网络环境已经愈发复杂,你能(néng)想象目前威胁入侵可(kě)以潜伏多(duō)長(cháng)时间吗?
资料显示,数据外泄的平均发现时间已达到 197 天,而资料外泄的情况控制时间也提高到 69 天。换句话说,黑客有(yǒu)将近 9 个月的时间潜伏在企业内部而不被察觉。而在國(guó)内,甚至出现了,有(yǒu)的用(yòng)户在接到上级部门的通报以前都并不知晓自身已经被入侵,直到溯源的时候才发现已经被入侵很(hěn)長(cháng)时间的相关事件。
威胁狩猎应运而生。威胁狩猎不是一种技(jì )术,而是一种方法。亚信安(ān)全给予了明确的定义:威胁狩猎服務(wù)是由威胁分(fēn)析专家根据客户环境中(zhōng)的威胁線(xiàn)索,主动进行关联分(fēn)析,在确认威胁影响范围和影响程度的基础上,提供治理(lǐ)建议的服務(wù)。
与此同时,作(zuò)為(wèi)大终端安(ān)全一體(tǐ)化解决方案的核心服務(wù),亚信安(ān)全威胁狩猎实现了大终端运维平台的集成联动,不仅会让本地部署的EDR充分(fēn)释放能(néng)量,挖出深藏网络中(zhōng)的未知威胁,更可(kě)以通过云端的遠(yuǎn)程狩猎模式,通过制导系统实现精(jīng)准抓捕。
需要明晰的是,威胁狩猎是安(ān)全攻防需求升级的产(chǎn)物(wù)。随着万物(wù)互联,网络环境愈发复杂,不同的攻击行為(wèi)更具(jù)产(chǎn)业化、团伙化,入侵手法也愈发多(duō)样化与复杂化,而传统以防御漏洞為(wèi)主的安(ān)全策略在面对层出不穷的新(xīn)型、持续性、高级威胁时难以及时有(yǒu)效的检测、拦截和分(fēn)析。因此,安(ān)全攻防需求逐渐从被动的、以漏洞為(wèi)中(zhōng)心进化為(wèi)主动的、以情报為(wèi)中(zhōng)心的建设模式。
威胁狩猎,基于威胁发现、分(fēn)析以及追踪的能(néng)力,能(néng)够尽可(kě)能(néng)早地在 ATT&CK模型的不同攻击阶段发现威胁信息,分(fēn)析并采取准确行动,并建立可(kě)重复利用(yòng)的经验,形成威胁治理(lǐ)的闭环。但是,对于非专业化的威胁分(fēn)析人员来说,有(yǒu)时候真的和“盲人摸象”和“管中(zhōng)窥豹”的故事比较类似,很(hěn)难通过单一線(xiàn)索(日志(zhì))关联出更多(duō)精(jīng)准的信息,并且通过碎片化的证据还原攻击的全貌。
传统安(ān)全服務(wù) VS 威胁狩猎服務(wù) VS 攻防渗透测试
威胁狩猎也可(kě)以理(lǐ)解為(wèi)一个高级安(ān)全能(néng)力,集成了主动防御、创新(xīn)技(jì )术、技(jì )术专家以及深度威胁情报来发现和阻止恶意的、并且极难检测的攻击行為(wèi)。同时,这些攻击行為(wèi)也是传统自动化的防御无法检测出来的。目前,威胁狩猎在业内被认為(wèi)是最有(yǒu)效的主动型安(ān)全解决方案之一,且必须投入足够的资源,包括人员,系统、工(gōng)具(jù)和经验等等,这些都是“成功狩猎”所不可(kě)或缺的。但这对于用(yòng)户来说“太难了”。因此,需要安(ān)全厂商(shāng)给予用(yòng)户专业的安(ān)全支持,而配备专业且高效“安(ān)全工(gōng)具(jù)”的专家团队服務(wù),即威胁狩猎服務(wù)成為(wèi)大势所趋。
值得注意的是,威胁狩猎服務(wù)与传统的安(ān)全服務(wù),以及红蓝队进行的攻防渗透测试都有(yǒu)着非常大的區(qū)别。
先看传统安(ān)全服務(wù),无非包含了合规检查、资产(chǎn)发现、漏洞扫描、打补丁、网络入侵检测等等,涉及了安(ān)服人员、标准安(ān)全基線(xiàn)检测与加固手册,以及常规化的安(ān)服工(gōng)具(jù)。这就好比,每年一次的常规體(tǐ)检。而威胁狩猎服務(wù)则是深度检测,采用(yòng)威胁狩猎专家、EDR终端检测响应产(chǎn)品等,将检测结果在基線(xiàn)范围之外的,需要做进一步的专项筛查进行“望闻问切”+西医(yī)影像,对病灶(例如肿瘤)早发现、早诊断、早处置。
另外,威胁狩猎也不同于针对APT攻击对抗赛或者红蓝军渗透测试。在威胁狩猎中(zhōng),安(ān)全专家们会打破常规,化身為(wèi)狩猎者,并预定一个风险假设:IT设施已经被攻击者成功控制,而狩猎者会主动开展寻找IT环境中(zhōng)安(ān)全威胁的行动。
威胁狩猎服務(wù),新(xīn)模式新(xīn)赛道
在國(guó)外,大量用(yòng)户已经接受了威胁狩猎的理(lǐ)念和多(duō)种服務(wù)形式,安(ān)全厂商(shāng)能(néng)够以云化托管服務(wù)的模式,為(wèi)用(yòng)户提供实时威胁数据的监测、分(fēn)析,完成高效的威胁响应及处置工(gōng)作(zuò)。 在國(guó)内,威胁狩猎服務(wù)的市场才刚刚开始。在技(jì )术成熟度方面,亚信安(ān)全的EDR产(chǎn)品,即高级威胁终端检测及响应系统(Cyber Threat Deep Investigation,CTDI)拥有(yǒu)众多(duō)成功案例。狩猎专家团队在帮助用(yòng)户解决“潜伏長(cháng)达三年的挖矿事件”、“某协同办(bàn)公(gōng)软件的零日漏洞溯源”,“某运营商(shāng)紫狐木(mù)马遠(yuǎn)程被控溯源”的过程中(zhōng),真正回答(dá)了 “谁进来了、是敌是友、干了什么”的问题。在能(néng)力扩展方面,亚信安(ān)全的EDR产(chǎn)品,顺利通过赛可(kě)达实验室威胁检测能(néng)力测试,荣获“东方之星”证书。其中(zhōng)支持ATT&CK框架攻击技(jì )术覆盖的项目高达124个。在技(jì )术创新(xīn)方面,亚信安(ān)全威胁狩猎已经实现了与大终端运维平台的集成联动。通过亚信安(ān)全终端防病毒系统(OfficeScan)告警在大终端运维平台上聚类成安(ān)全事件,然后联动至EDR进行“遏制”和“修复”、可(kě)视化 “调查”分(fēn)析,并实现了自动加入 “本地威胁情报”特征库进行全网防御,最终帮助用(yòng)户实现全网免疫的效果。在交付形态方面,用(yòng)户可(kě)以根据之前部署的端点安(ān)全产(chǎn)品和自身能(néng)力,选择本地狩猎、遠(yuǎn)程狩猎,以及SaaS托管的形式。灵活的交付形式,不仅可(kě)以让購(gòu)买过EDR的用(yòng)户,充分(fēn)发挥出安(ān)全工(gōng)具(jù)最大的价值,还可(kě)以让缺乏EDR系统和安(ān)全预算不足的用(yòng)户也能(néng)具(jù)备威胁狩猎的能(néng)力。
