青藤云安全：云安全研究威胁狩猎实践指南（29页）.pdf

1、威胁狩猎实践指南威胁狩猎实践指南1目录背景介绍.2理解威胁狩猎.3当下安全威胁.3假设已经被入侵.5威胁狩猎定义.5定义被“猎杀”的威胁.6为什么需要威胁狩猎.7威胁狩猎的进化.7威胁狩猎常见误解.9准备威胁狩猎.10人：创建文化.10技术：采用必要的技术.12人和技术：熟悉所在环境.13开始狩猎.15狩猎意识.15准备狩猎.16威胁狩猎链.17成为大师.20高效威胁狩猎十大技巧.24威胁狩猎实践指南2背景介绍随着网络攻击技术和自制工具越来越先进，攻击者和网络犯罪组织变得越来越嚣张，与此同时组织机构想要检测入侵是否已经发生却变得越来越困难。整个网络环境变得愈发复杂，传统基于特征值的被动检测技术

2、效果变得越来越差，没有任何一种技术能够 100%检测到恶意活动，因此人们不得不主动出击去狩猎，也就是“威胁狩猎”。威胁狩猎是一种聚焦于追踪攻击者以及攻击者在执行侦查、执行恶意软件、窃取敏感数据时留下痕迹的一种主动防御技术。威胁狩猎不仅只是简单技术标记、报警可疑的活动，还需要应用人类的分析能力以及对环境上下文的理解来更快速地确定何时发生了未授权的活动。这使得攻击可以更早被发现，在攻击者完成攻击目标之前阻止其恶意行为。当然，实践威胁狩猎，需要有可用的工具可以帮助分析人员看清其组织网络中到底发生了什么，包括通过日志分析技术等。威胁狩猎实践指南3理解威胁狩猎-本章主要内容包括：理解当下安全威胁介绍威胁

3、狩猎实践了解威胁狩猎价值-曾经有这么一个犯罪故事，有人问“你为什么要抢劫银行？”。犯罪简单回答：因为钱在那里。如今的网络犯罪团伙和银行抢劫犯一样，他们窃取信息是因为他们能从中受益。威胁狩猎并不是新出现概念，已经成为安全行业最火热的话题。被动等待获取入侵证据已经不能发挥很大价值，与之相反，威胁狩猎是主动出击寻找入侵者和潜在未来入侵的迹象，因此企业组织不能坐等明显入侵特征出现再进行响应。当下安全威胁网络入侵事件的新闻已经变得司空见惯，以至于人们都逐渐对其麻木。与日俱增的攻击更是让人们怀疑其是否可以避免和消除。很多企业组织安全人员都活在重压之下，因为他们不知道每天都有哪些新漏洞、新威胁、新入侵出现。

4、下文将介绍攻击者常见攻击动机和手段。组织机构通常会面临几种不同动机的威胁：威胁狩猎实践指南4财务目标：黑客窃取信息，可以用于直接或间接的经济利益。例如，他们窃取信用卡号码进行购物，或者窃取医疗信息进行医疗欺诈。政治声明：黑客和“黑客活动分子”攻击网站以发表政治声明。窃取知识产权：包括窃取军事、商业机密等。破坏关键基础设施：破坏制造业、发电和配电、供水和运输系统等关键基础设施，试图制造混乱。恶意报复：当组织解雇对系统访问有深入了解的人员时，这些人可能会利用已知的信息对公司造成严重破坏。名声：攻陷高知名度、高价值网站的黑客会赢得其它同伙认可和尊重。然而，不管出于何种初衷，最终的结果是一样的，就是敏

5、感数据的泄露或业务操作的中断。攻击者似乎总是很容易进入组织的网络和系统。从全局的角度来看，攻击者可以通过不同的途径进行攻击：隐秘的恶意软件：目前入侵的主要方法是隐秘的恶意软件。为了逃避反病毒软件和其它工具的检测，如今恶意软件都采用先进的绕过技术，很难检测。例如，恶意软件为每台新受害计算机重新加密或重新打包，使每一个受感染的系统看起来都是独一无二的。这种方法很大程度上阻碍了基于签名检测技术的杀毒软件的。黑客入侵：入侵者使用各种方法诱骗员工包括诈骗短信、钓鱼邮件等。导致这些被安装了恶意软件终端成为黑客入侵系统的滩头阵地，例如这些恶意软件可能是一个键盘记录程序，帮助黑客轻易就窃取到登录密码，从而使入

6、侵者能够访问更多的系统和应用程序。威胁狩猎实践指南5入侵系统：这种方法速度快，攻击者通过扫描目标系统寻找可利用的漏洞，如未打补丁的系统、不安全的安全配置和默认的登录凭证、暴力破解等。内鬼：入侵者会通过各种手段将一个受信任的内部人员发展成间谍，让其协助提供秘密或进入内部系统。攻击者通常会使用阻力最小的路径来入侵组织，只要进入系统对于黑客而言就成功一大半。对受害者来说，这是一个入侵的开始，一次不起眼入侵可能就演变成威胁组织生存的恶意事件。假设已经被入侵过去安全人员常常把他们所有的筹码都放在安全防御上，认为有了正确的防御，就可以阻止任何攻击者破坏他们的防御系统，窃取核心资产。但是，这显然没有起到很好