威胁猎人(Threat Hunter)
威胁猎人(在有些情况下也被翻译为"威胁狩猎")的定义比较广泛,是一项新发展出来的网络安全概念。
简单地讲,"威胁狩猎"是指采用人工分析和机器辅助的方法迢,针对网络和数据进行主动的和反复的搜索,从而检测出逃避现有的安全防御措施的高级持续性威胁(即APT攻击)。而威胁猎人则是指在企业或组织中处于防守地位的,通过积极的方法来发现攻击和入侵事件的安全人员。
这里有一个基本假设,那就是在任何时刻,网络上至少有一个被攻破的系统,黑客的攻击成功地躲避了组织各项预防性的安全措施。
"与采矿相反,威胁猎人狩猎的行为就像寻宝,没有地图,也没有标准的流程,猎人们可以使用任何觉得正确的方式去捕获攻击者。"
从上述描述可以看出,威胁猎人专注于威胁,而不是脆弱性、具体的漏洞或恶意软件。威胁猎人的任务寻找可以证明网络中存在一个潜在的敌人的迹象或证据,这样做有助于遏制或消除攻击,一旦这些攻击被落实,可能会引起报警或导致数据泄露。
威胁猎人的目标是破坏攻击者并阻止敌人实现目标。因此在实现这一目标的过程中,需要学习和收集大量的关于对手和组织自身的各类信息,研究攻击者的行为模式、建立可视化的攻击链。威胁猎人的工作可以提高安全运营中心操作的前瞻性,将安全团队的工作焦点转移到早期检测上,获取更快的反应时间,及时缓解组织的风险。
如何成为一个优秀的威胁猎人
在与网络犯罪对抗的过程中,一个优秀的Threat Hunter(威胁猎人)总是希望可以料敌于先、快敌一步,有时候,就像下棋一样,如果能提早洞察对手的意图和招数,那么就占的了先机。
尽管安全防御者正在不断的努力,但是现实情况是,大多数组织都很难跟上攻击者的步伐,组织的安全团队(通常也称为"蓝队")要么处于被动救火的状态、要么处于懵懂挨打的状态,悲观地说,大部分组织的安全团队处于劣势。
Aberdeen最新发布了一份报告,基于Verizon2017数据泄漏报告(DBIR)的数据显示,2014-2016年,网络攻击的平均驻留时间(检测到攻击到时间)是38天。也就是说,攻击者比防守者领先了大约5~6周的时间。尽管这个数字与往年相比,已经有所减小,但距离安全期望相差还很远。
攻击的探测时间确实是组织必须重视的一个指标,以最近的几个重大网络事件为例加以说明;
- 美国大型的信用监督机构Equifax承认1亿4300万美国客户的个人数据、大约40万个英国人和10万加拿大的信息可能被盗,根据调查显示黑客入侵的事件至少在今年3月份之前,但该公司直到7月29日发现被入侵(也有证据称Equifax公司是内部5月份知晓此事的。)–检测时间大于2个月
- 世界上最大的会计师事务所之一的德勤公司,观球电子邮件服务器在2016年10月或11月遭到黑客入侵,直到2017年3月才被发现,包含客户信息、机密的电子邮件、业务计划等在内的的敏感数据可能已经被泄漏。–检测时间大于4个月
- 根据安全公司AVest最新发布的关于CCleaner软件被植入后门程序的调查报告显示,服务器至少在8月2日之前就已经被入侵,该事件直到9月初才被发现,超过200万用户可能受到影响,目前AVest公司已将该事件定性为APT攻击。–检测时间大于1个月
以上几个示例充分表明,防御者未能及时发现对手的存在,也很难采取有效的措施减少攻击的影响。
上图概述了一次攻击可能会经历的所有阶段。当攻击者首次入侵系统时,如果能在分发(deliver)或利用(Exploit)阶段检测到,是比较理想的,想要实现这一点并不容易。反过来讲,如果在数据已经泄漏的时候才意识到问题,可能就已经太晚了。大多数时候,专业的威胁猎人希望可以在控制阶段(command & control)阶段,或者在攻击者试图从最初的渗透状态转入持久状态时,发现攻击。
对于威胁猎人而言,其工作是建立在了解攻击者的战术和技术的基础上的,既然目标是发现攻击者,那么当然是越早发现越好。
想要成为优秀的/专业的威胁猎人,最基本的能力就是尽可能深入、全面的了解你的对手,最好能够代入攻击者的思想。那么,如何才能做到这一点呢?概括地说,涉及到三方面:了解你的敌人;了解你的网络,了解你的工具。
需要指明的是,这三点单独使用的话,效果并不完美,组合起来灵活的加以运用,才能事半功倍。
「Threat Hunter」进击之路1:了解你的敌人
作为一个蓝队队员,首先需要明白,你不是在和一堆的二进制文件在战斗,你面对的是一个有着强烈动机的攻击者,攻击动机可能是经济上的、政治上的或是军事上的。因此,想要代入他们的头脑和思想,首先需要知晓他们攻击背后的驱动力是什么?
