互联网威胁狩猎框架 白皮书

2023-11-11 04:31

本文主要是介绍互联网威胁狩猎框架 白皮书,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

1:威胁狩猎的定义

    我们将狩猎定义为在网络中主动和迭代的进行搜索的行动,以发现并进一步隔绝针对现有安全策略的高级威胁。威胁猎人可能会用许多不同的安全技术来终结攻击者的攻击,问题在于不同案例中时常出现猎人采取了错误的方案解决攻击行为。最好的方法必须根据攻击者的具体攻击行为随时规划。狩猎不仅仅依赖于像SIEMs这样的自动化系统,还需要威胁猎人的手工分析,软件往往只是做一些辅助工作。在实际场景中,威胁警报很重要,但是你能想象一天生成几十万条威胁告警日志的情况吗,真正的安全威胁被大量的误报给淹没了同时淹没了安全工程师的戒心。所以威胁狩猎的主要目标之一就是通过设计新的方法来检测恶意活动,然后将这些新的方法转化为有效的自动化的安全分析,从而改进自动检测。

2:狩猎成熟度模型

    考虑到狩猎的需要,考虑一下什么是一个好的狩猎基础设施。在判断一个团队的狩猎能力时,有许多因素需要考虑,这些包括:

                    1-收集的数据的数量和质量;

                    2-可以用什么方式来可视化和分析各种类型的数据;

                    3-可以用什么类型的自动分析来增强分析能力

        团队从IT系统中定期收集的数据的质量和数量,是决定狩猎技术成熟程度的一个重要因素。信息的质量和信息的种类越多,作为猎人的分析效率和分析质量会更高。而可以作为分析数据所使用的工具,包括可以生成可视化图表和你可以进行攻击行为的具体工具,而这些工具的选择将会塑造你的狩猎风格和决定你将能够利用什么类型的狩猎技巧。

        第0等级:主要依赖于自动警报,路由数据收集很少甚至没有

        这些企业往往利用IDS、SIEM或杀毒软件在整个企业中检测恶意活动,他们不断更新威胁数据库的数据,虽然有技术的告警,但是他们完全没能力做威胁狩猎。

        第1等级:对威胁日志进行收集并索引,可以对威胁日志进行搜索

         企业已经成功部署了一些不错的安全分析工具并做了一些简单的定制,但是在分析手段上还是严重依赖于频率分析这类简单的手段

        第2等级:更高级并更复杂同时是遵循第三方安全标准的数据收集来源方案

        第3等级:有能力开展根据业务场景自研的安全分析系统

        第4等级:部署了大量的对数据进行可以进行自动化分析的安全规则

        第4等级和第1等级最大的区别在于拥有自动化的分析系统后,4级企业的安全分析师从大量的重复性工作中解放出来可以进行大量创新化的安全分析行为

        设计这个等级的意义在于,如果一个企业需要设计自己的安全狩猎队,这个模型可以帮助企业评估当前企业的现状,以及改进的方向和可以改进的程度

3:狩猎循环

        每一次“狩猎季节”开始于创造一个安全假设。可以关于某种类型的活动也可能在你的IT环境中进行。我们来看一个假设的例子:某企业的高管出差,而他携带的信息数据如果泄露所带来的风险很高,而他被其他国家资助的黑客盯上了。所以你可以通过计划在他的笔记本电脑上寻找被放置后门的迹象或者假设他们的授权账户在企业的内部网络中进行各种非常规操作。每一个假设都是单独进行测试。分析人员可以根据这种类型的狩猎结果来手动设计新的安全假设。

        第二,通过各种工具和技术对假设进行调查,包括关联数据分析和可视化。使用工具利用原始数据和中间数据并通过可视化、统计分析或机器学习来融合不同的网络安全数据集。关联这些数据集以合理的方法论分析解决问题所需的安全假设,这也是狩猎平台的关键组成部分。有关数据甚至可以为可视化添加权重和方向性,使大数据搜索变得更容易。设置和使用更强大的分析。在更高级的层面上,安全假设也可能由风险算法自动生成根据各种不同的条件对特定的用户或实体进行怀疑。例如,一个风险评估算法可以利用各种杀链行为分析的输出(例如,信标行为,横向运动行为,外渗行为)并将它们组合成一个单一的用户或实体的风险评分,这将为狩猎提供一个良好的起点。还有许多其他的补充技术,包括像数据聚类。分析人员可以使用这些不同的技术来轻松地发现新的他们的数据中有恶意的模式,并重建复杂的攻击路径来揭示攻击者的策略,技术和过程(ttp)。

        通过对行为的分析找出恶意行为的特征后,使用自动化的工具将恶意行为分析出来。就能进行针对攻击者的意图分析。

 

