建立检测方案需要考虑攻击者将如何通过自己的步骤实施不同的ATT&CK技术,了解这些步骤的运行方式以及最终如何检测这些步骤。青藤云安全表示,了解了这些之后,就可以构建、测试、部署、调整、禁用并定期验证检测方案。
该过程包括下文所述的检测生命周期(DLC):
检测方案构思
您将需要用一个系统来跟踪检测方案,从DLC的初始阶段追踪到每个阶段。人们对如何解决特定重要技术的检测方案有所了解。有时,只有一小部分解决方案得以实现,但是需要有一个中央存储区来存储这些信息,以便不同的人可以了解检测方案的进展情况,在了解不同的检测方法的同时,取长补短,相互学习。
检测方案创建
当检测方案的状态从构思过渡到可以实施,就可以宣布进行开发了。创建完检测方案并在本地测试后,就需要在DLC管理系统中检入并引用代码。然后,需要将检测方案的状态修改为“准备测试”。
检测方案测试
检测方案准备好进行测试后,需要将其部署到集成测试环境中,根据其输出结果,来预测新的检测方案所产生的事件数量,供安全分析人员审查。这是为了评估检测方案在类似于生产环境中的工作情况。
收集每个时间段内生成的事件数以及实际发生的事件数,以供检测开发人员审查。测试期结束后,将检测方案改成“准备审查”状态。检测开发人员和更高级的检测开发人员需要检查结果,并且在双方都通过审批后,将检测方案投入生产。如果检测方案产生太多的误报,则可以更改检测逻辑并将状态标记为“准备测试”。
检测方案部署
检测方案开发团队的两名成员批准了检测方案后,检测方案即可改为“准备生产”。此时,负责将检测方案安装到生产环境中的团队成员将检测方案部署到生产环境中。开始时,打开全部日志记录功能,并收集为期两周的试运行期内的所有数据,便于在公司长假期时进行部署。此时,需要告知安全分析人员采用了新的检测方案,他们知道如何评估检测方案产生的事件,并有机会提出与新事件有关的问题。
检测方案试运行期
经过两周的试运行期(如果期间发生问题,则在更短的时间内),检测方案开发人员将查看日志、事件以及与检测方案有关的任何其他相关信息。此外,测试团队还应手动创建新检测方案应识别的事件,以此来验证检测方案在生产环境中是否有效。
检测方案增强
检测开发人员分析信息,并对检测方案进行调整,解决已发现的问题。如果有问题,则将检测方案设置为“准备测试”状态。如果没有问题,则检测状态将更改为“最终生产”。这时,生产部署团队向安全分析人员公开事件,以便进行分类。
检测跟踪
关闭全部日志记录功能,但仍收集与检测方案有关的指标,进行跟踪和验证。
定期验证
需要对所有检测方案进行定期评估,了解其正常功能和相关性。此外,需要更改检测方案,将对手使用的新工具和技术(威胁情报)考虑在内。
使用ATT&CK进行威胁搜寻
建立检测方案,并在DLC内运行需要时间。在构建检测方案时,您可以使用MITER ATT&CK主动追捕网络中的威胁主体。
由于MITRE ATT&CK分类整理了攻击者用来破坏企业网络的行为性TTP,因此,也可以重点关注未实现的检测用例,以此来指导工作并寻找网络中活跃的威胁主体。您需要了解公司的关键资产是什么,攻击者可能针对的目标以及原因。然后使用MITER ATT&CK分类法,手动重点检测用于攻击关键资产的技术。
如果您在狩猎中重点关注已实现的检测方案未涵盖的技术,您可以使用狩猎过程获得的信息来制定相关的检测方案。最后,狩猎工作应该重点关注那些难以落实为检测方案的技术。
ATT&CK游戏化
进行MITRE ATT&CK全过程可能会变得机械化,也很单调。为了防止该过程发展成为装配线,将这个过程游戏化会非常有趣。
让小组尝试不断地绕过检测方案,然后检测技术,互相领先对方一步,每次不断奖励双方。这不是一方击败另一方。双方都在不断进步。
对ATT&CK的生命周期有更全面的了解,才能更深入的了解整个ATT&CK的安全框架。ATT&CK是一款可以加速检测与响应的最新工具。ATT&CK有助于理解攻击者的行为、技术、战术,帮助安全人员构建检测措施,验证防御措施以及分析策略的有效性。这与青藤云安全持续检测的理念不谋而合。
本文作者:青藤云安全
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/118244.html