威胁狩猎实践指南 威胁狩猎实践指南 目录 背景介绍 ..........................................................................................................................................2 理解威胁狩猎 ................................................................................................................................ 3 当下安全威胁 ....................................................................................................................... 3 假设已经被入侵 ...................................................................................................................5 威胁狩猎定义 ....................................................................................................................... 5 定义被“猎杀”的威胁 ...........................................................................................................6 为什么需要威胁狩猎 ......................................................................................................... 7 威胁狩猎的进化 ...................................................................................................................7 威胁狩猎常见误解 ..............................................................................................................9 准备威胁狩猎 .............................................................................................................................. 10 人：创建文化 .....................................................................................................................10 技术：采用必要的技术 .................................................................................................. 12 人和技术：熟悉所在环境 ..............................................................................................13 开始狩猎 ....................................................................................................................................... 15 狩猎意识 .............................................................................................................................. 15 准备狩猎 .............................................................................................................................. 16 威胁狩猎链 ......................................................................................................................... 17 成为大师 ....................................................................................................................................... 20 高效威胁狩猎十大技巧 ............................................................................................................24 1 威胁狩猎实践指南 背景介绍 随着网络攻击技术和自制工具越来越先进，攻击者和网络犯罪组织变得越来 越嚣张，与此同时组织机构想要检测入侵是否已经发生却变得越来越困难。整个 网络环境变得愈发复杂，传统基于特征值的被动检测技术效果变得越来越差，没 有任何一种技术能够 100%检测到恶意活动，因此人们不得不主动出击去狩猎， 也就是“威胁狩猎”。 威胁狩猎是一种聚焦于追踪攻击者以及攻击者在执行侦查、执行恶意软件、 窃取敏感数据时留下痕迹的一种主动防御技术。威胁狩猎不仅只是简单技术标记、 报警可疑的活动，还需要应用人类的分析能力以及对环境上下文的理解来更快速 地确定何时发生了未授权的活动。这使得攻击可以更早被发现，在攻击者完成攻 击目标之前阻止其恶意行为。当然，实践威胁狩猎，需要有可用的工具可以帮助 分析人员看清其组织网络中到底发生了什么，包括通过日志分析技术等。 2 威胁狩猎实践指南 理解威胁狩猎 --------------------------------------------------------------------本章主要内容包括：  理解当下安全威胁  介绍威胁狩猎实践  了解威胁狩猎价值 --------------------------------------------------------------------曾经有这么一个犯罪故事，有人问“你为什么要抢劫银行？”。犯罪简单回 答：因为钱在那里。如今的网络犯罪团伙和银行抢劫犯一样，他们窃取信息是因 为他们能从中受益。 威胁狩猎并不是新出现概念，已经成为安全行业最火热的话题。被动等待获 取入侵证据已经不能发挥很大价值，与之相反，威胁狩猎是主动出击寻找入侵者 和潜在未来入侵的迹象，因此企业组织不能坐等明显入侵特征出现再进行响应。 当下安全威胁 网络入侵事件的新闻已经变得司空见惯，以至于人们都逐渐对其麻木。与日 俱增的攻击更是让人们怀疑其是否可以避免和消除。很多企业组织安全人员都活 在重压之下，因为他们不知道每天都有哪些新漏洞、新威胁、新入侵出现。下文 将介绍攻击者常见攻击动机和手段。 组织机构通常会面临几种不同动机的威胁： 3 威胁狩猎实践指南  财务目标：黑客窃取信息，可以用于直接或间接的经济利益。例如，他 们窃取信用卡号码进行购物，或者窃取医疗信息进行医疗欺诈。  政治声明：黑客和“黑客活动分子”攻击网站以发表政治声明。  窃取知识产权：包括窃取军事、商业机密等。  破坏关键基础设施：破坏制造业、发电和配电、供水和运输系统等关键 基础设施，试图制造混乱。  恶意报复：当组织解雇对系统访问有深入了解的人员时，这些人可能会 利用已知的信息对公司造成严重破坏。  名声：攻陷高知名度、高价值网站的黑客会赢得其它同伙认可和尊重。 然而，不管出于何种初衷，最终的结果是一样的，就是敏感数据的泄露或业 务操作的中断。攻击者似乎总是很容易进入组织的网络和系统。从全局的角度来 看，攻击者可以通过不同的途径进行攻击：  隐秘的恶意软件：目前入侵的主要方法是隐秘的恶意软件。为了逃避反 病毒软件和其它工具的检测，如今恶意软件都采用先进的绕过技术，很 难检测。 例如，恶意软件为每台新受害计算机重新加密或重新打包，使每一个受 感染的系统看起来都是独一无二的。这种方法很大程度上阻碍了基于签 名检测技术的杀毒软件的。  黑客入侵：入侵者使用各种方法诱骗员工包括诈骗短信、钓鱼邮件等。 导致这些被安装了恶意软件终端成为黑客入侵系统的滩头阵地，例如这 些恶意软件可能是一个键盘记录程序，帮助黑客轻易就窃取到登录密码， 从而使入侵者能够访问更多的系统和应用程序。 4 威胁狩猎实践指南  入侵系统：这种方法速度快，攻击者通过扫描目标系统寻找可利用的漏 洞，如未打补丁的系统、不安全的安全配置和默认的登录凭证、暴力破 解等。  内鬼：入侵者会通过各种手段将一个受信任的内部人员发展成间谍，让 其协助提供秘密或进入内部系统。 攻击者通常会使用阻力最小的路径来入侵组织，只要进入系统对于黑客而言 就成功一大半。对受害者来说，这是一个入侵的开始，一次不起眼入侵可能就演 变成威胁组织生存的恶意事件。 假设已经被入侵 过去安全人员常常把他们所有的筹码都放在安全防御上，认为有了正确的防 御，就可以阻止任何攻击者破坏他们的防御系统，窃取核心资产。 但是，这显然没有起到很好的效果！ 黑客们只要耐住寂寞，经过认真研究、侦察、秘密入侵和秘密渗出的技术， 他们几乎可以进入任何组织。当然，现代安全哲学是“假设你已经被入侵”。这 就犹如想要一个程序完全没有漏洞几乎是不可能的。这意味着不管你的防御和检 测技术多么优秀，必须接受入侵者已经进入组织的网络和系统。 因此，对于组织机构而言，不能因为看不见入侵者或检测技术没报警，就认 为