第一代威胁猎手成长史,事件响应、取证和安全分析技术是关键。
渗透测试员是很有趣的工作,你可以拿着钱去尝试突破客户公司,与超酷的人一起工作,学到很多东西。最棒的是,即使你没能闯入客户的系统,客户还会非常高兴,吹嘘自己的计算机安全防御如何坚挺,连持续的黑客测试都能撑过。
而在过去几年中,出现了更为菁英的白帽子黑客分支:威胁猎手。威胁猎手,既是先发制人的黑客,也是取证调查员,还是入侵检测者和事件响应(IR)人员。当然,IR是他们的重点角色。
Rob Lee 是波士顿地区的作家、顾问和SANS教职研究员,在数字取证、漏洞发现、入侵检测/预防和事件响应方面有超过18年的从业经验。他的职业生涯始于在美国空军特别调查处追踪黑客,曾是安全公司曼迪安特的部门总监,专注跟踪高级持续性威胁(APT)。
威胁猎手这个概念已经出现了大约有6年时间。在曼迪安特与各种民族国家公司作斗争的工作催生了主动威胁追捕。我们主动搜寻对手,基本就是在追捕坏人。最近3年这个词成为了更加流行的热词,几乎随处可见,招聘列表和安全大会上也有,包括SANS自己的威胁追捕与事件响应峰会。
Rob Lee 与人合著了讲述蜜罐技术的《了解你的敌人》( Know Your Enemy )第2版,共同编撰了曼迪安特威胁情报报告《M-Trends:高级持续性威胁》。同时,他还是第一批威胁猎手,在威胁追捕这个术语出现前就是了。那么,他是如何走上威胁追捕之路的呢?
国家安全的需求
1998年,作为对抗俄罗斯“月光迷宫”黑客攻击行动的响应团队一员时。这还是第一次已知民族国家黑客(这里指俄罗斯)开始出于国家原因而主动攻击多个政府网站。在此之前,大多数黑客行动都只是改个网站首页之类的事,但这次这些人是真的专业级对手,他们根本不逃。
过去,只要被发现,黑客通常就退出系统或网络,逃之夭夭再不回头了。但这些俄罗斯黑客却根本不跑。他们确实静默了一段时间,可能一两个月吧。但他们从未离开。今天,这种持续性攻击已成常态,但那时确实是一种全新的反应。他们潜伏在那里,观察我们的做法,甚至用键盘记录记下我们的动作,然后重启他们的攻击活动。我们也在观察他们,发现他们非常有耐心。相互观察间我们了解了很多民族国家黑客组织的信息。我们必须转变事件响应的方法。
威胁猎手≥事件响应人员
威胁猎手是主动事件响应者。普通的事件响应人员接到事件通报才会行动起来。威胁猎手则是在事件发生前就在搜寻坏人。他们掌握坏人的部分信息,知道坏人最有可能攻击哪里,用什么方法攻击,然后有针对性地搜索这些坏人。威胁猎手是先于传统入侵检测方法感知到坏人之前,就主动查找新威胁的事件响应人员和取证调查人员。
威胁猎手是早期预警系统。他们缩短了威胁的“驻留时间”——从初始侵入到被检测出来的时间间隔。过去,威胁往往能在网络中潜伏数月之久。而威胁追捕团队就是要缩短这个发现威胁的时间。
如何成为一名威胁猎手?
首先在安全分析师的岗位上积累经验,然后进入IR和网络威胁情报领域。再加上一点攻击者方法论及技术的知识,威胁追捕就成为了炙手可热的技术。威胁追捕是当今信息安全领域里能获得的最高级技术集之一。威胁猎手的核心技术包括安全运营与分析、IR及修复、攻击者方法论和网络威胁情报能力。综合来看,威胁猎手就是企业防御与检测部门的特种部队。
威胁猎手不会干坐着等通知,会利用传统攻击指标(IoC)主动出击。面对狡猾的对手,传统入侵检测是没什么大用的。这些对手会避免触发常规入侵检测防御。只有威胁猎手才能找出他们。
每家公司都应配备威胁猎手吗?
不。得有一定规模的公司才具备这个条件。首先,你得有专门的安全运营中心(SOC),不是很小的或兼职的那种,而是能够创建、消费和利用威胁情报,并能理解潜在的对手而不仅仅是IoC的那种。威胁追捕团队需要威胁情报,并辅以网络运维人员、终端维护人员、恶意软件分析员和可扩展的工具集。
威胁猎手首先得知道搜捕的方向和内容,只有专门的SOC能够获取到这些信息。就跟打猎似的,总得知道猎物会出现在哪里,会有哪些猎物,才能做好相应的准备。比如民族国家黑客,在进行网络间谍行动,他们最有可能出现在哪里?他们要找什么东西?他们的IoC是什么?知道了这些信息,就可以放出特种部队来搜他们了。
有多少威胁猎手?
很难估算。很多人都自称威胁猎手,但肯定只有拥有大规模安全运营的大型企业才养得起威胁猎手。财富200强企业大多拥有威胁猎手,美国国防部和其他政府机构也有。这些机构中大多都有不止一支威胁追捕团队。遭受大型攻击的很多大公司,比如塔吉特和微软,如今就有多支菁英威胁追捕团队,每一支都专门负责不同的业务部门。这些公司从安全状况较差发展到拥有多支主动作为的威胁追捕团队,反映出安全能力的提升。
量化成效很难
威胁猎手本身和雇佣他们的公司都需要明白,威胁追捕也是有可能失败的。威胁猎手的工作非常艰难,他们要找出不想被发现的狡猾对手,可能来不及及时揪出坏人。威胁猎手是个很有必要的角色,但按传统意义量化其成功却很难。只要在主动搜捕威胁,威胁猎手们就已履职尽责。