网络环境已经愈发复杂,你能想象目前威胁入侵可以潜伏多长时间吗?
资料显示,数据外泄的平均发现时间已达到 197 天,而资料外泄的情况控制时间也提高到 69 天。换句话说,黑客有将近 9 个月的时间潜伏在企业内部而不被察觉。而在国内,甚至出现了,有的用户在接到上级部门的通报以前都并不知晓自身已经被入侵,直到溯源的时候才发现已经被入侵很长时间的相关事件。
威胁狩猎应运而生。威胁狩猎不是一种技术,而是一种方法。亚信安全给予了明确的定义:威胁狩猎服务是由威胁分析专家根据客户环境中的威胁线索,主动进行关联分析,在确认威胁影响范围和影响程度的基础上,提供治理建议的服务。
与此同时,作为大终端安全一体化解决方案的核心服务,亚信安全威胁狩猎实现了大终端运维平台的集成联动,不仅会让本地部署的EDR充分释放能量,挖出深藏网络中的未知威胁,更可以通过云端的远程狩猎模式,通过制导系统实现精准抓捕。
需要明晰的是,威胁狩猎是安全攻防需求升级的产物。随着万物互联,网络环境愈发复杂,不同的攻击行为更具产业化、团伙化,入侵手法也愈发多样化与复杂化,而传统以防御漏洞为主的安全策略在面对层出不穷的新型、持续性、高级威胁时难以及时有效的检测、拦截和分析。因此,安全攻防需求逐渐从被动的、以漏洞为中心进化为主动的、以情报为中心的建设模式。
威胁狩猎,基于威胁发现、分析以及追踪的能力,能够尽可能早地在 ATT&CK模型的不同攻击阶段发现威胁信息,分析并采取准确行动,并建立可重复利用的经验,形成威胁治理的闭环。但是,对于非专业化的威胁分析人员来说,有时候真的和“盲人摸象”和“管中窥豹”的故事比较类似,很难通过单一线索(日志)关联出更多精准的信息,并且通过碎片化的证据还原攻击的全貌。
传统安全服务 VS 威胁狩猎服务 VS 攻防渗透测试
威胁狩猎也可以理解为一个高级安全能力,集成了主动防御、创新技术、技术专家以及深度威胁情报来发现和阻止恶意的、并且极难检测的攻击行为。同时,这些攻击行为也是传统自动化的防御无法检测出来的。目前,威胁狩猎在业内被认为是最有效的主动型安全解决方案之一,且必须投入足够的资源,包括人员,系统、工具和经验等等,这些都是“成功狩猎”所不可或缺的。但这对于用户来说“太难了”。因此,需要安全厂商给予用户专业的安全支持,而配备专业且高效“安全工具”的专家团队服务,即威胁狩猎服务成为大势所趋。
值得注意的是,威胁狩猎服务与传统的安全服务,以及红蓝队进行的攻防渗透测试都有着非常大的区别。
先看传统安全服务,无非包含了合规检查、资产发现、漏洞扫描、打补丁、网络入侵检测等等,涉及了安服人员、标准安全基线检测与加固手册,以及常规化的安服工具。这就好比,每年一次的常规体检。而威胁狩猎服务则是深度检测,采用威胁狩猎专家、EDR终端检测响应产品等,将检测结果在基线范围之外的,需要做进一步的专项筛查进行“望闻问切”+西医影像,对病灶(例如肿瘤)早发现、早诊断、早处置。
另外,威胁狩猎也不同于针对APT攻击对抗赛或者红蓝军渗透测试。在威胁狩猎中,安全专家们会打破常规,化身为狩猎者,并预定一个风险假设:IT设施已经被攻击者成功控制,而狩猎者会主动开展寻找IT环境中安全威胁的行动。
在国外,大量用户已经接受了威胁狩猎的理念和多种服务形式,安全厂商能够以云化托管服务的模式,为用户提供实时威胁数据的监测、分析,完成高效的威胁响应及处置工作。 在国内,威胁狩猎服务的市场才刚刚开始。在技术成熟度方面,亚信安全的EDR产品,即高级威胁终端检测及响应系统(Cyber Threat Deep Investigation,CTDI)拥有众多成功案例。狩猎专家团队在帮助用户解决“潜伏长达三年的挖矿事件”、“某协同办公软件的零日漏洞溯源”,“某运营商紫狐木马远程被控溯源”的过程中,真正回答了 “谁进来了、是敌是友、干了什么”的问题。在能力扩展方面,亚信安全的EDR产品,顺利通过赛可达实验室威胁检测能力测试,荣获“东方之星”证书。其中支持ATT&CK框架攻击技术覆盖的项目高达124个。在技术创新方面,亚信安全威胁狩猎已经实现了与大终端运维平台的集成联动。通过亚信安全终端防病毒系统(OfficeScan)告警在大终端运维平台上聚类成安全事件,然后联动至EDR进行“遏制”和“修复”、可视化 “调查”分析,并实现了自动加入 “本地威胁情报”特征库进行全网防御,最终帮助用户实现全网免疫的效果。在交付形态方面,用户可以根据之前部署的端点安全产品和自身能力,选择本地狩猎、远程狩猎,以及SaaS托管的形式。灵活的交付形式,不仅可以让购买过EDR的用户,充分发挥出安全工具最大的价值,还可以让缺乏EDR系统和安全预算不足的用户也能具备威胁狩猎的能力。