你不能仅仅目光和精力集中在IoCs指标上,事实上,受现实条件制约,很多时候你并不能定位到具体的入侵指标,记住,攻击者可能会迅速的改变他们的IP地址、域名、文件哈希等,不费吹灰之力就能在一分钟内改变几百次。
因此,优秀的威胁猎人必须专注于高层次的战术和技术,注重提升描述攻击者("黑客画像")的能力,了解敌人的动机以及这些动机对他们行为的影响,在网络上搜索这些行为模式的证据,增强你对敌人的了解。
「Threat Hunter」进击之路2:了解你的网络
作为防御者,有时候你必须承认,攻击者甚至比内部人员更了解组织的网络状况。
由于许多公司仍然把重点放在边界和端点防御上,试图让坏人远离他们的网络周边,但是在连续的监视、检测和快速响应方面却没有投入足够的时间和资源。
所以,像一个攻击者一样认真地思考,比其他人更仔细地审查你的网络,了解它的来龙去脉、各种架构,甚至员工常用的软件、内部的软件开发流程等边边角角的信息。要知道,在你看不见的角落里,伺机而动的攻击者可是有大把的耐心和时间专注于研究目标系统和网络的任何弱点。
了解你的网络,就意味着你需要知道网络运行的正常模式,以便及时的发现异常模式。敌人可能从意想不到的地方攻击进来,你要知道什么是正常的,因为在不同的场景下,攻击所表现出的异常模式是不一样的。
这也关系到刚刚提到的第一点:了解你的敌人。防御者必须站在攻击者的立场思考其最有可能的切入点(基于行业特征、地理位置、公众形象等属性进行考量),了解哪些特定的数据可能是攻击者感兴趣的,进而明白组织的哪些网络和系统需要更多的关注。还是那句话:记住,着眼于目标和动机。这样做也就意味着允许安全团队的聚焦范围,把力量集中在攻击者最有可能使用的战术和技术上面,优先考虑这些攻击,并尝试提前部署安全加固及优化策略。
「Threat Hunter」进击之路3:了解你的工具
老练的攻击者可能会使用多种工具,这意味着蓝队成员也必须做同样的事情,甚至要做的更好,但也需要明白,不要过分依赖任何一种工具。威胁猎人关注的焦点应该集中在收集并分析有效的数据,而这些数据可以增强攻击链的可见性,在特定攻击发动的前几个阶段检测到攻击者的技术和程序。
即使没有有效的工具来收集和分析这些数据,优秀的威胁猎手会选择通过便携自己的工具或对手头可用的工具进行调整,集成各类有效的工具来实现自动化。
所以,像一个攻击者一样思考,理解他们的行为动机以及战术、技术和程序(TTP),充分了解你的网络和工具,这样做不仅能够在战略上领先攻击者一步,同时也有助于加强组织的整体安全态势,从被动转向主动,获得更多的自主权。
当然了,在组织力量有限的情况下,借助于专业的、可靠的安全合作伙伴,也是一种可行之策。
参考资料
黑客技术官网地址:http://www.hackdig.com/
【国际资讯】快报快报!全球四大会计公司之一德勤被黑,大量客户邮件遭泄露
译者:WisFree
预估稿费:130RMB
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
前言
又是新的一天,又是一起新的数据泄露事件。这一次倒霉的是作为全球四大会计公司之一的Delloitte(德勤),跟以前一样,该公司遭到了一次复杂的网络攻击,并泄露了大量的客户邮件。
全球四大会计公司之一的Deloitte被黑,大量客户邮件遭泄露
