统一 SASE 角色 网络威胁猎杀

什么是威胁猎杀?

威胁猎取是一种主动防御方法,用于检测躲避现有安全解决方案的威胁。

为什么要猎杀威胁?

防火墙、IDS/IPS、SWG、ZTNA 和 CASB 功能有助于保护企业资产免受已知威胁。 安全供应商针对已知威胁开发保护措施,并通过定期更新安全服务和各种保护信息来部署这些保护措施。 保护措施包括阻止用户访问不良网站,通过签名阻止漏洞利用,以及阻止与已知托管 C&C 或声誉不佳的 IP 地址、域的连接。 几乎所有的安全功能都能通过 ACL(访问控制列表)阻止不需要的流量,从而保护资产。 由于国家赞助和经济收益,威胁行动者的复杂程度逐年大幅提高。 受到未知威胁攻击的企业应该有办法检测到任何泄露,以控制损失。 根据2022 年 M-trends 报告,2021 年的平均驻留时间(驻留时间是指攻击者在受害者环境中存在而未被发现的天数)为 21 天。 在某些地区,平均时间长达 40 天。 最令人担忧的是,47% 的受害者是通过外部通知得知威胁的。 受害者是通过攻击者的勒索、机密信息的公开披露以及几次从客户那里得知信息泄露的。 企业必须主动在内部检测威胁的存在,以减少损失并尽早采取补救措施。 这种检测环境中存在的威胁的过程就是 “威胁猎杀”。

威胁猎手的方法有哪些?

威胁猎取由安全分析师完成。 虽然猎杀威胁的做法已经存在了一段时间,但从理论上讲,这并不是什么新鲜事。 猎人倾向于寻找异常情况、提出假设并进行更深入的分析,以确定任何入侵迹象。 近年来真正发生变化的是来自不同企业的猎人之间加强了合作,例如共享战术、技术和程序(TTP),以及获取开源和商业威胁情报。 这些丰富的信息有助于猎人更有效地打猎。 威胁情报很有价值,但大量的数据会让猎人不知所措,难以筛选。 对于猎人来说,根据企业使用的资产、软件、硬件系统和云服务筛选出最相关的报告非常重要。 经过过滤后,威胁猎手可以使用 TTPs 来识别环境中的模式。 威胁猎手使用多种方法收集信息,包括

  • 分析驱动:在网络流量、协议流量、用户发起的流量、应用程序流量、用户登录行为、用户访问行为、端点和应用程序行为中观察到的异常现象,都可以作为开始搜索的良好指标。
  • 情报驱动:来自开源和商业实体的 IP/域名/文件/URL 信誉等威胁情报反馈可帮助猎手在其环境中搜索这些指标,并在观察到这些指标时开始猎杀。
  • 情境感知驱动:定期企业风险评估和资产皇冠宝石分析的结果可以帮助猎人创建假设并开始猎杀。

威胁猎人会综合使用上述方法来缩小开始狩猎的范围。 作为狩猎过程的一部分,分析人员依靠可观察性系统进行更深入的分析,以识别任何泄露。 如果发现任何威胁,成功的猎人可以发布 TTP,为其他猎人提供帮助。

SASE 在威胁狩猎中的作用是什么?

出错指标(IoC)是可用于识别和检测网络或端点上恶意活动的线索。 威胁猎手通常使用它们来对潜在的安全事件进行假设,并确定调查重点。 IoC 包括与已知恶意行为者或已知恶意软件相关联的 IP 地址、域名、URL、文件和电子邮件地址等。 各种异常情况,如流量、用户行为、服务行为和其他耦合情况,也是猎人关注的良好指标,可用于创建有关潜在安全事件的假设。 深度分析是威胁猎取的下一步,用于收集有关潜在事件的更多信息,如攻击的范围、影响和起源。 这类分析通常涉及利用各种工具和技术从各种来源(如网络流量、系统日志和终端数据)中提取和分析数据。 SASE 解决方案有望在威胁猎取的识别和调查阶段为威胁猎取者提供帮助。 预计未来的 SASE 解决方案将具备更全面的可观察性,如行为分析、实时监控和警报等功能。

