APT攻击、无文件攻击、加密流量、社会工程、勒索软件,对手一连串的“组合拳”对终端发起了疯狂攻击,并且这些技术基本都可以穿透所有传统安全产品下堆叠出的安全架构和系统。但也许你并不需要被动挨揍,威胁狩猎(Threat Hunting)将会为你的反击赢得“加分”。亚信安全正式推出威胁狩猎服务,以“早发现、早诊断、早处置、高质量”为优势原则,为用户彻底解决缺少高级攻击防御经验、缺乏相关高级技术工具、无法对威胁进行溯源等难题提供全面协助。
什么是威胁狩猎服务?
定义
威胁狩猎是主动的发现网络中恶意数据及行为的安全审计方法。
威胁狩猎服务是由威胁分析专家根据客户环境中的威胁线索,主动进行关联分析,在确认威胁影响范围和影响程度的基础上,提供治理建议的服务。
判断威胁狩猎的成熟度级别需要考虑以下三个基本因素:
收集和分析数据的工具;所收集的数据质量及细粒度;威胁分析专家的技能水平和猎捕经验。
传统安全服务 vs 威胁狩猎服务
在网络安全行业,“传统安全服务”就像“常规体检”,由普通安服人员使用常规安服工具,对用户的网络和主机进行合规检查、资产发现、漏洞扫描、打补丁和网络入侵检测等,这些普通安服人员往往缺乏更专业的知识和工具对异常的情况进行深度的分析。在国际上,以EDR技术为核心的威胁狩猎专家服务已经获得用户的广泛认可,其服务核心是由威胁狩猎专家,使用EDR终端检测及响应工具,根据威胁迹象和异常情况主动对高级威胁进行“早发现”、“早诊断”和“早处置”。
威胁狩猎服务的价值
亚信安全威胁狩猎服务为用户带来的价值 -- 3“早”1“高”:
早发现:威胁狩猎是需要高级威胁的线索,而安全产品告警和异常行为检测是这些线索的来源。黑客团伙或者红蓝对抗攻击方入侵总会利用一些未知的漏洞或者手段,但是在入侵跳板主机成功后,会用一些常规的手段进行提权、探测和横向移动,传统的安全产品和EDR ATT&CK规则检测框架都会发现一些“蛛丝马迹”,这些蛛丝马迹就像是丛林中猎物留下的足迹,指引着猎人进行狩猎追踪。早诊断:EDR相比于传统的端点安全防病毒产品的最大区别就在于操作系统内核级别的行为日志高清记录,它就像是安装在操作系统上的高清摄像头,将进程启停、文件操作、网络连接、注册表修改和系统日志如实记录下来并且长期存储。威胁狩猎人员可以输入威胁线索和查询条件,EDR服务端能够以可视化的方式绘制出进程事件树,帮助威胁狩猎人员有效关联出疑似威胁的入侵轨迹,确认威胁的影响范围和影响程度,为根治问题提供技术支撑。早处置:威胁狩猎人员使用EDR工具进行远程的遏制和修复,对高级威胁入侵造成的破坏和留存的后期进行根治修复,避免在红蓝对抗和上级监管过程中集中爆发问题。高质量:在亚信安全威胁狩猎诸多的成功案例中,我们发现用户对于安全事件线索的看法普遍处于“狼来了”的麻木状态,即各种安全厂家的产品(尤其是安全态势感知平台)每天都生成海量的告警信息,而安全运维人员即使加班加点也无法处理如此多的告警事件,结果就是放任这些告警于不顾,等到黑客团伙真正发起总攻的时候,毫无防范之力。亚信安全推出的大终端2.0运维平台从根本上改善了上述被动的防护态势,我们将亚信安全产品(例如OfficeScan、DS、TDA等)的日常告警日志聚类成有优先级排序的安全事件,并且联动到EDR产品进行遏制、调查和修复,完成威胁狩猎分析早发现、早诊断和早处置的闭环操作。
亚信安全的威胁狩猎服务,区别于传统的安全服务和红蓝对抗的攻防服务,开辟了高级威胁检测响应的服务新赛道。威胁狩猎服务依托亚信安全的EDR行为检测能力和威胁分析的专家能力,能够有效地检测零日漏洞等高级威胁,解决这些安全漏洞可能隐藏几年都发现不了的安全风险。威胁狩猎服务由亚信安全具备攻防能力的威胁狩猎专家为用户提供高级威胁的溯源分析,能够回答 “谁进来了、是敌是友、干了什么”的疑问,能够及早发现治理“潜伏”的高级威胁,避免这些高级威胁在红蓝对抗、重保的关键时刻集中发作。
【优选案例】某OA零日漏洞攻击检测溯源
事件背景:红蓝对抗期间某能源客户的OA系统上EDR产品告警,发现异常进程调用行为。
威胁线索:亚信安全EDR产品具有丰富的基于ATT&CK架构的异常行为检测规则,在本次事件中EDR上报了异常进程调用的规则告警。
关联分析:
用户OA系统的主程序Java进程吊起CMD和Whoami进程红蓝对抗攻击方一共使用了17次CMD指令和1次Whoami指令来获取必要的主机信息,达成攻击方成功插旗并上报裁判组得分的目的通过EDR记录并溯源到copy指令,发现test123456.jsp的WebShell木马文件替换行为通过网络驱动记录,发现攻击方利用大量互联网IP调用本漏洞
狩猎分析报告:
某OA零日漏洞被红蓝对抗攻击方利用攻击方已经通过漏洞执行CMD和Whoami指令获取到主机信息多个攻击团队利用大量互联网IP利用本漏洞建议用户删除漏洞文件,对OA系统打补丁协助用户编写溯源分析报告提交红蓝对抗裁判委员会得分
在本案例中,威胁狩猎专家依据EDR的行为规则IOA成功检测到OA系统零日漏洞攻击,通过EDR的高清记录和溯源分析能力,将红蓝对抗攻击方如何拷贝WebShell文件,如何利用CMD和Whoami指令获取插旗信息,以及通过哪些互联网IP实施的攻击,都分析得清清楚楚,协助用户编写溯源分析报告,提交裁判委员会进行防守得分。
为何选择亚信安全威胁狩猎服务
亚信安全开启国内威胁狩猎服务新赛道:
亚信安全的专业威胁狩猎服务,为用户提供本地和远程的高级威胁检测响应服务,开启了国内威胁狩猎服务新赛道。在攻防演练中,威胁狩猎服务表现出色,通过EDR工具成功溯源包括零日漏洞在内的多起攻击方攻击事件,编写详尽的威胁狩猎分析报告,帮助客户在端点侧得分。在已经购买EDR产品的客户中,威胁狩猎服务也积累了众多成功案例,帮助用户主动检测并溯源潜伏在端点侧的高级威胁,深受用户好评。EDR作为威胁狩猎服务中的高效工具,其操作系统高清记录和高级威胁检测能力,为威胁狩猎专家提供技术支撑。亚信安全EDR产品在2020年IDC中国的厂商评估中位列“领导象限”。亚信安全EDR产品通过了国内权威第三方评测机构赛可达实验室的专业评测,在国际知名的ATT&CK架构模型中以124个技术点覆盖度在国内处于突出地位。
行业热点:
亚信安全:“数据湖”已成为威胁情报发展的“核动力”
终端安全 | 从C-BRAIN到UES,终端安全演进为哪般?
终端安全 | 全面适配国产系统,打造政企合规终端
安全数据湖助力数字转型下的保险生态建设
