iT邦幫忙

2021 iThome 鐵人賽

DAY 18
1
Security

過關斬將,資安面試300題系列 第 18

威脅獵捕篇(Cyber Threat Hunting)

  • 分享至 

  • xImage
  •  

Cyber Threat Hunting,應該是可以翻譯威脅獵捕或是威脅狩獵、內部入侵行為分析吧。

對「我」來說這是一個很微妙的一個領域(?!
因為看過一些Threat Hunting相關的文章、或是聽過一些演講的分享,
還有參加了資安大會時奧義智慧開的Lab,有接觸了一下他們的產品。

經常都覺得Threat Hunting,
對我來說是一個近在咫尺,卻又遠在天邊的東西。
我自己主要熟悉是滲透測試,平常也都會看許多的資安新聞與事件。
Threat Hunting當中的各項名詞或是流程,乍看之下我都覺得不陌生,
可是實際上真要開始做,或是該怎麼著手分析,卻又幾乎都是沒有概念。

至於職缺來說,我自己是不確定是否會有Threat Hunting直接相關的職缺,
但是台灣的確有不少公司都有發展或是代理Threat Hunting相關的產品,
或是該有該性質產品的公司,裡面的資安研究員應該會需要具備相關知識吧(我猜der

今天內容也是一樣在網路上東翻西找的零碎文章中拼湊而成的。

照慣例,每篇文章都會附上第一篇的文章,讓大家了解一下這系列文章說明
https://ithelp.ithome.com.tw/articles/10264252

1.甚麼是威脅狩獵(Cyber Threat Hunting)?(以下簡稱TH)

是一種主動式的防禦策略與技術,利用一些資訊蒐集、威脅情報,來去掌握可能存在的攻擊者與攻擊行為,並且進一步去阻止或是預防這些風險的發生。並且這些可能的攻擊行為,通常是傳統的防禦設備無法偵測與阻擋的。

2.SOC跟TH有甚麼區別?

SOC是被動式的防禦,主要在於進行日常的監控與警報,還有如何處理所遇到的各種事件;而TH則是主動式的防禦,TH可以基於一些數據、情報及線索,在沒有警報的情況下,提前掌握可能的攻擊以及威脅。

3.TH有甚麼好處?

先發制人(?,不要等到事件發生才處理。並且有些惡意網域、惡意攻擊、APT,可能是傳統防火牆、入侵偵測系統(IDS/IPS)、防毒軟體無法成功偵測防禦的,可以利用TH來達成預防。

4.描述一下TH的流程

監控 -> 篩選 -> 調查&A追蹤 -> 回饋

參考奧義智慧先前資安大會的一份簡報
https://s.itho.me/ccms_slides/2021/5/18/7f7294fc-1819-405b-a082-756cf93dafad.pdf

5.甚麼是IOC威脅指標

算是網路攻擊或是惡意行為發生的證據指標(?,可以透過已知的IoC來去檢測、預防惡意行為與攻擊。

6.甚麼是STIX及TAXII

是基於XML格式協助組織之間達到共享情報資源的一種標準化語言。

7.你覺得TH需要甚麼樣的基礎知識與技能?

基本的網路知識
了解攻擊手法(例如熟悉ATT&CK框架)
分析數據的能力
...

8.甚麼是威脅情報?

包含像是資安事件、漏洞、OSINT(公開情報)、或是像暗網上的未公開情報都算。

9.威脅情報當中的痛苦金字塔(pyramid of pain)是甚麼?

可以協助了解那些特徵或是情報,對於獵捕攻擊者最有價值。或者是反過來說,知道那些惡意特徵,對於防守人員來說是更有利的。

10.描述一下你知道的常用的威脅追蹤技術?

Searching/Clustering/Grouping/Stack Counting

11.你有用過甚麼樣的TH工具或產品?

12.你覺得工具或產品當中需要具備甚麼樣的特徵或功能


抱歉今天內容比我想像中的少QQ
因為睡太晚,待會要出門(不知道幾點才回來),
時間倉促的情況下,沒辦法好好花費時間好好寫完。
今天就這樣了!

若有要補充也都歡迎留言


上一篇
密碼學基礎篇
下一篇
資安稽核篇
系列文
過關斬將,資安面試300題30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
CyberSerge
iT邦好手 1 級 ‧ 2021-10-04 11:46:03

SOC跟TH有甚麼區別?

一點補充:

SOC被監控,沒有警示便假設沒有入侵;TH主動搜索,一開始變假設本身環境已經被入侵,是兩種不同思維。

TH的主動性,在於假設本身環境已經被入侵,在沒有警報下,分析現有數據、情報及資料,找出攻擊軌跡,甚至主動部屬蜜罐獵捕入侵者。

HackerCat iT邦新手 2 級 ‧ 2021-10-04 20:19:27 檢舉

推推,感謝補充分享~

我要留言

立即登入留言