全球税务与审计公司Delloitte(德勤)已经发表了官方公告称,公司遭受了一次网络攻击,在此次攻击中,攻击者成功窃取了大量数据,其中包括公司某些客户的私人邮件以及机密文档。
德勤通常指的是"德勤全球"(Deloitte Touche Tohmatsu)的下属实体,该公司总部设立在英国。德勒全球在其国际化的战略指引下,在近150个国家和地区内拥有下属企业,汇集了12万名相关领域的专家,并致力于为客户提供卓越的专家服务和咨询。该公司拥有遍布全球的分支机构和会员,其主要业务集中在四个领域:审计、税务规划、咨询和财务顾问。该公司可以给大型银行、政府机构和大型财富五百强跨国公司提供税务、审计、运营咨询、网络安全咨询以及并购援助等服务,全球有一半以上的大型企业、国有企业、公共机构、本地重要客户以及成功的成长期企业都在享受着德勒的服务。这家企业采纳了合伙制的形式,本身不直接提供服务,而是通过其全球的会员企业来聚敛财务。
根据英国《卫报》的报道,这家全球会计事务公司在本周一正式对外发出公告,称其系统在去年十月份到今年三月份期间,曾被不明身份的攻击者通过一个电子邮件平台访问过,并查看了公司部分客户的"少量"私人邮件以及敏感文档。
该公司表示,他们在今年三月份发现了此次网络攻击,但是他们认为这个身份不明的攻击者也许早在2016年十月或十一月份就已经入侵了他们的电子邮件系统。这名攻击者通过使用一个管理员账号成功获取到了Deloitte(德勤)公司电子邮件服务器的访问权,且该系统并没有部署任何的双因素身份认证机制(2FA),从而导致攻击者能够不受任何限制地访问Deloitte(德勤)的微软邮箱。
除了电子邮件之外,攻击者很有可能还获取到了公司系统的用户名、密码、IP地址、公司业务情况以及员工健康状况等信息。
Deloitte(德勤)的一位官方发言人在接收媒体采访时表示:"为了快速响应此次网络安全事件,Deloitte(德勤)将实施一份较为全面的安全协议。除此之外,公司不仅将动员Deloitte(德勤)的内部网络安全团队对此次事件进行彻底的分析和调查,Deloitte(德勤)还将聘请第三方网络安全专家对此次事件的成因进行深入审查。作为安全审计过程中的一部分,Deloitte(德勤)将与少数首次事件影响的客户进行沟通接触,并且公司会在拿到分析报告之后的第一时间通知相关客户以及政府监管部门。"
目前,Deloitte(德勤)正在针对此次网络攻击事件对公司进行内部调查,而且该公司现在只通知了六名可能会受此事件影响的客户。
后记
Deloitte(德勤)已经成为了最新一次网络攻击的受害者,而就在上个月,Equifax公司也曾遭到过一次网络攻击,并泄露了1亿4300万名美国客户的个人数据。除此之外,就在上个星期,美国证券交易委员会(SEC)也对外表示,他们的系统遭到了不明身份的黑客攻击,并泄露了大量金融文件,攻击者很有可能会利用这些泄露数据来谋取非法利益。
当然了,此次的Deloitte(德勤)数据泄露事件并不是第一次,而且肯定也不是最后一次,希望其他公司要提高警惕,千万不要"事不关己高高挂起"!
本文由 安全客 翻译,转载请注明"转自安全客",并附上链接。
原文链接:http://thehackernews.com/2017/09/deloitte-hack.html
黑客技术官网地址:http://www.hackdig.com/
没有评论:
发表评论