紫队建设与威胁检测
什么是紫队?
紫队是一个虚拟的安全职能团队,由各种安全技能组成,共同测试、测量和改进防御安全态势。主要包括以下几个方面:
- 网络威胁情报:研究并提供对手战术、技术和相关程序(TTPs)。
- 红队:负责模拟对手和TTP的攻击。
- 蓝队:安全运营中心(SOC)、威胁狩猎、取证和事件响应。
紫队演练流程
- 全部桌面推演:期望执行TTP和安全控制演练。
- 协调当前对手TTP和技术细节:红队模拟TTP并共享屏幕。
- 检测工程:对安全控制和日志记录进行调整,提高可见性。
- 重复过程并记录结果:移至下一条TTP。
- 蓝队跟踪:检测流程与响应,共享屏幕内容以便人工鉴别。
检测工程
- 信息收集:包括漏洞利用、初始访问、部署C2目标上的行动等。
- 数据采集:需要收集的数据、数据源优先级。
- 运营能力:分析人员与工具之间的熟练度与能力。
- 威胁理解:了解当前的威胁形势,如PowerShell用于恶意活动。
关键步骤
- 验证数据收集:确保在事件产生周围收集了数据,检查日志是否存在可见性差距。
- 处理:基于假设开展检测,关联多个来源,缩小搜索范围。
- 传播:交付最终相关内容,包括安全运营、管理层、攻击能力团队等。
关注点
- 恶意事件可视化:区分恶意和非恶意事件。
- 快速示例:调用WMIC执行,调用ssm-agent-worker。
- 内容结构:利用警报和检测框架(ADS框架),包含目标、分类、战略摘要、技术背景等。
总结
顺丰科技通过紫队建设和威胁检测工程,提升安全防御能力。关键在于全面的信息收集、高效的处理和准确的传播,以应对不断变化的网络威胁。
