来自 CC防护 2021-02-09 00:41 的文章

T级高防_最好的_抵御cc

T级高防_最好的_抵御cc

在ATT&CK系列网络研讨会的最后一部分,我们将深入了解复杂的安全团队如何构建成熟的威胁搜寻程序。红金丝雀的应用研究主管凯西·史密斯(Casey Smith)指导对话,网络安全防护,专家小组分享真实世界的故事和实用建议,帮助你开发4级威胁搜寻计划。错过了在线研讨会?接收"ATT&CK威胁狩猎"系列所有三个部分的点播录音。凯西和第一银行的布伦登·史密斯、红金丝雀的托尼·兰伯特和炭黑公司的布赖恩·巴斯金介绍了自动化和严格的数据分析等概念的结合如何帮助你和你的团队成为寻找威胁的领导者。在下面的文章中,Casey、Tony、Brenden和Brian回答了一些基本问题,即安全团队需要做些什么才能将其威胁搜寻计划提升到一个新的水平。Q: 自动化在成熟的威胁搜寻计划中扮演什么角色?凯西·史密斯,红金丝雀应用研究主管自动化在威胁搜寻过程中非常有用,因为它允许计算机系统做他们最擅长的事情:分析大量数据,将有趣的发现带到表面,并抑制那些嘈杂的、不太有趣的发现。这反过来又允许人脑做它最擅长的事情:斑点模式和异常。这就是说,虽然自动化很重要,但你不想过于依赖自动化。托尼·兰伯特,探测工程师,红金丝雀利用自动化技术,人类猎手可以集中精力调查可疑或邪恶的行为,而不是费力地搜索和处理那些容易由计算机执行的任务。自动化有助于将可疑事件引起人类的注意,并引导他们在额外的背景下进行调查。从本质上讲,自动化可以给人类提供工具,让他们对环境中的可疑行为做出更好的决定。Q: 狩猎过程中自动化的优势和局限性是什么?Brian Baskin,炭黑高级威胁研究员从积极的一面来看,自动化消除了分析员的时间和资源密集型流程,使团队能够利用过去的情报和已知的背景来最大限度地减少误报,维盟DDOS自动防御,从而将重点放在新的威胁上。然而,自动化需要良好的智能才能有效。构造不好的查询,或者依赖于研究不充分的报告,都会造成潜在攻击被忽略或严重程度降低的问题。布伦登·史密斯,CISO,第一银行检测生命周期真的让我们构建了有自动化辅助的剧本,这样我们每次都能以同样的方式处理事件。类似事件的发生却没有一个标准化的应对方式,这是非常令人沮丧的。对我们来说,重要的是我们有一个框架,而且我们在执行我们的威胁搜寻的方式上是一致的。我们有一个庞大的团队,所以如果我们没有一个正式的结构,我们可能会迷失方向。自动狩猎的局限性是基于人类的狩猎的优势,反之亦然:机器不善于即兴发挥,善于识别意外行为,而人类擅长即兴发挥,在识别意外行为方面不那么可靠。自动化在采用可重复的过程并与之一起运行是令人惊奇的,这样人类就不必承受否则将承受的负荷。人类可以利用他们以前的经验和知识来即兴发挥和识别出意想不到的行为,比如当可信的进程执行邪恶的行为时。为了实现自动化的相同效果,需要大量的编码、学习和基线化。Q: 在捕猎过程中,分析师可以关注哪些关键行为指标来区分小麦和谷壳?在本系列网络研讨会的第二部分中,炭黑的吉米·阿斯特尔(Jimmy Astle)曾提到过一个问题,企业ddos防御,那就是"帐户重用"。你实际上是在问自己,"这个用户为什么要用这台机器?"真正有趣的行为检测通常出现在用于横向移动或交互式服务帐户登录的帐户中。在横向移动的情况下,一个好的做法是使用未经批准的管理工具进行网络通信,以及主机之间的通信不属于授权管理方法的一部分。如果你的网络上不允许PsExec,那就去找吧!最好的情况下,您可能会发现违反策略的行为;最坏的情况下,您可能会发现对手在系统之间移动。