威胁狩猎实践指南 威胁狩猎实践指南 目录 背景介绍 ..........................................................................................................................................2 理解威胁狩猎 ................................................................................................................................ 3 当下安全威胁 ....................................................................................................................... 3 假设已经被入侵 ...................................................................................................................5 威胁狩猎定义 ....................................................................................................................... 5 定义被“猎杀”的威胁 ...........................................................................................................6 为什么需要威胁狩猎 ......................................................................................................... 7 威胁狩猎的进化 ...................................................................................................................7 威胁狩猎常见误解 ..............................................................................................................9 准备威胁狩猎 .............................................................................................................................. 10 人:创建文化 .....................................................................................................................10 技术:采用必要的技术 .................................................................................................. 12 人和技术:熟悉所在环境 ..............................................................................................13 开始狩猎 ....................................................................................................................................... 15 狩猎意识 .............................................................................................................................. 15 准备狩猎 .............................................................................................................................. 16 威胁狩猎链 ......................................................................................................................... 17 成为大师 ....................................................................................................................................... 20 高效威胁狩猎十大技巧 ............................................................................................................24 1 威胁狩猎实践指南 背景介绍 随着网络攻击技术和自制工具越来越先进,攻击者和网络犯罪组织变得越来 越嚣张,与此同时组织机构想要检测入侵是否已经发生却变得越来越困难。整个 网络环境变得愈发复杂,传统基于特征值的被动检测技术效果变得越来越差,没 有任何一种技术能够 100%检测到恶意活动,因此人们不得不主动出击去狩猎, 也就是“威胁狩猎”。 威胁狩猎是一种聚焦于追踪攻击者以及攻击者在执行侦查、执行恶意软件、 窃取敏感数据时留下痕迹的一种主动防御技术。威胁狩猎不仅只是简单技术标记、 报警可疑的活动,还需要应用人类的分析能力以及对环境上下文的理解来更快速 地确定何时发生了未授权的活动。这使得攻击可以更早被发现,在攻击者完成攻 击目标之前阻止其恶意行为。当然,实践威胁狩猎,需要有可用的工具可以帮助 分析人员看清其组织网络中到底发生了什么,包括通过日志分析技术等。 2 威胁狩猎实践指南 理解威胁狩猎 --------------------------------------------------------------------本章主要内容包括:  理解当下安全威胁  介绍威胁狩猎实践  了解威胁狩猎价值 --------------------------------------------------------------------曾经有这么一个犯罪故事,有人问“你为什么要抢劫银行?”。犯罪简单回 答:因为钱在那里。如今的网络犯罪团伙和银行抢劫犯一样,他们窃取信息是因 为他们能从中受益。 威胁狩猎并不是新出现概念,已经成为安全行业最火热的话题。被动等待获 取入侵证据已经不能发挥很大价值,与之相反,威胁狩猎是主动出击寻找入侵者 和潜在未来入侵的迹象,因此企业组织不能坐等明显入侵特征出现再进行响应。 当下安全威胁 网络入侵事件的新闻已经变得司空见惯,以至于人们都逐渐对其麻木。与日 俱增的攻击更是让人们怀疑其是否可以避免和消除。很多企业组织安全人员都活 在重压之下,因为他们不知道每天都有哪些新漏洞、新威胁、新入侵出现。下文 将介绍攻击者常见攻击动机和手段。 组织机构通常会面临几种不同动机的威胁: 3 威胁狩猎实践指南  财务目标:黑客窃取信息,可以用于直接或间接的经济利益。例如,他 们窃取信用卡号码进行购物,或者窃取医疗信息进行医疗欺诈。  政治声明:黑客和“黑客活动分子”攻击网站以发表政治声明。  窃取知识产权:包括窃取军事、商业机密等。  破坏关键基础设施:破坏制造业、发电和配电、供水和运输系统等关键 基础设施,试图制造混乱。  恶意报复:当组织解雇对系统访问有深入了解的人员时,这些人可能会 利用已知的信息对公司造成严重破坏。  名声:攻陷高知名度、高价值网站的黑客会赢得其它同伙认可和尊重。 然而,不管出于何种初衷,最终的结果是一样的,就是敏感数据的泄露或业 务操作的中断。攻击者似乎总是很容易进入组织的网络和系统。从全局的角度来 看,攻击者可以通过不同的途径进行攻击:  隐秘的恶意软件:目前入侵的主要方法是隐秘的恶意软件。为了逃避反 病毒软件和其它工具的检测,如今恶意软件都采用先进的绕过技术,很 难检测。 例如,恶意软件为每台新受害计算机重新加密或重新打包,使每一个受 感染的系统看起来都是独一无二的。这种方法很大程度上阻碍了基于签 名检测技术的杀毒软件的。  黑客入侵:入侵者使用各种方法诱骗员工包括诈骗短信、钓鱼邮件等。 导致这些被安装了恶意软件终端成为黑客入侵系统的滩头阵地,例如这 些恶意软件可能是一个键盘记录程序,帮助黑客轻易就窃取到登录密码, 从而使入侵者能够访问更多的系统和应用程序。 4 威胁狩猎实践指南  入侵系统:这种方法速度快,攻击者通过扫描目标系统寻找可利用的漏 洞,如未打补丁的系统、不安全的安全配置和默认的登录凭证、暴力破 解等。  内鬼:入侵者会通过各种手段将一个受信任的内部人员发展成间谍,让 其协助提供秘密或进入内部系统。 攻击者通常会使用阻力最小的路径来入侵组织,只要进入系统对于黑客而言 就成功一大半。对受害者来说,这是一个入侵的开始,一次不起眼入侵可能就演 变成威胁组织生存的恶意事件。 假设已经被入侵 过去安全人员常常把他们所有的筹码都放在安全防御上,认为有了正确的防 御,就可以阻止任何攻击者破坏他们的防御系统,窃取核心资产。 但是,这显然没有起到很好的效果! 黑客们只要耐住寂寞,经过认真研究、侦察、秘密入侵和秘密渗出的技术, 他们几乎可以进入任何组织。当然,现代安全哲学是“假设你已经被入侵”。这 就犹如想要一个程序完全没有漏洞几乎是不可能的。这意味着不管你的防御和检 测技术多么优秀,必须接受入侵者已经进入组织的网络和系统。 因此,对于组织机构而言,不能因为看不见入侵者或检测技术没报警,就认 为

pdf文档 青藤云安全 威胁狩猎实践指南

文档预览
中文文档 29 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共29页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
青藤云安全 威胁狩猎实践指南 第 1 页 青藤云安全 威胁狩猎实践指南 第 2 页 青藤云安全 威胁狩猎实践指南 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲2022-08-16 03:37:20上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言