这一篇可以算是保真度漏斗模型的感悟篇,分享给安全同行们开阔思维。
威胁狩猎似乎成了当下安全行业的主流概念,但在业内它经常与威胁检测混淆,这种混淆的认知偏差难以被消除。
威胁检测的方式已经存在了很长时间,它可以追溯到比你年龄还大的IDS盒子,除了基于各种规则匹配命中内容的静态特征检测外,现代威胁检测更多的是基于动态行为检测。
威胁狩猎更像是一种数据挖掘分析,安全遥测的数据决定了威胁猎手是否能愉快的进行狩猎,威胁猎手的经验、知识是否能转化为数据挖掘分析方法,决定了狩猎是否会有成效。
威胁检测是基于已知的指标捕获创建恶意活动的信号,与开发过程一样,检测规则在投入生产环境之前需要进行测试,安全工程师必须在宽松检测和精准检测之间划清界限,这是一个矛盾的问题,宽松意味着大量的误报,精准要面临漏报的风险,这是只能调和但无法避免的特性。而威胁狩猎不必要担心检测过程的测试成本和风险,它需要的是花费更多的时间来分析大量结构化和非结构化安全数据,它的瓶颈在于安全遥测收集数据的维度、质量和深度,也就是我们说的安全视野,当然还要威胁猎手具备与之匹配的技能、知识、经验和方法。
威胁狩猎在查询和分析安全数据时采用了不同的方法,它旨在识别可能绕过检测的威胁,以及回溯威胁检测信号(告警)的上下文,因此威胁猎手需要了解当前检测规则的结构,去更多关注当前检测未覆盖到的攻击或由于噪声(高误报率)而难以检测的攻击。
威胁狩猎通常还需要对数据进行统计分析计算,划定出可分析的实体基线和实体社群,找出离群异常,例如某类进程、某类主机首次出现的某类异常行为。分析挖掘离群异常是威胁狩猎的核心工作,所以威胁狩猎对搜寻结果中的噪声和黑白判定错误具有更多的宽容度,可以允许多种数据分析方法和机器学习模型辅助人工进行异常判定,更多的需要不排斥和威胁猎手合作的数据科学家。
威胁狩猎和威胁检测都需要攻击模拟验证,以深入了解针对已知攻击如何相应地搜寻或检测威胁。威胁狩猎和威胁检测都会使用特定的威胁情报指标(IOC和IOA),威胁狩猎关注威胁情报发生在攻击活动的哪个阶段以及情报的上下文,威胁检测只关心是否命中捕获到了信号。
不同规模的企业的安全成熟度不一样,对于小型企业,威胁狩猎的形式并不一定比传统的威胁检测更高效且更具成本优势。对于大型企业,安全遥测、威胁狩猎、威胁检测、威胁情报和攻击模拟验证应该协同工作,形成一个完整的信息安全流程。