通过 “妥协指标 “和 “关切指标 “进行识别

以下是SASE 解决方案可以帮助威胁猎手开始搜索的一些异常情况和威胁 IoC。 以下是 SASE/SDWAN 如何帮助发现流量异常的几个例子。

  • 与之前观察到的交通模式相比,交通模式异常。 它们可能包括以下方面的流量和连接数异常。
    • 企业站点到站点流量
    • 进出网站到互联网的流量
    • 进出应用程序的流量
    • 各种协议的流量
    • 往来用户的流量
    • 来往各区段的交通
    • 以及上述组合 – 站点 + 应用程序 + 用户 + 协议 + 分段。

具有网络安全功能的 SASE 解决方案有助于发现各类异常和漏洞:

  • 企业应用程序的访问与以前的模式或基线模式不同的异常情况,例如
    • 从以前未知的地理位置访问内部应用程序
    • 让很少访问内部应用程序的用户访问这些应用程序
    • 用户在零散时间访问内部应用程序
    • 来自以前未知地理位置的特权用户、很少管理这些资源的用户在奇怪的时间访问各种关键应用资源(如管理员资源
    • 拒绝用户访问应用程序和资源。
  • 互联网和 SaaS 访问与以往模式或基线模式不同的异常情况,如上述访问异常情况。
    • 个人用户访问各种 URL 类别
    • 访问用户以前未访问过的互联网网站
    • 按用户计算的带宽使用量和 HTTP 交易异常次数
    • 用户在非办公时间访问网站。
    • 拒绝访问互联网网站/类别
    • 按用户访问各种 SaaS 服务的各种功能。
  • 各种漏洞利用:根据 M-Trends 报告,攻击者使用的 “初始感染途径 “是利用软件和配置中的漏洞。 许多威胁行为者首先利用软件漏洞安装不同类型的恶意软件。 Metasploit 和 BEACON 等流行的漏洞利用框架捆绑了多个已知漏洞利用脚本。 这些框架似乎很受威胁行为者的欢迎。 在流量中观察到的任何漏洞都可能是一个很好的指标,表明会有不好的事情发生。
  • 协议异常:任何异常协议数据,即使从协议规范的角度来看是合法的,也是值得关注的信号。 DNS 和 HTTP 协议异常示例如下。
    • 如果使用 DNS
      • 在查询的域中看到许多子域是不正常的
      • 看到很长的域是不正常的
      • 域名中大写字母和小写字母混用是不正常的。
      • 出现非字母数字字符是不正常的。
      • 除了 A、AAAA、PTR 之外,其他查询都是不正常的。
    • 如果是 HTTP:
      • 看到很长的 URI 和大量的查询参数是不正常的。
      • 不常用的 URI 编码。
      • 看到许多请求标头和响应标头是不正常的。
      • 在 URI 查询参数、请求标头和请求正文中看到 SQL 语句、shell 命令和脚本是不正常的。
      • 没有主机请求标头的 HTTP 事务是不正常的。
      • 在 URI 和标头中出现 CRLF 字符是不正常的。
      • 出现多个同名参数是不正常的
      • 还有更多…
    • 访问声誉不好的网站:单次或多次访问具有不良 IP 地址、域名和 URL 的网站,也是开始追查的良好指标。

调查

作为狩猎的一部分,猎人希望 SASE 系统至少能从网络角度帮助他们深入调查。 为了实现全面的端到端可视性和调查,猎人可能还需要与端点、应用程序、虚拟化和容器化平台可观察性系统合作。 猎人对 SASE 可观测性的调查期望主要集中在更深入的搜索能力上。 例如,在检测到漏洞流量时,猎人可能会想调查被漏洞利用的机器/软件是否与其他内部系统进行了本系统通常不会进行的连接,或者是否从其他系统下载了任何通常预期之外的文件,以及本系统是否向其他系统上传了任何恶意软件等。

摘要

威胁猎杀已成为许多企业的常规做法。 这通常包括检测出错指标(IoC),并利用端点、应用程序、虚拟化和安全访问服务边缘(SASE)的可观察性平台进行调查。 要实现全面的威胁猎杀生命周期管理,就需要将软件定义广域网 (SDWAN)、各种网络和威胁安全功能以及全面的可观测性结合起来的统一 SASE。

  • CTO Insights 博客

    Aryaka CTO Insights博客系列提供有关网络、安全和SASE主题的思想领导。
    有关Aryaka产品规格,请参阅Aryaka数据表。