Splunk 和 MITRE ATT&CK 的主要网络安全威胁检测

的 和 SplunkMITREATT&CK 主要网络安全威胁检测 —利用Splunk进行监控和响应 利别用和评M估ITREATT&CK对威胁进行分类、识 目录 前言3 了解MITREATT&CK4 Nirvana解决方案：ATT&CK+Splunk4 MITREATT&CK战术6 侦察(TA0043)6 执行(TA0002)7 持续性(TA0003)8 特权升级(TA0004)9 防御规避(TA0005)10 凭据访问(TA0006)11 发现(TA0007)12 收集(TA0009)13 横向移动(TA0008)14 命令和控制(TA0011)15 窃取(TA0010)16 影响(TA0040)17 前言 云迁移和数字化转型正在兴起。为了跟上形势，安全领导者需要采取以数据为中心的方法来保护其组织。 安全工具分析您的所有数据并提供相关的见解。 在响应这个威复胁杂，随而着不业可务预需测求的发世展界，中并，充Sp满lu信nk心是地保进持行像创您新这。样贵的组组织织的安全并性具和有韧韧性性取的决基于础网，络因相此互您之可间以的更对快话地，检以测及和 为至了关具重有要韧，以性便，我适们应认新为威，胁您、需新要兴能技够术完和全不保断真增地长看的到数您据的量整。个基础设施及其所有数据。创建足够灵活的安全运营您队专需注要于更他快们的的检最测高和优响先应级技事术项。要。做到这一点，您可以利用所有数据，在创纪录的时间内自动识别新的威胁，并让团这就是我们提高网络韧性的方式，这使我们能够加快业务增长，确保隐私和合规性，并继续创新。 我份们清单致，力列于出通了过M加IT强RE我A们TT的&安CK全的性战和术可以观及察来性自产S品p，lu在nk这威个胁不研断究发团展队的(世ST界RT中)解决客户挑战。为此，我们整理了这的和不相确应定威性胁时检保测持和韧分性析。案例，以应对最新的威胁，从而使您能够在面对复杂 战略和专业化副总裁 PatrickCoughlin GTM 3 4 随着技术的发展，网络犯罪分子变得更加狡猾。威胁参与者不断改进他们的方法，从数据加密和窃取，到双重勒索攻击，如果他们的要求得不到满足，就会泄露专有数据。 雪上加霜的是，以金钱为动机的网络犯罪也在上升，超过了国家支持的活动，占到了交互式入侵的80%以上。预计到2025年，这种恶意攻击的涌入将使组织每年损失高达10.5万亿美元。攻击者还利用供应链中的漏洞，瞄准组织的运营弱点，并利用云服务开辟的新攻击面。 为了抵御这些网络威胁，我们需要重新构想并加强我们的安全防御，并在面对不断变化的威胁时保持韧性。在这本电子书中，我们研究了一些由MITREATT&CK框架定义的主要威胁战术和技术，以及安全团队如何在Splunk的帮助下做好更充分的准备（和装备）。 了解MITREATT&CK MITREATT&CK是一个通用战术、技术和程序(TTP)知识库，记录了威胁行动者的行动方式，最终作为在现实环境中看到和报告的TTP的行动手册。组 织可以参考MITREATT&CK来对攻击进行分类、评估风险并改善其整体安全状况，以更好地了解对手的行为，从而识别和实施相关的威胁检测。 从本质上来说，ATT&CK是一种标准化的、易于使用且全球公认的威胁语言，安全专家可以从这种语言中获取威胁情报，并帮助增强他们的安全态势。 MITREATT&CK框架还有助于： •告知安全运营中心(SOC)如何确定警报和检测的优先级。 •识别和评估风险，控制差距和风险偏好。 •为安全治理和成熟度提供框架。 •基于可量化的风险降低程度，推荐新的数据源。 •增强对攻击路径的认识，提高安全团队的知识和技能。 Nirvana解决方案：ATT&CK+Splunk 随着威胁的演变，ATT&CK框架也在发展。为了应对新出现的威胁，安全团队需要以与对手相同的速度调整和更新他们的威胁检测和响应能力。