这个白皮书我真是后悔翻译,都特码的是废话。

//2018.5.25更新

    某团已经开始内部测试威胁狩猎了,以内部安全审计为驱动的安全审计工作非常先进,具体细则不讲,但是已经挖掘出内鬼了,总体思路以假想敌和线索挖掘为主,实践的成功表明过多的安全告警在大体量的企业中参考价值会随着企业的膨胀而减小,威胁狩猎的假想敌演习却能重新挖掘相关的日志中所蕴藏的黄金!参看某团威胁狩猎负责人博客:http://pirogue.org/

转载于:https://my.oschina.net/9199771/blog/1789178

这篇关于互联网威胁狩猎框架 白皮书的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/387558

相关文章

Python Dash框架在数据可视化仪表板中的应用与实践记录

《PythonDash框架在数据可视化仪表板中的应用与实践记录》Python的PlotlyDash库提供了一种简便且强大的方式来构建和展示互动式数据仪表板,本篇文章将深入探讨如何使用Dash设计一... 目录python Dash框架在数据可视化仪表板中的应用与实践1. 什么是Plotly Dash?1.1

基于Flask框架添加多个AI模型的API并进行交互

《基于Flask框架添加多个AI模型的API并进行交互》:本文主要介绍如何基于Flask框架开发AI模型API管理系统,允许用户添加、删除不同AI模型的API密钥,感兴趣的可以了解下... 目录1. 概述2. 后端代码说明2.1 依赖库导入2.2 应用初始化2.3 API 存储字典2.4 路由函数2.5 应

Python GUI框架中的PyQt详解

《PythonGUI框架中的PyQt详解》PyQt是Python语言中最强大且广泛应用的GUI框架之一,基于Qt库的Python绑定实现,本文将深入解析PyQt的核心模块,并通过代码示例展示其应用场... 目录一、PyQt核心模块概览二、核心模块详解与示例1. QtCore - 核心基础模块2. QtWid

最新Spring Security实战教程之Spring Security安全框架指南

《最新SpringSecurity实战教程之SpringSecurity安全框架指南》SpringSecurity是Spring生态系统中的核心组件,提供认证、授权和防护机制,以保护应用免受各种安... 目录前言什么是Spring Security?同类框架对比Spring Security典型应用场景传统

Python结合Flask框架构建一个简易的远程控制系统

《Python结合Flask框架构建一个简易的远程控制系统》这篇文章主要为大家详细介绍了如何使用Python与Flask框架构建一个简易的远程控制系统,能够远程执行操作命令(如关机、重启、锁屏等),还... 目录1.概述2.功能使用系统命令执行实时屏幕监控3. BUG修复过程1. Authorization

SpringBoot集成图片验证码框架easy-captcha的详细过程

《SpringBoot集成图片验证码框架easy-captcha的详细过程》本文介绍了如何将Easy-Captcha框架集成到SpringBoot项目中,实现图片验证码功能,Easy-Captcha是... 目录SpringBoot集成图片验证码框架easy-captcha一、引言二、依赖三、代码1. Ea

Gin框架中的GET和POST表单处理的实现

《Gin框架中的GET和POST表单处理的实现》Gin框架提供了简单而强大的机制来处理GET和POST表单提交的数据,通过c.Query、c.PostForm、c.Bind和c.Request.For... 目录一、GET表单处理二、POST表单处理1. 使用c.PostForm获取表单字段:2. 绑定到结

修改若依框架Token的过期时间问题

《修改若依框架Token的过期时间问题》本文介绍了如何修改若依框架中Token的过期时间,通过修改`application.yml`文件中的配置来实现,默认单位为分钟,希望此经验对大家有所帮助,也欢迎... 目录修改若依框架Token的过期时间修改Token的过期时间关闭Token的过期时js间总结修改若依

MyBatis框架实现一个简单的数据查询操作

《MyBatis框架实现一个简单的数据查询操作》本文介绍了MyBatis框架下进行数据查询操作的详细步骤,括创建实体类、编写SQL标签、配置Mapper、开启驼峰命名映射以及执行SQL语句等,感兴趣的... 基于在前面几章我们已经学习了对MyBATis进行环境配置,并利用SqlSessionFactory核

cross-plateform 跨平台应用程序-03-如果只选择一个框架,应该选择哪一个?

跨平台系列 cross-plateform 跨平台应用程序-01-概览 cross-plateform 跨平台应用程序-02-有哪些主流技术栈? cross-plateform 跨平台应用程序-03-如果只选择一个框架,应该选择哪一个? cross-plateform 跨平台应用程序-04-React Native 介绍 cross-plateform 跨平台应用程序-05-Flutte