验证、优先、回复等部分

关注我们

安世加专注于网络安全行业，通过互联网平台、线上线下沙龙、峰会、人才招聘等多种形式，致力于创建亚太地区最好的甲乙双方交流学习的平台，培养安全人才，提升行业的整体素质，助推安全生态圈的健康发展。