这个概念不应该仅仅局限于端点分析。您还可以通过分析主机和网段之间的网络流量来执行相同类型的搜索。Q: 你如何证明花时间搜寻威胁的价值?你成功的标志是什么,特别是当狩猎占用了时间却什么也没有发现的时候?正确搜寻威胁的一个成功指标是,你获得了关于你所处环境的丰富背景。任何可能被认为不寻常的行为都会被评估、分类和查询。这样就可以生成主动的安全报告,这在各种情况下都是有用的,例如,cC防御源码,当一个新的TTP被公开披露时。安全团队可以快速评估威胁,将其与环境中已知的行为进行比较,并创建可信的报告。第二点是,威胁狩猎是要接受考验的。成熟的组织会接受来自外部组织的常规、专业的渗透测试。一个称职的威胁搜寻团队应该能够识别此类攻击,并在发生此类测试时以"不干涉"的方式进行识别。一个成功的威胁狩猎应该能够将红色团队报告的每一次攻击都分配给观察到的工件,就好像这是一次真正的攻击一样。寻找威胁是一个奇怪的价值主张。如果一次狩猎成功地发现了邪恶,组织就会燃烧更多的资源来除掉邪恶。另一方面,没有发现邪恶的狩猎给人一种使用资源没有回报的错觉。为了反对这种观念,当你完成一次"不成功"的搜寻时,你可以通过改进过程来证明价值。每次狩猎都应该教会你一些关于你的环境的知识。在你没有发现邪恶的情况下,你会知道在你的环境中什么是正常的,什么是你绝对不感兴趣的。一个很好的例子就是一个msword宏启动一个合法的脚本来管理文件(我们在制造业经常看到这种情况)。你可以利用这些知识来调整未来的狩猎和警报,这样在狩猎中使用的时间就更少了。在这些情况下,实际成功的一个很好的指标是执行狩猎所用的时间。对于相同战术的后续狩猎,调整工具所需的时间应更少。 我们发现,地图绘制是展示威胁搜寻计划一致性的一个很好的方法,当我与董事会、高管甚至监管者交谈时,我经常将这些地图用作教育资源。Q: 有没有简单的故事来概括一个有成熟狩猎计划的组织的重要性?加上凯西的"为什么这个用户在这里?"问题是,我在简单地问"为什么这里有这个可执行文件?"这在使用潜在的非标准棒棒糖时特别有用。在一次事件响应中,一家大型组织已将Putty Link(PLink)列入白名单,以创建从IT系统到服务器的加密网络隧道。然而,同样的工具也被敌人部署来掩盖他们的内部活动。该组织有一个成熟的软件清单和一个提供丰富元数据的端点,这意味着他们能够快速评估同一工具的不同版本,确定哪些版本以前得到IT部门的批准,并对具有未经授权版本的系统快速作出响应。这就提供了一种方法来识别以前被破坏和暂存的系统,即使它们没有被用于主动攻击。Q: 复杂的威胁搜寻计划最重要的方面是什么?最佳的威胁搜寻实践往往来自于那些拥有无限时间和资源来开发理论、了解可见性和收集差距以及开发定制工具以支持狩猎的团队。不管你的限制是什么,重要的是要记住不是所有的狩猎都能找到有趣的东西,但是当你试图回答关于你的环境的问题时,你几乎总能学到一些东西。 我认为有三个指导原则可以使最好的狩猎计划。因此,威胁搜寻计划应1)允许灵活和自由地预测即将到来的威胁,而不是对当前和以前的攻击方式作出反应;2)专注于扩大可见性,确保存在最小的(如有)威胁差距;3)可持续测试,无论是有意或无意的来源,这样您就可以检测到差距,同时留出适当的时间来解决改进问题。 我总是想确保我的组织中的安全分析员得到正确的上下文和信息。除此之外,优秀的威胁猎杀单位能够优化团队的工作,ddos防御策略,从而尽可能提高效率。一般来说,我们希望他们在我们打猎时能尽快找到真正的威胁。注册观看第3部分点播,并获得完整的"威胁狩猎与ATT&CK"系列网络研讨会。