SplunkEnterpriseSecurity(ES)、SplunkSecurityEssentials(SSE)和SplunkEnterpriseSecurityContentUpdates(ESCU)通过将MITREATT&CK与Splunk的分析案例（安全指南，包括攻击技术和威胁的叙述性背景以及Splunk搜索、机器学习和安全编排、自动化和响应(SOAR)行动手册）对应起来，帮助组织做好应对威胁的准备。 这些强大的组件协同工作，帮助您检测、调查和响应环境中的威胁迹象。定期更新有助于您不断提升防御能力。分析案例是对传统妥协指标(IOC)的补充，传统妥协指标不仅滞后，而且往往是短暂的。当检测到它们的时候，攻击者通常已经更改了他们的URL、IP地址和其他的人工产物，这会导致IOC过时。相比之下，ESCU帮助您监控常见/长期的对手战术和技术。一旦在环境中识别出这些威胁的迹象，您就可以使用搜索和行动手册来帮助您决定是否进一步调查。 MITREATT&CK用例 了的解威胁Sp研lu究nk 映射防御控制 威胁搜寻 调查事件 识者别和参团与体 集成解决方案团队 Splunk中MITREATT&CK分类法的不同应用 如果没有Splunk威胁研究团队，一切都将 以下是在Splunk中应用ATT&CK框架的一些方式： •映射防御控制 安全团队在参考ATT&CK战术和技术及其相关威胁时， 可以对防御工具、系统和战略有一个清晰的理解。MITREATT&CK标签可轻松应用于SplunkEnterpriseSecurity关联搜索，以对事件进行注释并提供更深入的理解。 •威胁搜寻 安全团队可以将防御映射到ATT&CK，以确定其安全基础设 施中的关键差距，这有助于检测之前被忽略的威胁活动。使用SplunkSecurityEssentials和MITREATT&CK映射，威胁搜寻人员可以确定覆盖范围的缺口，然后推动检测的进一步发展，或者产生关于新搜索或用例的想法，以堵塞现有漏洞。 •调查 事件响应可以参考ATT&CK框架来更好地解决潜在的 漏洞，在检测错误配置和其他操作缺陷的同时验证某些措施。 •识别威胁参与者和团体 安全团队可以将恶意参与者和团体与相关的记录行为联系起来。 成为空谈。Splunk威胁研究团队不懈努力，通过开箱即用的用例、检测搜索和行动手册来增强Splunk的安全产品。他们每两周就会发布一次自己的研究成果，然后与Splunk社区和其他人分享。这些内容包括从威胁检测到逐步指南，可以在Splunk中访问。编写自定义搜索和测试新检测的时代已经一去不复返，现在可以实施预打包的检测来加快调查速度。对于快速遏制和补救威胁而言，这些研究不可或缺，并且有助于安全团队腾出时间专注于关键任务。 底线？Splunk的威胁研究可帮助安全团队从Splunk投资中获得最大收益，将威胁检测无缝集成并映射到MITREATT&CK框架中，以获得更大的安全覆盖范围，并利用专家知识和对最新威胁和安全趋势的研究来增强某些安全功能。 5 战术 在您的Splunk环境中使用MITREATT&CK的最终目标是，在ATT&CK框架的背景下，为您的现有部署提供进一步的见解和价值。在安全需求和检测不断变化的世界中，通过将当前和未来的工作建立在相关的真实世界应用程序的基础上，构建该框架会有所帮助。 MITREATT&CK 侦察 准备好提升您的威胁应对能力了吗？下面，我们将分析MITREATT&CK的主要威胁战术和技术，并举例说明如何使用Splunk进行应对。 (TA0043) 威胁战术：收集信息 这些威胁的存在原因 顾名思义，侦察是一种以收集和获取与目标及其系统和/或组织相关的信息为中心的攻击。这可能涉及一系列技术，包括社会工程、网络渗透和物理监控。来源信息通常包括有关组织基础设施以及关键员工的详细信息。威胁参与者利用这些信息来协助网络杀伤链的其他阶段，这是一系列步骤，类似于MITREATT&CK，概述了从侦察到数据泄露的攻击，由全球安全公司LockheedMartin定义。 