什么是TTP狩猎？

TTP 搜寻是一种基于情报的网络威胁搜寻类型，它分析黑客和网络犯罪分子使用的最新 TTP（战术、技术和程序）。TTP 威胁猎手研究网络犯罪分子使用的最新工具和技术，学习如何检测新的攻击趋势，并收集足够的网络威胁情报，以便公司能够充分保护其攻击面。本文将讨论为什么威胁搜寻是网络安全和网络安全 防御策略的重要组成部分。

什么是网络威胁搜寻？

网络威胁搜寻包括主动寻找可能利用新漏洞的潜在网络攻击，并制定安全计划来防范这些攻击。为了做到这一点，威胁猎手必须对最新的威胁形势非常了解，这样他们才能保护自己或他们的公司免受新的和高级威胁的侵害。

尽管传统的安全措施可以抵御大多数网络威胁，但通常是不太常见但更复杂的恶意软件会造成最大的损害。一旦黑客进入系统，他们可以在不被发现的情况下自由移动，同时缓慢执行数据泄露。如果不积极寻找威胁，公司就会将自己置于数百万美元损失的风险之中。

网络威胁搜寻的主要目标是在任何恶意活动发生之前采取主动措施，而不是等待攻击发生响应。虽然威胁检测监控当前系统以识别任何安全问题，但威胁追踪更进了一步，尝试建立预防措施。公司和个人可以通过了解最新的 TTP 来提供更好的网络安全和端点保护以免受威胁。

网络威胁搜寻与 TTP 搜寻

TTP 搜寻是一种网络威胁搜寻形式，专注于威胁参与者使用的特定行为、攻击模式和操作技术。TTP 搜寻通过与过去的网络攻击建立关联以查明潜在来源，从而主动预测攻击。

TTP狩猎方法论

由于 TTP 搜寻依赖于行业内不断提高的意识和经验，因此威胁搜寻者可以根据数据及其广泛的知识创建假设进行测试。他们的专业知识帮助他们优先考虑首先测试和定位的潜在威胁。为了执行成功的搜寻，大多数威胁搜寻者使用以下过程：

1. 了解威胁情况

新恶意软件技术不断变化的格局要求 TTP 或网络威胁猎人像威胁参与者一样思考。一个有效的威胁猎手需要展示高水平的创造性思维和分析技能，以领先于任何网络威胁。此外，他们还必须通过使用开源情报方法来随时了解最新威胁，例如扫描暗网或梳理互联网以寻找潜在的攻击媒介。

他们需要考虑的一些问题：

• 潜在的黑客将如何尝试从外部访问网络？
• 过去的网络犯罪分子使用过哪些已知的攻击行为或技术？
• 哪里是最容易利用漏洞的入口点？

2013 年，Mitre Corporation 创建了MITRE ATT&CK 框架（对抗、战术、技术和常识），这是一个全面的、全球可访问的网络犯罪策略数据库。该数据库有助于生成对所有攻击范围的可见性，强烈建议希望改善其安全状况的公司使用。

2. 收集数据以创建威胁模型

威胁猎手可以使用各种安全工具来帮助他们管理和分析数据以发现异常情况。然后，他们可以使用数据集创建威胁模型，代表组织的整个攻击面和每个可能的威胁场景。每个场景都成为一个可检验的假设，由团队决定哪些最有可能成为真正的威胁。

一些常用的安全工具有：

• 安全信息和事件管理 (SIEM) - SIEM 工具结合了安全信息管理 (SIM) 和安全事件管理 (SEM)，以提供对系统的实时监控和分析。它们将有价值的事件报告和对潜在安全威胁的日志记录直接提供给组织的安全运营中心 (SOC)。当与 AI 和 ML 结合使用时，SIEM 安全解决方案可以成为预测威胁的强大工具。
• 托管检测和响应 (MDR) - MDR 是一项服务，可监控组织的整个 IT 环境并提供威胁追踪功能。MDR 通常配备 SOC，其中可以包括一套工具，包括防火墙保护、入侵检测系统 (IDS)、入侵保护系统 (IPS)、端点检测和响应 (EDR)、渗透测试、漏洞扫描器、用户和实体行为分析 (UEBA) 等等。

3. 调查使用已知 IOC 来确定 IOA

IOC（妥协指标）是网络事件后数据泄露的数字证据。使用 MITRE ATT&CK 框架，安全团队可以使用已知的 IOC 来寻找新的威胁。这种 IOC 搜索方法需要知识渊博的威胁猎手，因为他们需要微调搜索以过滤掉更常见的结果。返回太多结果的广泛搜索将妨碍对未来威胁的准确评估。

一些常见的 IOC 是：

• 不规则的网络流量或DNS 请求
• 大量文件请求
• 未经授权的提权
• 误报文件哈希（MD5、SHA1、SHA256）
• 无法识别的 IP 地址
• 多次登录失败
• 数据库活动激增
• 对系统注册表或系统文件的异常更改

一旦确定了 IOC，安全团队就可以开始确定IOA（攻击指标）。IOA 是显示网络攻击很可能在不久的将来发生的指标，并且随着更多数据的进入而实时变化。因为 IOA 动态地适应传入的数据，所以它是主动 TTP 搜索的最重要方面之一。

4. 执行安全计划

完成研究并收集必要的数据后，就该开始威胁搜寻了。使用威胁模型来定义首先要搜索的威胁，TTP 搜索者将开始记录尽可能多的信息，包括消除误报并将高风险威胁和可疑发现传递给安全团队。

许多组织聘请专门的威胁搜寻服务或聘请全职威胁搜寻人员来管理此特定的安全协议。威胁搜寻需要全天候关注和不断更新的威胁情报生命周期，以更有效地分析潜在威胁。

其他网络威胁搜寻方法

虽然 TTP 搜寻更多地是一种基于情报的方法，但威胁搜寻者也可以使用基于分析和研究的方法。

人工智能 (AI) 和机器学习 (ML)

使用人工智能和机器学习，许多大公司已经开始采用这种基于分析的自动化方法来梳理互联网上的大量数据源。这种高级分析方法可搜索任何可能预示潜在威胁的异常或违规行为。这些信号成为威胁追踪团队跟进和识别的新线索。

数字取证和事件响应 (DFIR)

基于 DFIR 的搜寻是网络威胁搜寻的更先进的补救方法之一，它涉及数字取证的高级知识。它需要仔细调查受感染的网络或设备，以了解入侵的确切入口点。

尽管 DFIR 更像是一种反动技术，但 DFIR 分析师可以利用他们的发现来创建更好的网络安全实践，以最大限度地降低组织未来遭受攻击的风险。他们可以利用违规留下的数字工件与已知的 IOCS 相关联并识别潜在的 IOA。

皇冠珠宝分析 (CJA)

CJA 采用更广泛的威胁搜寻方法，依靠行业的先进知识来寻找潜在威胁。在 CJA 期间，威胁猎手必须：

1. 确定组织的核心使命以及它认为最重要的数字资产（又名“皇冠上的宝石”）。
2. 然后，他们必须通过执行威胁敏感性评估 (TSA) 来确定与这些资产相关的所有潜在风险和威胁。
3. 随后，必须执行风险补救分析 (RRA) 以确定降低或减轻风险的最佳程序。