基于Indicator-of-intrusion(IOC)的检测已经是业界的普遍做法,但是,基于行为的检测方法似乎是未来。让我们比较这两种检测方法之间的差异,以确定强调其中一种是否更有价值。专业人士应该知道“痛苦金字塔”,它显示了各种攻击指标与攻击(检测)难度之间的关系。金字塔的下半部分由哈希、IP地址和域名组成(这三者统称为IOC),如果被检测到,攻击难度不会明显增加,或者痛苦程度很低。痛苦的程度从下到上依次为:淡漠、琐碎、很简单、困难、非常困难、太困难。在真实场景中,攻击者可能会故意使用IOC轮流轰炸检测系统,以掩盖真正的攻击方式。但TTP(tactics,techniquesandprocedures)是最先进的攻击手段。如果安全运营中心(SOC)能够同时识别IOC和IOB(行为指标),无疑可以最大程度地降低入侵成功的概率。威胁狩猎(hunting)成功进行威胁狩猎的方法有很多种,最常见的两个分支是主动狩猎和被动狩猎。基于情报的搜索偏向于反应模式,其中来自情报共享平台的数据构成进一步调查的基础。检测规则源自痛苦金字塔的下半部分、域名、哈希、IP地址、网络或主机特征,然后与威胁情报(即其他人看到的类似攻击)进行匹配。相反,主动方法是基于行为的。输入数据包括攻击指标(IoA)、行为指标(IOB)和TTP。基于UEBA的假设,可以检测是否正在发生攻击,并且这种检测尽可能接近实时检测。基于行为的威胁狩猎(hunting)无疑会一炮打响。编者注:IoA指的是正在发生的行为指标,IOC指的是已经发生的妥协指标。基于入侵指标(IOC)的检测IOC不仅包括哈希、IP地址和域名,还包括大量可用作取证的数据,以帮助安全分析师监控系统以寻找潜在恶意活动的迹象,例如:HTML响应数据包大小DNS请求异常计划外系统补丁系统文件突然更改数据库读取量增加DDoS迹象(请求过多)端口应用流量不匹配访问外部网络的异常流量不应存在的数据集入侵指标作为红旗,以帮助检测攻击的早期迹象。但是,拥有一个常见IOC的静态列表并在此基础上运行检测规则是不够的。网络攻击的复杂性不断增加,因此必须跟踪新出现的指标并确保适当的检测规则到位。一个新的IOC可能像元数据中的一个元素一样简单,也可能像一段注入的代码一样复杂,而这些代码以PB级为单位,不断流动的日志数据。可想而知,鉴定难度有多大。网络安全专业人员需要寻找各种IOC之间的关联,分析和跟踪攻击前后的事件,从而形成有效的检测策略。基于行为的检测(IOB)虽然IOC非常适合进行回顾性分析,但这些指标是短暂的,SOC分析师希望依赖的不仅仅是先前攻击的证据,这些证据在检测后不久就会过期。而且,即使有回溯,高级威胁仍然存在。这就是为什么需要基于行为的检测来发现不太明显的入侵迹象,或者基于UEBA(用户和实体行为分析)的威胁搜寻可以显着增强发现潜在风险的能力。行为一般包括:文件类:下载、上传、创建、删除、保存、更改账户类:创建新账户、修改密码、登录和注销邮件类:发送或转发邮件、自动发送邮件、发送附件网站类:访问页面、发送请求、发送附件、发送消息、使用工具系统管理:运行查询、访问存储的数据、执行代码、导出结果所有基于行为的检测不仅要编写和收集,还要在特定的上下文中进行分析,以确定行为的意图。并随着时间的推移跟踪常见行为,以查看是否发生任何可疑的更改。除了实时监控系统外,IOB还可以帮助预测未来并预测安全措施变化的后果,例如如果公司禁用USB等外部存储设备会发生什么。然而,安全分析师在编写基于行为的检测规则时需要非常小心,以避免高误报率,因为行为规则往往更容易受到噪音的影响。这需要经验丰富的分析师,并且通常需要不同的分析方法。道理很简单,只有这样才能更好的检测未知威胁,而不会体现在情报来源上,更不用说IOC了。结论总的来说,威胁搜寻是一个复杂的过程,需要使用一些特定的工具、系统和方法来高效运行并及时做出响应。成功的威胁猎手应该通过网络的全面可见性、情报的利用和新规则的创建,比攻击者领先一步。说到选择IOC还是IOB,当然不是二选一,而是两者都用。IOC涵盖了基本的安全需求,而IOB则用于满足更高的安全需求。
