本文转载于：“再说安全”公众号，如有疑问请联系FreeBuf客服（freebee2022）

“如何在政企环境中主动发现入侵迹象？” 老外把这个叫做“威胁狩猎”，这也是政企主动防御的核心问题。根据笔者在国内政企多年的安全实践，总结为以下六个步骤（仅供参考）：

假设某金融行业银行用户根据上述步骤进行威胁狩猎的解读：

背景:

某大型国有银行，存储着海量用户金融数据，其核心业务系统一旦遭到入侵，将造成巨大的经济损失和社会恐慌。

目标：通过主动搜索入侵迹象，将防御阵线前移，将威胁扼杀在萌芽状态，保障银行系统和用户数据的安全。

步骤解析：

步骤 1：建立对业务系统和网络正常运行的基线。

将基线建立作为主动防御的战略基石，全面掌握网络环境的“常态”，才能识别“异动”，如同绘制网络世界的“地图”，才能发现异常的“地形”。成立专门的网络安全团队，由经验丰富的专家牵头，负责基线建立和维护工作。 明确责任分工，制定标准操作流程 (SOP)。多维度数据采集，包括系统日志、网络流量、用户行为、应用性能等，就像多角度观察网络世界，收集信息。利用安全信息和事件管理 (SOC) 平台、网络行为分析 (NTA/NDR) 工具等，分析采集的数据，建立网络环境的“行为画像”。制定基线更新机制，例如定期更新、根据系统变更更新等，确保“地图”的准确性和时效性。

假设：银行网络安全团队收集核心业务系统的用户登录日志，分析正常工作时间、登录用户角色、登录频率等信息，建立用户登录行为基线。 例如，发现运维人员通常在工作日早上 8 点至下午 6 点登录系统，并且平均每小时登录次数不超过 5 次。

步骤 2：使用威胁情报来识别与特定威胁或威胁参与者相关的已知入侵指标 (IOC)

将威胁情报作为主动防御的“千里眼”，及时掌握最新的攻击趋势、攻击者画像，提升防御的针对性。订阅专业的威胁情报服务，加入金融行业信息共享平台，与其他银行和安全机构进行信息交换，就像建立情报共享机制，扩大视野。分析威胁情报，提取与自身相关的 IOC，例如针对金融行业的攻击手法、恶意软件样本、攻击者使用的工具等。使用威胁情报平台 (TIP)  管理和分析 IOC 数据，并与安全信息和事件管理 (SIEM) 平台、入侵防御系统 (IPS) 等安全工具集成，实现自动化告警和拦截。制定威胁情报评估和应用流程，定期更新 IOC 数据库，并根据威胁情报调整安全策略。

假设：银行网络安全团队从威胁情报中发现，近期针对金融行业的攻击者常用一种名为 “FinSpy” 的恶意软件，该软件可以窃取用户的银行账户信息。 团队提取了该软件的哈希值和其他相关 IOC，并将其添加到安全系统中，以便及时检测和阻止该恶意软件的入侵。

步骤 3：监控日志、网络流量和端点遥测数据，以发现异常或与基线的偏差。

实时监控网络环境的“动态”，发现任何偏离“常态”的行为，就像时刻关注“地图”上的异常变化，例如地震、洪水等。建立 7*24 小时的安全监控中心 (SOC)，由专业人员负责监控系统和网络活动，并及时处理告警信息。收集全面的监控数据，包括系统日志、网络流量、用户行为、应用性能等，并将其集中到 SIEM 平台进行分析。使用 SIEM 平台的规则引擎和机器学习算法，对监控数据进行实时分析，识别异常行为，并生成告警信息。制定告警处理流程，明确不同级别告警的处理流程和响应时间，并定期评估告警规则的有效性。

假设：银行网络安全团队通过SOC平台发现，凌晨 2 点有一个运维人员账户登录了核心业务系统，并且在短时间内进行了大量的数据库查询操作，这与该用户的登录行为基线明显不符，系统立即发出高危告警。

步骤 4：利用自动化工具（例如 SOC 平台或入侵检测系统）来标记潜在的入侵指标。

利用自动化工具提高安全监控和告警的效率，就像利用地震预警系统，快速识别潜在的地震活动。 为安全团队配备专业的安全分析师，并提供必要的培训，使其能够熟练使用SOC平台和NDR等工具。

根据步骤 2 中提取的 IOC，以及步骤 3 中发现的异常行为，配置 SOC 平台和入侵检测系统的告警规则，自动标记潜在的入侵指标。利用 SOC 平台的关联分析功能，将来自不同安全设备的告警信息进行关联，识别攻击链，并根据攻击的严重程度进行优先级排序。 定期评估告警规则的有效性，并根据新的攻击手段和防御策略进行调整，确保及时发现潜在的入侵指标。

假设：银行网络安全团队在 SOC 平台配置了针对 “FinSpy” 恶意软件的检测规则，一旦发现该软件的哈希值或其他 IOC，系统就会自动标记为高危事件，并通知安全分析师进行处理。

步骤 5：定期进行威胁狩猎操作，以根据威胁情报、过去的事件或已知的攻击模式主动发现和搜索入侵迹象。

将威胁狩猎作为主动防御的“侦察兵”，主动出击，寻找隐藏在网络环境中的攻击者，就像在战场上进行侦察，发现潜伏的敌人。组建专业的威胁狩猎团队，由经验丰富的安全专家组成，并配备必要的工具和资源，例如沙箱、取证工具等。根据威胁情报、过去的攻击事件和已知的攻击模式，制定威胁狩猎计划，明确狩猎目标、范围和方法。

使用高级威胁检测工具、数据分析工具、取证工具等，对网络环境进行深度分析，寻找攻击者的蛛丝马迹。将威胁狩猎纳入日常安全运营工作，定期进行狩猎行动，并记录狩猎过程和结果，不断改进狩猎策略。

假设：银行网络安全团队根据近期针对金融行业的攻击趋势，制定了一个威胁狩猎计划，重点关注利用 RDP 协议进行的攻击。 他们使用网络流量分析工具，对所有 RDP 连接进行监控，并结合用户行为分析，识别异常的 RDP 连接，例如连接时间异常、访问资源异常等，最终发现了一个攻击者利用 RDP 漏洞入侵了内部服务器。

步骤 6：调查任何已识别的入侵迹象，以确定它们是否代表安全事件，并在必要时启动事件响应流程。

建立有效的事件响应机制，就像制定应急预案，在发现入侵事件时能够快速响应，控制事态发展。 制定事件响应流程，明确每个环节的责任人和行动指南，并定期进行演练，提高团队的响应速度和效率。对所有标记的入侵指标进行调查，收集证据，分析攻击手法，评估攻击的影响范围。

使用取证工具、恶意代码分析工具等，对攻击事件进行深入分析，还原攻击过程，识别攻击者身份。根据调查结果，采取相应的措施，例如隔离受感染主机、修复漏洞、加强安全防御等，并及时向相关部门和监管机构报告事件情况。

假设：银行网络安全团队对凌晨 2 点的异常登录事件进行调查，发现攻击者使用了 stolen 的运维人员账户密码进行登录，并尝试窃取用户数据。 团队立即隔离了受感染主机，重置了该用户的密码，并加强了对该账户的监控。 同时，团队也向公安机关报案，并将事件情况报告给银监会。

总结

主动防御是一个持续改进的过程，需要不断学习新的攻击技术和防御手段，才能始终保持领先于攻击者，保障网络安全。