根据SANS 2023的调查,熟练的威胁猎手可以为公司扮演双重角色,既要猎杀威胁参与者,又要确保预算直接用于增强猎杀能力的工具和技术,然而,根据这项对来自SOC分析师、安全经理和管理人员的564名受访者的全球调查,熟练员工的缺乏正在阻碍威胁追踪努力的成功。
调查发现,除了任务之外,威胁猎手本身也在寻求更多的培训、教育和管理层的支持。随着CISO展望2024年及其将带来的网络安全挑战,他们需要从威胁追捕团队那里获得什么,威胁猎手本身应该如何加强他们的技能集?
当今威胁分析师的技术技能以及他们是如何发展的
威胁分析员需要融合传统和现代的技术技能,所有与记者交谈的专家都表示,要进行高效的数据分析,Python是不可或缺的,其他需要了解的重要语言和工具包括C、C++、JavaScript、Ruby on rails、SQL、PowerShell、Burp Suite、Nessus和Kali Linux。网络和系统的基础知识、数据分析技能、云架构知识和逆向工程也被认为是有用的。
威胁猎手需要具备在有限细节下研究复杂问题、解决谜题和评估风险的总体倾向,然而,独立安全顾问、iANS教员、前SANS高级讲师杰克·威廉姆斯表示,出于几个原因,这项任务变得更具挑战性,他在接受记者采访时表示:“随着我们的周边防御系统,如终端检测和响应能力的提高,以及威胁因素的改进,搜寻工作变得更加困难,它更加先进,需要更多的技能,通常情况下,它会在数据中寻找异常情况。”
Bug Bounty平台Sajeeb Lohani的网络安全总监BugCrowd表示,需要熟悉MISP等威胁情报平台,以及Splunk、LogRythm和ManageEngine等安全信息和事件管理(SIEM)工具,才能识别和检查威胁暴露。Lohani在接受记者采访时表示:“MITRE ATT&CK框架的应用知识可以帮助识别在某些攻击过程中使用的不同战术和技术,它可以帮助分析师指出其他人可能会遗漏的不同攻击模式。”随着加密货币的崛起将挖掘活动引入网络安全担忧,像Wazeh这样的较新的轻量级工具正变得越来越普遍,以帮助识别和管理威胁。
不要忽视软技能在威胁追捕中的价值
除了技术能力,软技能也同样重要,例如,简明扼要地向各方解释威胁的能力至关重要,而对细节的关注、分析思维、压力管理、创造力和团队合作都被视为现代威胁猎手的关键技能。
例如,经常迫切需要向不同的受众传达新的漏洞,这就需要为技术团队、CISO和董事会成员量身定做沟通。威廉姆斯强调任务管理和耐心,特别是在处理不确定或误导性信息时,最重要的是在不同信息来源之间进行协调。Williams说:“今天的威胁猎杀在很大程度上与生活在陆地上的事情有关,在那里你会看到看起来很恶意的东西,因此,你经常会提出假设,这涉及咨询系统管理员并努力解决问题。”他指出,同样重要的是,你的思维要灵活,不要把你的思想与这件事或那件事隔绝开来。“那些能同时持有不同观点的人是最棒的。”
威胁猎手的角色正在发生怎样的变化?
