33 在 Kill Chain 攻击框架发布了近 10 年后，ATT&CK 框架做为后继者极大丰富了攻击分析和场景，包含了黑客渗透过程中利用 具体的各种技术。在这么多攻击技术和手段的攻击下，传统的安全设备堆叠已经失守。比如各种 Webshell 的混淆、加密流量、社 会工程对于终端的渗透，这些技术基本都可以穿透所有的传统安全产品下堆叠出的安全架构和系统。 在 FireEye 的 M-Trends 2020 Reports 中， 发现攻击者隐藏或者驻留时间的中位数为 56 天。 近几年的威胁检测时间都在不断缩短， 主要是由于对于内部威胁的情况发现较早，极大的减少了中位数，但是外部威胁的驻留时间还在 141 天，接近 5 个月之久。 高级威胁的存在背后是拥有高级黑客技术的人和相关的动机。对于攻击行为的动机可以分为随机的、自动化的、报复性的、 经济目的、政治目的和军事目的，威胁的等级也不同。攻击者组织方式无论从时间精力和和武器库的丰富度来说，对于防御方来 说都是极大的不平衡。缺少高级的攻击防御经验、没有太多时间精力去保证全面的安全，缺乏相关高级的技术手段来应对。威胁狩猎 101 文档 图 1：ATT&CK 和 Kill Chain 的融合图 图 2：全球驻留时间中位数（按年份划分） 图 3：高级威胁与动机行业脉搏34 根据 Sans 网络安全滑动标尺模型有五个阶段，架构安全、被动防御安全、主动防御安全、威胁情报和反制安全。在整个安全 建设的过程中， 目前整体都是在架构安全和被动防御安全这两个方面努力， 而在主动防御方面， 投入的技术、 人力和产品还严重不足。 要提高整个安全态势向更高层面的提升，必须要重视主动防御安全的建设。 针对以上四种情况：1. 攻击手段多样性，2. 攻击者驻留时间长，3. 高级威胁检测难度高，4. 安全建设的进一步要求，网络威 胁狩猎（Cyber Threat Hunting）应运而生。威胁狩猎是主动安全的代表性技术，依赖于相关技术手段和人的知识，利用威胁狩猎可 以减少我们目前的威胁。威胁狩猎的定义：威胁狩猎是一个高级安全功能，集成了主动防御、创新技术、技术专家以及深度威胁 情报来发现和阻止恶意的并且极难检测的攻击行为。同时，这些攻击行为也是传统自动化的防御无法检测出来的。 一、威胁狩猎详解 威胁狩猎、SOC 和事件响应的关系 威胁狩猎与 SOC 运营中心以及 IR 事件响应的关系如下图所示： SOC 团队主要是运营维护日常的安全设备和 SIEM 报警以及如何分类处置这些事件；威胁狩猎团队主要是基于一些数据和征 兆进行分析安全事件， 而不是直接的安全报警 ； 事件响应团队根据这两个团队提供的信息进行相关的动作以及后面如何处理、 取证、 恢复等。 图 4：Sans 网络安全滑动标尺模型 图 5：威胁狩猎、SOC 和事件响应的关系行业脉搏35 三者的联系在于，威胁狩猎将安全情报输送给 SOC 团队，并且从事件响应团队获取狩猎方法论。SOC 团队将安全事件发送给 事件响应团队，并从该团队获取情报。事件响应团队接受来自威胁狩猎和 SOC 团队的事件或者潜在的渗透行为。 在 2019 年的 Threat Hunting 报告中，受访者关于 SOC 有一些问题是目前很难解决的，比如一些高级威胁、处理误报时间、以 及缺乏专家型人才、响应时间太慢等等。 针对这种情况， 威胁狩猎的主要的目的是减少外部威胁暴露面、 提高威胁响应的速度和准确性， 减少入侵的数量以及响应时间。 威胁狩猎的过程 威胁狩猎是一个持续的过程，也是一个闭环。基本都是基于假设作为狩猎的起点，发现 IT 资产中的一些异常情况，就一些可 能事件提前做一些安全假设。然后借助工具和相关技术展开调查，调查结束后可能发现新的攻击方式和手段（TTP），然后增加 到分析平台或者以情报的形式输入到 SIEM 中，可能触发后续的事件响应，从而完成一次闭环。 威胁狩猎的方式 威胁狩猎过程的起点是假设，但是这种假设有三种假设来源，也是狩猎的方式： ◆ 基于分 析的方式：分析分为两种，基本数据分析以及机器学习的 UEBA 的高级分析方式。图 6：威胁狩猎中面临的挑战与主要目标 图 7：威胁狩猎的过程 行业脉搏36 ◆ 基于重点的方式：皇冠珍珠分析法，基于 IT 资产中比较重要的资产进行重点关注。 ◆ 基于情报的方式：根据威胁情报提供的内容，进行 威胁狩猎。 威胁狩猎的成熟度 威胁狩猎也有成熟度评价，可以根据自身的安全建设情况进行相关的成熟度规划。主要有两个维度进行评价：分析水平和数 据收集水平。从低到高主要分为： ◆ Level 0：基本的自动化报警但没有数据收集； ◆ Level 1：有一定的威胁情报处理能力和一定的数据收集能力； ◆ Level 2：遵循数据分析的流程和较高级别的日常数据采集； ◆ Level 3：有一些新的分析流程和高级别的日常数据收集； ◆ Level 4：自动化大部分的分析过程和高级别的日常数据收集。 