威脅獵手養(yǎng)成的成長史
第一代威脅獵手成長史,事件響應(yīng)、取證和安全分析技術(shù)是關(guān)鍵。
滲透測試員是很有趣的工作,你可以拿著錢去嘗試突破客戶公司,與超酷的人一起工作,學(xué)到很多東西。最棒的是,即使你沒能闖入客戶的系統(tǒng),客戶還會非常高興,吹噓自己的計算機(jī)安全防御如何堅挺,連持續(xù)的黑客測試都能撐過。
而在過去幾年中,出現(xiàn)了更為菁英的白帽子黑客分支:威脅獵手。威脅獵手,既是先發(fā)制人的黑客,也是取證調(diào)查員,還是入侵檢測者和事件響應(yīng)(IR)人員。當(dāng)然,IR是他們的重點角色。
Rob Lee 是波士頓地區(qū)的作家、顧問和SANS教職研究員,在數(shù)字取證、漏洞發(fā)現(xiàn)、入侵檢測/預(yù)防和事件響應(yīng)方面有超過18年的從業(yè)經(jīng)驗。他的職業(yè)生涯始于在美國空軍特別調(diào)查處追蹤黑客,曾是安全公司曼迪安特的部門總監(jiān),專注跟蹤高級持續(xù)性威脅(APT)。
威脅獵手這個概念已經(jīng)出現(xiàn)了大約有6年時間。在曼迪安特與各種民族國家公司作斗爭的工作催生了主動威脅追捕。我們主動搜尋對手,基本就是在追捕壞人。最近3年這個詞成為了更加流行的熱詞,幾乎隨處可見,招聘列表和安全大會上也有,包括SANS自己的威脅追捕與事件響應(yīng)峰會。
Rob Lee 與人合著了講述蜜罐技術(shù)的《了解你的敵人》( Know Your Enemy )第2版,共同編撰了曼迪安特威脅情報報告《M-Trends:高級持續(xù)性威脅》。同時,他還是第一批威脅獵手,在威脅追捕這個術(shù)語出現(xiàn)前就是了。那么,他是如何走上威脅追捕之路的呢?
國家安全的需求
1998年,作為對抗俄羅斯“月光迷宮”黑客攻擊行動的響應(yīng)團(tuán)隊一員時。這還是第一次已知民族國家黑客(這里指俄羅斯)開始出于國家原因而主動攻擊多個政府網(wǎng)站。在此之前,大多數(shù)黑客行動都只是改個網(wǎng)站首頁之類的事,但這次這些人是真的專業(yè)級對手,他們根本不逃。
過去,只要被發(fā)現(xiàn),黑客通常就退出系統(tǒng)或網(wǎng)絡(luò),逃之夭夭再不回頭了。但這些俄羅斯黑客卻根本不跑。他們確實靜默了一段時間,可能一兩個月吧。但他們從未離開。今天,這種持續(xù)性攻擊已成常態(tài),但那時確實是一種全新的反應(yīng)。他們潛伏在那里,觀察我們的做法,甚至用鍵盤記錄記下我們的動作,然后重啟他們的攻擊活動。我們也在觀察他們,發(fā)現(xiàn)他們非常有耐心。相互觀察間我們了解了很多民族國家黑客組織的信息。我們必須轉(zhuǎn)變事件響應(yīng)的方法。
威脅獵手≥事件響應(yīng)人員
威脅獵手是主動事件響應(yīng)者。普通的事件響應(yīng)人員接到事件通報才會行動起來。威脅獵手則是在事件發(fā)生前就在搜尋壞人。他們掌握壞人的部分信息,知道壞人最有可能攻擊哪里,用什么方法攻擊,然后有針對性地搜索這些壞人。威脅獵手是先于傳統(tǒng)入侵檢測方法感知到壞人之前,就主動查找新威脅的事件響應(yīng)人員和取證調(diào)查人員。
威脅獵手是早期預(yù)警系統(tǒng)。他們縮短了威脅的“駐留時間”——從初始侵入到被檢測出來的時間間隔。過去,威脅往往能在網(wǎng)絡(luò)中潛伏數(shù)月之久。而威脅追捕團(tuán)隊就是要縮短這個發(fā)現(xiàn)威脅的時間。
如何成為一名威脅獵手?
首先在安全分析師的崗位上積累經(jīng)驗,然后進(jìn)入IR和網(wǎng)絡(luò)威脅情報領(lǐng)域。再加上一點攻擊者方法論及技術(shù)的知識,威脅追捕就成為了炙手可熱的技術(shù)。威脅追捕是當(dāng)今信息安全領(lǐng)域里能獲得的最高級技術(shù)集之一。威脅獵手的核心技術(shù)包括安全運營與分析、IR及修復(fù)、攻擊者方法論和網(wǎng)絡(luò)威脅情報能力。綜合來看,威脅獵手就是企業(yè)防御與檢測部門的特種部隊。
威脅獵手不會干坐著等通知,會利用傳統(tǒng)攻擊指標(biāo)(IoC)主動出擊。面對狡猾的對手,傳統(tǒng)入侵檢測是沒什么大用的。這些對手會避免觸發(fā)常規(guī)入侵檢測防御。只有威脅獵手才能找出他們。
每家公司都應(yīng)配備威脅獵手嗎?
不。得有一定規(guī)模的公司才具備這個條件。首先,你得有專門的安全運營中心(SOC),不是很小的或兼職的那種,而是能夠創(chuàng)建、消費和利用威脅情報,并能理解潛在的對手而不僅僅是IoC的那種。威脅追捕團(tuán)隊需要威脅情報,并輔以網(wǎng)絡(luò)運維人員、終端維護(hù)人員、惡意軟件分析員和可擴(kuò)展的工具集。
威脅獵手首先得知道搜捕的方向和內(nèi)容,只有專門的SOC能夠獲取到這些信息。就跟打獵似的,總得知道獵物會出現(xiàn)在哪里,會有哪些獵物,才能做好相應(yīng)的準(zhǔn)備。比如民族國家黑客,在進(jìn)行網(wǎng)絡(luò)間諜行動,他們最有可能出現(xiàn)在哪里?他們要找什么東西?他們的IoC是什么?知道了這些信息,就可以放出特種部隊來搜他們了。
有多少威脅獵手?
很難估算。很多人都自稱威脅獵手,但肯定只有擁有大規(guī)模安全運營的大型企業(yè)才養(yǎng)得起威脅獵手。財富200強(qiáng)企業(yè)大多擁有威脅獵手,美國國防部和其他政府機(jī)構(gòu)也有。這些機(jī)構(gòu)中大多都有不止一支威脅追捕團(tuán)隊。遭受大型攻擊的很多大公司,比如塔吉特和微軟,如今就有多支菁英威脅追捕團(tuán)隊,每一支都專門負(fù)責(zé)不同的業(yè)務(wù)部門。這些公司從安全狀況較差發(fā)展到擁有多支主動作為的威脅追捕團(tuán)隊,反映出安全能力的提升。
量化成效很難
威脅獵手本身和雇傭他們的公司都需要明白,威脅追捕也是有可能失敗的。威脅獵手的工作非常艱難,他們要找出不想被發(fā)現(xiàn)的狡猾對手,可能來不及及時揪出壞人。威脅獵手是個很有必要的角色,但按傳統(tǒng)意義量化其成功卻很難。只要在主動搜捕威脅,威脅獵手們就已履職盡責(zé)。