威胁猎手的职责已从传统的网络监控转变为主动的威胁搜索和情报收集,这意味着大幅提高技能和新的优先事项。数字信任专家兼ISACA非执行董事Niel Harper告诉记者:“与过去不同,现在对黑名单的人工研究和输入更少,对入侵检测系统的依赖也更少。”能够分析大量数据的工具已经出现在框架中,“这些威胁检测工具正在为威胁猎手提供有意义的、可操作的情报和威胁的优先顺序。” Harper说。
然而,它造成了许多误报,这意味着威胁分析师需要接受培训,分析虚假信号,以找到妥协的迹象。现在,随着ML和AI以及更多的自动化,这个角色继续演变。Harper看到了威胁猎手的研究和分析技能的巨大价值,“它有助于将来自各种工具的信息转化为可操作的情报。” Harper说。
Chaucer Group的安全运营专家Christian Scott指出,其职权范围还扩大到包括云安全监控以及了解日志集中和分析。Christ Scott对记者说:“攻击者对这些空间的攻击越来越频繁。”在与一些大型公司合作过后,他亲眼目睹了这种转变。“有人会在云中制造一些东西,这会打开另一个攻击面,所以你需要有人主动寻找漏洞。”
这也是一种心理游戏,威胁猎手需要高度适应,因为威胁每天都在变化,有时甚至是每小时一次。SentinelOne负责威胁追踪、情报和DFIR的副总裁Brian Hussey表示:“你需要与他们一起改变,永远不要让僵化的思维渗透到你的作战方法中。”同时,你还需要透过树木看到森林。Hussey告诉记者:“通常,威胁行为者会对其攻击模式进行表面上的改变,但核心操作方式保持不变,即使在新的攻击到来之前,也留下了识别和消除新攻击的重要机会。”
ML和AI有一席之地,但不是一切
SANS的调查显示,近75%的公司需要更多的培训和熟练的员工,AI和ML技术可能会发挥作用。专家们一致认为,ML和AI在增强威胁狩猎检测能力方面的重要性日益增长。“它可以在短时间内分析大量信息,我们从这些工具中看到了更多的情报,因为它们可以为你提供穿透目标的最佳行动方案,这可以优化你的利用效率。” Harper说。
例如,根据Williams的说法,异常值分析曾经是手动完成的,但现在正在被纳入工具中,因此对数据科学和ML工具包有一些了解,其中许多工具包是通过Python公开的,可以显著增强威胁检测能力。你可以立即利用这些功能来帮助你找到非常常见的东西或非常不常见的东西。
同样,他们也告诫不要过度依赖ML和AI,并强调人类监督的必要性,例如,AI降低了技能障碍,但这些技术无法像人类那样推断或质疑。Chaucer Group的斯科特指出,这些工具永远不应该削弱人类好奇心的力量,他们会问“为什么”。“这是在问为什么会有东西这么做?这是美国广播公司的规则,什么都不假设,什么都不相信,一切都是肯定的。”
威胁猎手应该如何跟上不断变化的威胁格局?
作为一名威胁猎手,持续学习和适应能力是与时俱进的关键,初学者需要从网络和安全的基础知识开始,逐步进入更复杂的领域,参与在线社区和利用在线资源也是获取信息的有效方式,网络安全方面的实践经验是关键。Williams建议,在进入威胁追踪之前,要在安全运营中心工作几年或从事事件应对工作。
Harper建议初学者从网络和安全的基础知识开始,利用在线和社区提供的资源作为指导。“与从业者社区和专业协会建立联系是共享工具和信息并在学习道路上取得进展的一种方式。”他说。
威胁猎手面临的道德责任威胁
威胁猎手被忽视的一个方面是,需要有一个强大的个人道德框架,而不是泄露敏感的商业信息或滥用利用漏洞或其他有关潜在漏洞的信息。
SentinelOne的Hussey说:“在你的职业生涯中,你会遇到几个道德方面的问题。”黑客还击,或对威胁参与者采取攻击性行动,劫持攻击者的加密货币,与勒索软件威胁参与者谈判等等。“与你的法律团队和同事沟通你的行动是至关重要的。当好人走到一起做正确的事情时,这会让这些棘手的话题更容易定义。”然后需要负责任和透明地处理敏感信息,并遵守法律标准。Harper说:“它通过强大的访问控制,确保你以安全的方式保护和存储信息,如果你与第三方分享这些信息,他们是可信的。”
同样重要的是,当涉及到某些调查时,威胁猎手要保持中立,比如商业间谍活动或调查个人。有必要避免从某些假设开始,避免做出任何假设,而是专注于不偏不倚。Chaucer Group的Scott强调了威胁追捕的潜在伦理影响,强调了保持不偏不倚和保护敏感信息的责任。“它遵循ABC规则,不做任何假设,专注于数据,甚至确保更广泛的数据范围,以避免得出预先确定的结论。”
在招聘威胁猎手时还需要考虑哪些因素
威胁追捕团队中缺乏熟练的工作人员是成功的主要障碍。与其他面临技能缺口的网络安全领域一样,多元化招聘可能是一种解决方案,但这如何转化为威胁追捕?
哈珀倡导对网络安全采取包容性的方法,他说,来自不同教育背景的个人可以在这一领域出类拔萃。“我认为你不需要有严格的计算机科学或信息技术背景,只要你有兴趣、愿意和热情去学习。”
让人们能够超越威胁的机制,甚至考虑攻击者的更大目标或动机,这也是有帮助的。BugCrowd的Lohani说:“通过掌握攻击背后的‘原因’,分析人员可以更好地理解攻击的‘方式’和‘时间’,从而能够更有效地分析对手,并加强针对特定威胁媒介的安全措施。”这有助于为风险评估提供信息,确定防御工作的优先顺序,并为用户开发更有针对性的安全教育计划,掌握网络安全的人的因素对于全面的防御战略至关重要。