更全面的成熟度加入了假设的来源、使用的工具以及对于威胁情报的使用水平。 图 8：威胁狩猎的成熟度 图 9：威胁狩猎成熟度的全面分析行业脉搏37 二、威胁狩猎的开展 SANS 2019 年的威胁狩猎调查报告显示，对于威胁狩猎的预算情况排序，大部分的预算会放在技术和产品的采购上，其次是在 员工的招聘上，需要有新员工补充，排在后面的是培训和服务。 对于威胁狩猎人员技能方面，其中 75% 的受访者认为威胁狩猎团队需要具备网络知识、事件响应、威胁情报分析以及终端相 关知识等等。 对于工具和数据收集的方面，SIEM 报警、终端事件数据、IPDS 数据、威胁情报、终端日志数据是排名靠前的几类数据来源。 图 10：威胁狩猎预算分配情况 图 11：威胁狩猎团队成员应具备的技能 行业脉搏38 开展威胁狩猎活动需要考虑三点：人员、流程和技术。 其中，对于人员的规划，需要考虑招聘、培训以及服务外包三种方式。对于未来预期有长期需求但内部员工短时间内很难习 得的技能， 采用招聘的方式来引入能力；对于现有员工的能力提升， 需要加强培训增强员工对某些知识的理解；对于一些高级技能， 若招聘成本太高，同时培训周期太长时，可以采用外包服务的形式来解决临时需求。威胁狩猎的团队组织架构如下： 图 12：威胁狩猎的数据来源 图 13：威胁狩猎团队的组织架构行业脉搏39 威胁狩猎团队的人员组织， 需要 7 种角色， 有些角色可以合并为一个人， 不一定是 7 个角色 7 个人。 第一个角色是系统管理员， 主要针对 SIEM 系统的维护以及威胁狩猎平台的管理；狩猎初级分析师可以使用 SIEM 系统和威胁狩猎平台，处理报警和一些基本 平台使用。狩猎中级分析师具有对威胁情报、日志的分析能力，同时也具有渗透测试和网络协议的知识。狩猎高级分析师具有风 险等级评估、漏洞管理、网络包和日志的深度分析能力、以及恶意软件分析能力。取证专家对于内存、硬盘要有专业的取证知识， 可以做时间链分析。 狩猎工具开发人员要具备开发经验， 可以自动化一些狩猎场景。 恶意软件分析工程师， 主要负责恶意软件的逆向， 熟悉汇编语言等内容。安全情报人员，具有情报资深经验，能够筛选、使用、开发威胁情报。 上文从流程方面介绍了威胁狩猎的具体过程， 下面从管理角度描述一下整个威胁狩猎的过程， 一共分为六个步骤：目的确认、 范围确认、技术准备、计划评审、执行、反馈。 对于威胁狩猎的目的确认，必须要描述清楚相关的目的和预期达到的结果，跟前文中解决的那四个问题相关。范围确认阶段 主要是为了确认要达到预期结果，需要开发的威胁狩猎的假设用例。技术准备阶段要确认，在基于假设用例的情况下，需要采集 哪些数据和哪些技术和产品。计划评审是对范围确认和技术准备的内容进行评审，确认其是否能真正能满足目的。接下来就是执 行阶段，主要是看实际效果。最后进行复盘来检查每项活动中的一些不足，进行持续改进。 比较重要的是两个阶段：范围确认和技术准备。范围确认首先要进行测试系统的选择。对于测试系统，要确认需要哪些数据 和技术手段来进行威胁狩猎。其次，假设用例的开发尤为关键。假设用例作为威胁狩猎的核心，是威胁狩猎分析的起点，来源于 对数据的一些基本分析和高级分析，威胁情报的使用和收集以及对 TTP 的理解，甚至是一些核心能力的使用，比如使用搜索的分 析能力。 威胁狩猎技术方面包含三项准备工作：数据收集、产品技术选型和威胁情报的使用。关于数据收集，要利用数据收集管理架 构 CMF（Collection Management Framework），来评估收集的数据。可以根据以下几个维度进行考虑：位置、数据类型、KillChain 阶段、收集方法和存储时间。当然也可以参考更细、更有针对性的 ATT&CK 的 TTP 收集粒度，DeTT&CT 项目就是可以看出数据 收集的范围、质量和丰富度。总体来说，数据收集的内容主要有三种——终端类型数据、包数据和日志数据。在每类数据中，要 按照要求的格式和接口提供相关数据。收集形式主要有拉和推两种方式，即主动拉取数据和推送数据。图 14：威胁狩猎的六个步骤 行业脉搏40 在产品技术选型中，核心产品要考虑两种平台型产品：一种是围绕 SIEM 产品展开的威胁狩猎内容，要有威胁狩猎的模块， 另外一种威胁狩猎的平台型产品来实现这个功能， 当然也可以考虑这两个产品进行联动。 以 SIEM 为核心进行威胁狩猎平台的对接， 其他类型的安全产品的数据接口要能开放，并能对接 SIEM 产品。作为威胁捕猎的核心产品或者模块要有以下几种能力：安全大 数据的分析能力、查询搜索能力和威胁情报处理