如何实施这些威胁 目标是让威胁参与者获得关于受害者身份的信息，以及关于他们运作的网络的信息，包括关于组织运作的管理数据和细节。 为此，威胁参与者通常会通过自动/端口扫描、数据包嗅探和ping扫描等技术直接与系统进行交互。这被称为“主动侦察”，通常比“被动”方法更快、更准确，在“被动”方法中，攻击者通过互联网查询信息，包括公共信息服务，例如“Whois”查询，使用Wireshark和Shodan等工具，或操作系统指纹识别等方法。 为了分解和解决这种战术的潜在阶段，MITREATT&CK框架确定的技术包括最初收集信息，确定目标的网络范围，寻找接入点和开放端口，以及绘制组织的网络。本质上，这些都是支持收集源信息的步骤，更好地通知对手选择或识别他们的目标。 如何使用Splunk进行检测和响应 Splunk威胁检测：端点上的攻击者工具 •Splunk分析案例 监控未经授权的软件、XMRig、SamSam勒索软件、异常进程 •MITREATT&CK战术 侦察、凭据访问、防御规避 •MITREATT&CK技术 匹配合法的名称或位置、伪装、操作系统凭据转储、主动扫描 •杀伤链阶段 安装、命令和控制、对目标采取行动 •工作原理 这种威胁检测寻找端点上常用攻击者工具的执行。 6 执行 (TA0002) 威胁战术：运行恶意代码 这些威胁的存在原因 威胁执行是指攻击者用来在本地或远程系统上运行或控制恶意代码的技术。运行恶意代码的技术通常与许多其他战术结合在一起，例如渗透网络或窃取数据。例如，对手可能使用远程访问工具运行PowerShell脚本来进行远程系统发现。 如何实施这些威胁 对手可能滥用命令和脚本解释器来执行命令，例如PowerShell、AppleScript、Unix、Windows和Python。这些界面和语言允许用户与计算机系统交互，并且是许多不同平台的共同特征。攻击者可以使用它们来发现信息、执行代码、打开窗口、发送按键以及与本地或远程的几乎任何打开的应用程序进行交互。一些命令Shell允许攻击者完全访问目标系统的几乎任何方面。 容器是攻击者用来运行代码和控制系统的另一种方式。通过滥用容器管理服务，他们可以远程控制环境中的容器。将容器部署到环境中允许他们运行代码并从内部躲避防御。 另一种执行战术包括滥用任务调度来促进恶意代码在指定日期和时间初始或重复执行。对手还可能通过共享模块部署恶意有效负载，或者访问安装在企业网络中的第三方软件套件。他们还会滥用系统服务或守护程序来执行命令或程序，并通过使用社会工程来引诱用户采取特定的行动，例如点击虚假链接或下载恶意文件。 如何使用Splunk进行检测和响应 Splunk威胁检测：Linux将Base64解码为Shell •Splunk分析案例 Linux离地攻击 •MITREATT&CK战术 防御规避、执行 •MITREATT&CK技术 混淆的文件或信息、UnixShell •杀伤链阶段 递送、利用 •工作原理 这种威胁识别会搜索被解码并传递到LinuxShell的base64。 Base64编码经常被滥用，用来携带伪装成合法代码的令人 困惑的恶意负载。7 持续性 (TA0003) 威胁战术：保持立足点 这些威胁的存在原因 一旦威胁参与者进入目标的系统，持续的攻击总是会带来回报-胜过攻击者行动手册中的几乎所有其他战术。为了成功地维持他们的立足点，攻击者必须先发制人，阻止任何可能切断他们访问的中断，包括系统重启或更新凭据。这种策略包括访问、操作或配置更改，使攻击者能够在受损的帐户或系统中横向移动（尤其是秘密移动），用自己的代码替换或劫持合法代码。 如何实施这些威胁 对手用来维护访问权的一种技术是帐户操纵。他们可以修改凭据或权限组，然后执行迭代密码更新，以绕过密码持续时间策略。他们还可以添加和授予帐户凭据、修改安全套接字shell(SSH)授权密钥或