九游老哥

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务九游老哥网站清静监测服务Websafe 九游老哥黑洞云洗濯服务 CCSS 九游老哥网站云防护服务 WCP 九游老哥威胁情报中心NTI 九游老哥科技威胁情报云端解决计划九游老哥科技威胁情报外地解决计划九游老哥威胁检测与响应服务MDR 九游老哥外部攻击面治理服务EASM 九游老哥轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营九游老哥云九游老哥云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京九游老哥公益基金会鲲鹏基金产品清静软件升级

返回列表

洞见RSAC | 什么是威胁狩猎的准确“姿势”？

2021-06-09

威胁狩猎依旧是2021RSA的热门话题，企业往往通过威胁狩猎发明已知遗漏威胁和未知威胁。本文团结2021RSA内容，总结了威胁狩猎的基础知识，并分享了九游老哥科技的威胁狩猎系统。

一. 概述

网络攻击手艺和要领一直升级换代，攻击者从剧本小子、黑产犯法团伙向国家级组织演进，攻击能力一直提高，攻击手艺一直升级；威胁使用也从已知到未知一直生长转变。我们在NSA武器库走漏事务中发明，AI手艺的普及以及服务云化等手艺让攻击门槛越来越低。随着攻击手艺的演进，防守方也需要升级自身的防御计划。

SANS网络清静滑动标尺模子把整个清静建设划分为五个阶段：架构清静、被动防御、自动防御、威胁情报和反制。为了应对日益严肃的网络清静挑战，越来越需要防守方将自身清静建设从被动防御转换到自动防御、反制等自动清静的偏向上来，威胁狩猎手艺应运而生。

【图】SANS网络清静滑动标尺模子[1]

二. 从RSA2021看威胁狩猎

威胁狩猎是一种自动识别攻击痕迹的要领。有别于SOC、IDS、渗透测试和扫描，由威胁猎人使用威胁剖析工具、威胁情报和实践履向来起劲筛选、剖析网络和端点数据，寻找可疑的异�；蛘诰傩械墓セ骱奂�，去证实威胁假设。

从威胁狩猎的要领论来讲，威胁狩猎包括如下历程：

【图】威胁狩猎流程[2]

l 威胁假设：威胁猎人可以依赖于对自身资产的相识团结全网威胁情报对可能泛起的高危害资产遭受的攻击举行假设；

l 攻击工具/手艺视察取证：使用已网络的数据团结威胁情报，使用可视化、数据统计剖析等要领对数据集举行挖掘与剖析，获取攻击者的已知的或未知的攻击工具和攻击手艺；

l TTP发明与转换：狩猎的要害部分，团结威胁模子对已发明攻击者的攻击工具和攻击手艺进一步挖掘，发明攻击者的TTP。

l 一连刷新与自动化处置惩罚：上述办法基本上都是由威胁猎人提倡并加入的，发明已知或未知威胁的历程可以通过自动化处置惩罚，并刷新狩猎历程。最终将整个狩猎历程标准化、程序化，形成完整的自动化TTP情报发明机制。

基于上述狩猎历程，通过一直的循环、迭代，形成越来越多和越来越完善的高级情报生产流程。

基于上述的威胁狩猎历程依赖于威胁数据，网络终端的操作数据、IDPS、WAF的告警数据、全流量装备的流量特征数据、威胁情报数据等等这些数据都是威胁狩猎历程中的基础。研究员需要从这些数据中剖析出攻击者的战略、战术目的。

为了评估狩猎历程的成熟度，引入了狩猎成熟度模子。数据驱动的威胁狩猎成熟度模子是基于威胁狩猎框架，从数据网络能力、数据剖析能力和自动化水平来评估威胁狩猎能力。

l HM0：有基本的IDPS威胁数据，可是数据并没有汇聚在一起。险些无法剖析；

l HM1：能够把清静装备的告警数据汇聚在一起，可是没有更深一步的剖析能力；

l HM2：对网络的数据能够使用工具举行剖析及基础的清静假设，并使用情报数据举行威胁狩猎；

l HM3：能够建设有用的流程使用系统、工具，对网络的威胁数据基于威胁情报举行关联盘问，对威胁举行狩猎；

l HM4：在HM3的基础上最洪流平的使各个流程举行自动化，只管镌汰职员的加入。

【图】威胁狩猎成熟度分级[2]

威胁狩猎手艺蹊径大致可分为两类：基于流量举行狩猎和基于主机举行狩猎。RSA 2021大会中由来自美国的DLP厂商的CISO Tim Bandos分享的《Hunt and Gather:Developing Effective Threat Hunting Techniques》主题，先容了一个从无到有，怎样基于Sysmon、Shimcache、Autorun等主机侧的系统工具建设威胁狩猎系统。

自动化水平是威胁狩猎成熟度的标记性特征，怎样从手工狩猎抵达自动化狩猎呢？IBM的两位研究员推荐一个开源项目Kestrel，一种用于威胁狩猎的编程语言，提供了一套对狩猎目的举行形貌的表达语法，威胁猎人只需输入狩猎目的，Kestrel会实时输出狩猎效果。Kestrel提高了自动化狩猎的水平，资助威胁猎人举行更高效地狩猎。

【图】 “狩猎目的”表达语法示例[3]

