• 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏吧

威胁狩猎模型

开发技术 开发技术 2周前 (11-19) 6次浏览

原文:SANS的文章:

https://www.sans.org/reading-room/whitepapers/threathunting/paper/38710

作者介绍:

Dan Gunter,曾在美国空军担任进攻性网络规划师,负责Dragos公司的威胁情报建设,现为Insane Forensics的创始人兼CEO

威胁狩猎定义:

威胁狩猎是一个主动、分析驱动的过程,目的是在环境中搜索绕过已有检测手段的攻击者TTP。
其中攻击者TTP必须是经过分析,能被理解,可以让分析师指导如何搜集数据。

威胁狩猎模型

  • 目标:为什么威胁狩猎
  • 范围:在哪里进行威胁狩猎?希望去回答什么问题(假设)?
  • 配备/装备:需要使用哪些数据集?
  • 计划审计:计划能否满足所有目的?
  • 执行:进行狩猎
  • 反馈:进行是否顺利?能否做的更好?

威胁狩猎模型

示例

以2016年乌克兰电厂事件为例
目标:所有500kV输电变电站和前十大配电变电站进行威胁搜寻
范围-确定被测系统:控制系统资产和人机界面,IEC 60870-5-104是其中的重要协议
范围-建立假设:攻击者使用针对IEC 60870-5-104协议的工具,对变电站进行了攻击
配备:IEC 60870-5-104数据源。使用商用工具或者wireshark分析流量。使用snort在流量中检测,也可检查windows事件日志
计划审计:评估上述流程是否满足狩猎的目的
执行:检查windows日志和流量中是否存在已知TTP
反馈:分析狩猎过程中的不足


喜欢 (0)