三. 九游老哥威胁狩猎系统

九游老哥科技有着富厚的攻防履历，对威胁狩猎有着自己奇异的明确和落地方法，下面会详细先容九游老哥的威胁狩猎系统。

3.1 九游老哥威胁狩猎的循环和历程

威胁狩猎的焦点首先是人，然后是数据，最后是自动化。九游老哥科手艺创中心，在威胁狩猎理论基础上加入了威胁诱捕和反制能力环节，通过对攻击者举行反制能够更充分的相识到攻击者的战略意图和战术目的，从而富厚和增强情报数据。狩猎运动基于履历、情报和数据三个维度驱动。九游老哥科技在云端完整的运行了一套威胁狩猎流程，一直的增添狩猎规则完成狩猎历程，最终形成狩猎效果。

3.2 九游老哥威胁狩猎系统

基于威胁场景的假设首先要建设在完善的狩猎系统中，才华在系统中举行后续的狩猎历程。九游老哥科技威胁情报中心，依托完整的清静产品线装备和健全的清静服务能力建设完整的狩猎数据基础，借助多年积累的威胁情数据，团结清静研究院对攻防的明确和履历形成的知识库，建设完整的威胁狩猎系统，支持从行为、危害、情形等多个维度举行威胁狩猎。

3.2.1 基于假设的线索关联图剖析

威胁假设并不是凭空举行假设，而是将资产、情形、知识、行为、告警、情报等数据，通过关联剖析找出线索，使用线索举行威胁假设。

通常，数据中会包括攻击者攻击的效果、目的和使用手法，这些数据无序的漫衍在众多的数据中。将所有的数据的威胁特征、行为特征团结爆发的情形举行特征抽取和数据归一，团结知识库和情报数据对威胁数据举行关联并提取可疑线索。线索包括攻击者的所处情形、使用手段、攻击手艺等特征。研究职员通过这些线索特征大致推断攻击者的意图，并对威胁场景举行假设。

3.2.2 情报知识库建设

九游老哥科技威胁情报中心，依托多年的攻防履历和清静数据，基于知识组织条理模子举行情报知识库构建，自顶而下界讨情报知识库框架，分为信息层、知识层和智慧层。

1) 信息层作为知识库的基础，基于STIX2.0体现要领，使用云沙箱，威胁告警规则形成基础的知识库信息层。信息层笼统出21个知识本体和963481个知识实体；

2) 知识层使用MITRE界说的ATT&CK框架使用信息曾数据，将攻击模式、威胁指示器、恶意代码、战争等情报数据举行关联笼统形成知识层；

3) 智慧层形貌了每次狩猎历程中验证完成的威胁主体（攻击者/组织），包括威胁主题的战略战术、影响和危害。

3.2.3 全球诱捕系统

通过在全球规模内安排威胁诱捕系统，对攻击者/组织举行全方位的诱捕和监控。诱捕数据团结知识库通过威胁研判和剖析，对已知攻击者举行实时监控，对未知攻击者举行实时发明。诱捕节点遍布天下五大洲，涵盖了20多个国家，致力于通过安排在差别的地区，越发周全的捕获威胁攻击，增强威胁狩猎能力。

3.2.4 威胁狩猎系统

九游老哥科技威胁狩猎系统的目的是能够让Hunter（威胁猎人）在一个统一的自动化平台上使用海量威胁数据完成威胁狩猎历程。使用事情平台检索威胁数据，团结知识库发明威胁要害线索，使用线索举行威胁假设，团结全球诱捕系统举行威胁狩猎系。狩猎乐成后，将发明的已知或未知的威胁和影响规模以情报的方法输入至九游老哥威胁情报平台。并将攻击者信息作为全球诱捕系统的输入对攻击者举行一连监控。

四. 结语

威胁狩猎是一个主要的威胁发明历程，狩猎的效果可以作为高可靠的情报供企业举行清静防护和威胁监控。九游老哥科技情报中心自建设以来一直致力于对威胁的发明和感知，通过自研情报数据源、交流情报数据源、开源情报数据源天天爆发凌驾万万级的高质量情报数据。威胁狩猎是自研情报数据源的主要一环。信托这些高质量的情报数据能够为宽大客户的清静能力带来新的提升。

九游老哥威胁情报中心（NSFOCUS Threat Intelligence center, NTI）是九游老哥科技为落实智慧清静3.0战略，增进网络空间清静生态建设和威胁情报应用，增强客户攻防对抗能力而组建的专业性清静研究组织。其依托公司专业的清静团队和强盛的清静研究能力，对全球网络清静威胁和态势举行一连视察和剖析，以威胁情报的生产、运营、应用等能力及要害手艺作为焦点研究内容，推出了九游老哥威胁情报平台以及一系列集成威胁情报的新一代清静产品，为用户提供可操作的情报数据、专业的情报服务和高效的威胁防护能力，资助用户更好地相识和应对种种网络威胁。

· 参考文献 ·

[1]【公益译文】网络清静滑动标尺模子–SANS剖析师白皮书，九游老哥手艺博客，http://blog.nsfocus.net/sliding-scale-cyber-security/

[2] WHITE PAPER A Framework for Cyber Threat Hunting，@sqrrl

[3] RSA 2021 《Introducing Kestrel:The Threat Hunting Language》

<<上一篇

十三载RSAC热门钻研会，九游老哥科技立异清静逐浪前行

>>下一篇

智慧清静3.0之可信托解读

?

您的联系方法

购置热线

提交项目需求

接待加入九游老哥科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

九游老哥·(中国)俱乐部官方网站

九游老哥·(中国)俱乐部官方网站

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

九游老哥科技社区

九游老哥科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于九游老哥: 公司先容; 公司声誉; 九游老哥书橱; 九游老哥新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系九游老哥: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: 九游老哥云; 九游老哥威胁情报中心NTI; TechWorld手艺嘉年华; 北京九游老哥公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS 九游老哥科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号