JFR-C/Threat-Detection-and-Incident-Response

GitHub: JFR-C/Threat-Detection-and-Incident-Response

一份整合了威胁检测、事件响应、数字取证方法论、主流框架与大量安全工具的资源导航与知识库。

Stars: 13 | Forks: 6

## 威胁检测与事件响应 (TDIR) ### 目录 - [I. 实用资源 (ENISA, NIST, ANSSI 等)](#I-USEFUL-RESOURCES) - [II. TDIR 与 DFIR 工具](#II-TDIR-and-DFIR-Tools) - [III. MITRE ATTACK 与 DEFEND 框架](#III-MITRE-ATTACK--DEFEND-FRAMEWORKS) - [IV. 网络攻击杀伤链模型与防御](#IV-The-Cyber-Attack-Kill-Chain-Model--Defense) - [V. 威胁检测与事件响应 (TDIR) 方法论](#V-Threat-Detection--Incident-Response-TDIR) - [VI. 安全运营中心 (SOC)](#VI-SOC---Security-Operation-Center) - [VII. ISO/IEC 27035 — 信息安全事件管理](#VII-ISOIEC-27035--Information-security-incident-management) - [VIII. TDIR 与 DFIR 术语和定义词汇表](#VIII-Glossary-of-TDIR-and-DFIR-terms-and-definitions) - [IX. 全球网络犯罪立法](#IX-Cybercrime-Legislation-Worldwide) - [X. 网络犯罪与威胁行为者](#X-Cybercrime-and-Threat-Actors) ### I. 实用资源 + ENISA 出版物 - [事件管理良好实践指南](https://www.enisa.europa.eu/sites/default/files/publications/Incident_Management_guide.pdf) + ENISA 出版物 - [网络危机管理最佳实践](https://www.enisa.europa.eu/sites/default/files/2024-11/ENISA%20Study%20Best%20Practices%20Cyber%20Crisis%20Management.pdf) + NIST 出版物 - [专注于操作技术的数字取证与事件响应框架](https://nvlpubs.nist.gov/nistpubs/ir/2022/NIST.IR.8428.pdf) + NIST 出版物 - [计算机安全事件处理指南](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf) + NIST 出版物 - [网络安全事件恢复指南](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-184.pdf) + ISO/IEC 27035 (2020-2023+) - [信息安全事件管理](https://www.iso27001security.com/html/27035) + MITRE - [ATT&CK® 框架](https://attack.mitre.org) - 基于真实世界观察的全球可访问的对手战术和技术知识库。 + MITRE - [Enterprise Attack Excel 矩阵](https://attack.mitre.org/docs/enterprise-attack-v14.1/enterprise-attack-v14.1.xlsx) - 该矩阵涵盖了漏洞被利用后发生的网络攻击生命周期的各个阶段。 + MITRE - [D3fend 矩阵](https://d3fend.mitre.org) - 网络安全对策的知识图谱。 + Tines - [SOC 自动化能力矩阵](https://tinesio.notion.site/4fd14ccf93e7408c8faf96c5aca8c3fd) - 该矩阵描述了大多数 SOC 可以自动化的常见活动。 + ANSSI (法语) - [预测和管理网络危机](https://cyber.gouv.fr/anticiper-et-gerer-une-crise-cyber) + ANSSI (法语) - [组织网络危机管理演习 (指南 - v1.0)](https://cyber.gouv.fr/publications/organiser-un-exercice-de-gestion-de-crise-cyber) + ANSSI (法语) - 指导网络事件的修复 - [战略部分](https://cyber.gouv.fr/sites/default/files/document/20231218_Volet_strat%C3%A9gique_cyberattaquesetrem%C3%A9diation_v1g.pdf) - [操作部分](https://cyber.gouv.fr/sites/default/files/document/20231218_Volet_operationnel_cyberattaquesetremediation_a5_v1j.pdf) - [技术部分](https://cyber.gouv.fr/sites/default/files/document/20231218_Volet_technique_cyberattaquesetremediation_a5_v1h.pdf) + GitHub - [事件响应方法论](https://github.com/certsocietegenerale/IRM) - CERT Societe Generale 提供的事件响应方法论。 + GitHub - [Awesome Incident Response](https://github.com/meirwah/awesome-incident-response/tree/master) - 为安全事件响应和 DFIR 团队精选的工具和资源列表。 + GitHub - [Awesome SOC](https://github.com/cyb3rxp/awesome-soc) - 用于构建/运行 SOC 的文档资源以及领域最佳实践集合 + GitHub - [The Threat Hunter Playbook](https://threathunterplaybook.com/intro.html) - 社区驱动的开源项目，旨在分享检测逻辑、对手战术和资源，以提高检测开发效率。 + GitHub - [Awesome Yara rules](https://github.com/InQuest/awesome-yara) - 精选的优秀 YARA 规则、工具和人物列表。 + GitHub - [Sigma rules](https://github.com/SigmaHQ/sigma) - SIGMA 规则仓库（超过 3000 条检测规则）。 + GitHub - [Sigma rules](https://github.com/The-DFIR-Report/Sigma-Rules/) - 来自 'The-DFIR-Report' 的 SIGMA 规则集合。 + GitHub - [Yara rules](https://github.com/The-DFIR-Report/Yara-Rules) - 来自 'The-DFIR-Report' 的 YARA 规则集合。 + Github - [Yara rules](https://github.com/malpedia/signator-rules) - 来自 'Malpedia' 的 YARA 规则集合。 + 网站 - [Sigma 规则转换器 (Detection Studio)](https://detection.studio/) - 将 SIGMA 规则转换为其他检测规则语法。 + 网站 - [Splunk 检测规则](https://research.splunk.com/detections/) - Splunk 的检测规则集合。 + Github - [Elastic 检测规则](https://github.com/elastic/detection-rules/) - Elastic 的检测规则集合。 + Atomic Threat Coverage - [RE&CT 框架](https://atc-project.github.io/atc-react/) - RE&CT 框架旨在积累、描述和分类可操作的事件响应技术。 + Atomic Threat Coverage - [ATC](https://github.com/atc-project/atomic-threat-coverage) - 旨在从检测、响应、缓解和模拟角度对抗威胁的可操作分析（基于 MITRE 的 ATT&CK 框架）。 + Microsoft - [威胁情报社区博客](https://aka.ms/threatintelblog) + AWS - [AWS 事件响应剧本示例](https://github.com/aws-samples/aws-incident-response-playbooks) + AWS - [AWS 客户剧本框架](https://github.com/aws-samples/aws-customer-playbook-framework) - 该仓库提供了在使用 Amazon Web Services 时针对各种场景的安全剧本示例模板。 + [数字取证 Discord 服务器](https://discord.com/servers/digital-forensics-427876741990711298) - 这是一个由 DFIR 专业人士为 DFIR 专业人士设立的服务器。拥有来自执法部门、私营部门、学生和取证供应商的 12,900 多名在职专业人士社区。 + 威胁行为者列表：[MITRE - 对手组织](https://attack.mitre.org/groups/)，[Mandiant - APT 组织](https://www.mandiant.com/resources/insights/apt-groups)，[Crowstrike - 全球威胁格局与对手](https://www.crowdstrike.com/adversaries/) + DFIR 报告 - [泄露报告集合](https://github.com/BushidoUK/Breach-Report-Collection) - 收集了在被入侵后公开对手 TTPs 的公司。 + DFIR 报告 - [THE DFIR REPORT](https://thedfirreport.com) - 真实攻击者的真实入侵，入侵背后的真相。 + DFIR 新闻 - [This week in4n6](https://thisweekin4n6.com) - 数字取证与事件响应新闻每周 roundup。 + 网络犯罪新闻 - [Security Affairs](http://securityaffairs.co/wordpress/) - 涵盖网络犯罪、网络战、黑客行动主义等主题的博客。 + 威胁研究与情报 - [CrowdStrike 对抗对手行动博客](https://www.crowdstrike.com/en-us/blog/category.counter-adversary-operations/) - 涵盖威胁狩猎与情报、网络犯罪等内容的博客。 + 威胁研究与情报 - [Palo Alto Networks Unit 42 博客](https://unit42.paloaltonetworks.com/unit-42-all-articles/) - 威胁研究博客。 + 威胁研究与情报 - [Sekoia 威胁研究博客](https://blog.sekoia.io/category/threat-research/) - 威胁研究博客。 + 威胁分析 - [Google 威胁分析组博客](https://blog.google/threat-analysis-group/) - Google 反击政府背景攻击的最新动态。 + 勒索软件监控网站 - [Ransomware.Live](https://www.ransomware.live) - [RansomWatch](https://ransomwatch.telemetry.ltd) + Malpedia - [Malpedia 网站](https://malpedia.caad.fkie.fraunhofer.de/library) - 免费的在线服务，旨在通过提供结构化、精心整理的信息，帮助网络安全专业人员快速识别和分析恶意软件家族。 ### II. TDIR 和 DFIR 工具 #### 1. 社区 / 开源 / 免费工具 + 数字取证与事件响应 (虚拟机和工具) + [SANS - SIFT Workstation (Linux 虚拟机)](https://www.sans.org/tools/sift-workstation/) - SIFT 虚拟机包含一系列免费开源的事件响应和取证工具，旨在进行深入的取证或事件响应调查。 + [Mandiant FlareVM (Windows 虚拟机)](https://github.com/mandiant/flare-vm) - 用于 Windows 系统的软件安装脚本集合，可让您轻松地在 Windows 虚拟机上设置和维护逆向工程环境。 + [Kali Purple (Linux 虚拟机)](https://gitlab.com/kalilinux/kali-purple/documentation/-/wikis/home) - 它是 Kali Linux 发行版的扩展，专为防御性安全操作而设计，侧重于威胁检测、事件响应和威胁情报。它包含众多工具，包括 SIEM、IDS/IPS、取证和事件响应软件。 + [The Sleuth Kit (TSK) & Autopsy](https://sleuthkit.org) - The Sleuth Kit® 是一个命令行工具和 C 语言库的集合，允许您分析磁盘镜像并从中恢复文件。它在 Autopsy 和许多其他开源及商业取证工具的后台使用。 + [Velociraptor](https://docs.velociraptor.app) - Velociraptor 是一款高级的数字取证和事件响应工具，可增强您对端点的可见性。它是一个使用 Velociraptor Query Language (VQL) 查询来收集基于主机的状态信息的工具。 + [GRR Rapid Response](https://grr-doc.readthedocs.io/en/latest/) - GRR Rapid Response 是一个专注于远程实时取证的事件响应框架。 + [Volatility Framework](https://volatilityfoundation.org) - 全球使用最广泛的内存取证工具。 + 威胁狩猎 & 日志搜索 + GitHub - [Velociraptor](https://github.com/Velocidex/velociraptor) - 使用 Velociraptor 的取证工件库主动搜索可疑活动。 + GitHub - [GRR Rapid Response](https://github.com/google/grr) - 使用 GRR Rapid Response 框架主动搜索可疑活动。 + GitHub - [Hayabusa](https://github.com/Yamato-Security/hayabusa) - 这是一个基于 Sigma 的威胁狩猎和快速取证时间线生成器，用于 Windows 事件日志。 + GitHub - [Chainsaw](https://github.com/WithSecureLabs/chainsaw) - 快速搜索和狩猎 Windows 取证工件。 + GitHub - [DeepBlueCLI](https://github.com/sans-blue-team/DeepBlueCLI) - DeepBlueCLI 是一个 PowerShell 模块，用于通过 Windows 事件日志进行威胁狩猎。 + GitHub - [FastFinder](https://github.com/codeyourweb/fastfinder) - 专为 Windows 和 Linux 平台上的威胁狩猎、实时取证和分流而设计的轻量级工具。 + GitHub - [APT-Hunter](https://github.com/ahmedkhlief/APT-Hunter) - 用于 Windows 事件日志的威胁狩猎工具（以紫队思维制作），用于检测隐藏在 Windows 事件日志海洋中的 APT 活动，并缩短发现可疑活动的时间。 + GitHub - [Loki](https://github.com/Neo23x0/Loki) - 简单的 IOC 和 YARA 扫描器。 + 其他 - [Thor Lite](https://www.nextron-systems.com/thor-lite/) - 免费的 IOC 和 YARA 扫描器。 + 在线恶意软件分析平台与沙箱 + [Virustotal](https://www.virustotal.com/gui/home/upload) - 分析可疑文件、域名、IP 和 URL 以检测恶意软件和其他违规行为，并自动与安全社区共享。 + [Joe Sandbox (社区版)](https://www.joesandbox.com) - 在 Windows/MacOS/Linux/Android/iOS 上分析潜在的恶意文件和 URL，提供全面详细的分析报告。 + [Hybrid-Analysis](https://www.hybrid-analysis.com) - 由 Falcon 沙箱驱动的自动化恶意软件分析服务。 + [Metadefender](https://metadefender.opswat.com) - 恶意软件分析平台（使用 38 个反恶意软件引擎上传并扫描您的文件以查找病毒）。 + [Saferwall](https://saferwall.com) (https://github.com/saferwall/saferwall) - 恶意软件分析平台，能够在几分钟内分析、分类和归类威胁。 + [Threat Zone Scan Holistic](https://app.threat.zone/scan) - 恶意软件分析平台（交互式沙箱、静态分析器、模拟）。 + [Valkyrie Comodo](https://valkyrie.comodo.com) - Valkyrie 使用运行时行为和文件的数百个特征进行多项分析，并根据分析结果警告用户防范经典 Anti-Virus 产品未检测到的恶意软件。 + 恶意软件分析命令行工具 + GitHub - [Mandiant CAPA](https://github.com/mandiant/capa) - Capa 检测可执行文件中的能力。您可以对 PE、ELF、.NET 模块、shellcode 文件或沙箱报告运行它，它会告诉您它认为该程序能做什么。 + GitHub - [PE-BEAR](https://github.com/hasherezade/pe-bear) - 具有友好 GUI 的可移植可执行文件 (PE) 逆向工具，为恶意软件分析师提供快速灵活的“第一眼视图”。 + GitHub - [PE-SIEVE](https://github.com/hasherezade/pe-sieve) - 扫描给定进程。识别并转储各种潜在的恶意植入物（替换/注入的 PE、shellcode、hooks、内存补丁） + GitHub - [System informer](https://github.com/winsiderss/systeminformer) - 免费、强大、多用途的工具，可帮助您监控系统资源、调试软件和检测恶意软件。 + GitHub - [Moneta](https://github.com/forrest-orr/moneta) - Moneta 是一款用于 Windows 的实时用户模式内存分析工具，具备检测恶意软件 IOC 的能力。 + GitHub - [CyberChef](https://github.com/gchq/CyberChef) (https://gchq.github.io/CyberChef/) - 网络瑞士军刀。用于加密、编码、压缩和数据分析的 Web 应用程序。 + GitHub - [CyberChef Recipes](https://github.com/mattnotmax/cyberchef-recipes) - cyber-chef 方法和精选链接列表。 + GitHub - [De4dot](https://github.com/de4dot/de4dot) - 这是一个开源的 .NET 去混淆器和脱壳工具，它会尽最大努力将加壳和混淆的程序集恢复为接近原始程序集的状态。 + GitHub - [Themida Unpacker for .NET](https://github.com/cg10036/Themida-Unpacker-for-.NET) - 开发的用于快速轻松地脱壳打包的 .NET件的工具。 + 安全信息与事件管理 (SIEM) + [Elastic Security (SIEM)](https://www.elastic.co/security) - 集中记录、实时分析以及可视化来自网络内各种来源的安全事件和日志。免费和开放的解决方案提供了 SIEM、端点安全、威胁狩猎、云监控等功能。需要付费订阅才能解锁高级功能，如 XDR、自动化响应和深度分析。 + [Wazuh (XDR-SIEM)](https://wazuh.com) - 免费开源平台 (XDR-SIEM)，用于端点和云工作负载的威胁预防、检测和响应。它提供跨公共、私有和本地环境的安全事件和 incident 的实时关联、上下文、响应和监控。 + [AlienVault OSSIM](https://cybersecurity.att.com/products/ossim) - OSSIM (开源安全信息管理 / SIEM) 包括资产发现、漏洞评估、入侵检测、行为监控、SIEM 事件关联）。 + 入侵检测系统 (IDS) + GitHub - [OSSEC HIDS](https://github.com/ossec/ossec-hids) (https://www.ossec.net/) - 开源基于主机的入侵检测系统 (HIDS)，可执行日志分析、文件完整性检查、策略监控、rootkit 检测、实时告警和主动响应。 + GitHub - [Zeek](https://github.com/zeek/zeek) - Zeek 是一个强大的网络分析框架，与您可能知道的典型 IDS 有很大不同。 + 端点检测与响应 (EDR) + GitHub - [Open EDR](https://github.com/ComodoSecurity/openedr) - 免费开源的端点检测与响应 (EDR) 平台 (www.comodo.com)。 + [Elastic Security for Endpoint (社区版)](https://www.elastic.co/fr/downloads) - 提供 Elastic Security 的社区版本。 + [Elastic Detection Rules Explorer](https://elastic.github.io/detection-rules-explorer/) - Elastic Security 检测规则帮助用户设置并尽快开始其检测和安全监控。 + GitHub - [Elastic Detection Rules](https://github.com/elastic/detection-rules) - Elastic Security 检测引擎的规则。 + 其他 + GitHub - [Sysmon EDR](https://github.com/ion-storm/sysmon-edr) - 在 Powershell 中构建的 Sysmon EDR 概念验证，以证明其能力。 + GitHub - [Whids](https://github.com/0xrawsec/whids) - Windows 的开源 EDR。 + 对手模拟 + GitHub - [Atomic Red Team](https://github.com/redcanaryco/atomic-red-team) - Atomic Red Team™ 是一个映射到 MITRE ATT&CK® 框架的测试库。安全团队可以使用 Atomic Red Team 快速、便携且可重复地测试他们的环境。 + GitHub - [Atomic Red Team (PowerShell)](https://github.com/redcanaryco/invoke-atomicredteam) - Invoke-AtomicRedTeam 是一个 PowerShell 模块，用于执行 Red Canary 的 Atomic Red Team 项目中 atomics 文件夹中定义的测试。 + GitHub - [MITRE Caldera™](https://github.com/mitre/caldera) - 一个网络安全平台，旨在轻松自动化对手模拟、协助手动红队并自动化事件响应（基于 MITRE ATT&CK™ 框架构建）。 + GitHub - [APTSimulator](https://github.com/NextronSystems/APTSimulator) - Windows 批处理脚本，使用一组工具和输出文件使系统看起来像已被攻陷。 #### 2. 商业产品 + 端点检测与响应 (EDR) + CrowdStrike EDR + Cortex EDR/XDR (Palo Alto Networks) + Microsoft Defender for Endpoint (EDR) + Elastic Security for Endpoint Pro (EDR) + Cybereason EDR + SentinelOne EDR + Carbon Black EDR (VMware) + Cynet 360 AutoXDR + Trend Micro Vision One + WatchGuard EDR + ... 有用的 GitHub 项目：[EDR Telemetry](https://github.com/tsale/EDR-Telemetry) - 此项目旨在比较和评估各种 EDR 产品的遥测数据。 + 安全信息与事件管理 (SIEM) + Microsoft Azure Sentinel SIEM + Splunk Enterprise Security + Elastic Security for SIEM + IBM QRadar SIEM + ArcSight Enterprise Security Manager + LogRhythm SIEM + LogPoint SIEM + Securonix SIEM + McAfee Enterprise Security Manager + ... + 计算机取证调查软件 + EnCase Forensic + Forensic ToolKit (FTK) + X-Ways forensic suite ### III. MITRE ATTACK 与 DEFEND 框架 #### 1. MITRE ATTACK 框架 + MITRE ATT&CK® 是一个基于真实世界观察的全球可访问的对手战术和技术知识库。它记录了高级持续性威胁针对 Windows 企业网络使用的常见战术、技术和程序 (TTPs)。 + ATT&CK 知识库被用作私营部门、政府以及网络安全产品和服务社区开发特定威胁模型和方法论的基础。 + 战术、技术和程序 (TTPs) + 战术 (TACTICS) 代表了 ATT&CK 技术或子技术的“原因”。这是对手的战术目标：执行某个动作的原因。例如，对手可能希望获取凭证访问权限。 + 技术 (TECHNIQUES) 代表了对手通过执行某个动作来实现战术目标的“方式”。例如，对手可能会转储凭证以获取凭证访问权限。 + 程序 (PROCEDURES) 是对手用于技术或子技术的具体实现。例如，一个程序可以是对手使用 PowerShell 注入到 lsass.exe，通过抓取受害者上的 LSASS 内存来转储凭证。程序在 ATT&CK 中被分类为技术页面“程序示例”部分中观察到的野外使用技术。 + 目前有 14 种企业战术 (https://attack.mitre.org/tactics/enterprise/) | ID | 名称 | 描述 | | :-----: | :-----: | :-------: | | TA0043 | 侦察 | 对手正试图收集可用于规划未来行动的信息。 | | TA0042 | 资源开发 | 对手正试图建立可用于支持行动的资源。 | | TA0001 | 初始访问 | 对手正试图进入您的网络。 | | TA0002 | 执行 | 对手正试图运行恶意代码。 | | TA0003 | 持久化 | 对手正试图维持其立足点。 | | TA0004 | 权限提升 | 对手正试图获取更高级别的权限。 | | TA0005 | 防御规避 | 对手正试图避免被检测到。 | | TA0006 | 凭证访问 | 对手正试图窃取账户名和密码。 | | TA0007 | 发现 | 对手正试图摸清您的环境。 | | TA0008 | 横向移动 | 对手正试图在您的环境中移动。 | | TA0009 | 收集 | 对手正试图收集与其目标相关的数据。 | | TA0011 | 命令与控制 | 对手正试图与被攻陷的系统进行通信以控制它们。 | | TA0010 | 数据渗出 | 对手正试图窃取数据。 | | TA0040 | 影响 | 对手正试图操纵、中断或破坏您的系统和数据。 | #### 2. MITRE DEFEND 框架 + MITRE D3FEND 框架是一项旨在通过创建结构化且全面的防御性网络安全技术知识库来增强网络安全防御机制的倡议。它旨在帮助网络安全专业人员理解和对抗对手的战术和技术，提供专门针对缓解潜在网络威胁的防御措施目录。 + D3FEND 矩阵使用语义模型和链接数据编码了网络安全对策的知识库。它旨在支持网络防御解决方案和威胁的查询、分析和自动化。 + 其使命是通过提供基于对手战术和技术的真实世界对策，减少攻击面并改善组织的安全态势。 + D3FEND 矩阵中目前有 7 种战术 (https://d3fend.mitre.org) | 战术 | 战术描述 | 防御技术 | | :-----: | :-----: | :-----: | | 1. 建模 | 建模战术用于将安全工程、漏洞、威胁和风险分析应用于数字系统 | 资产清单、网络映射、运营活动映射、系统映射 | | 2. 加固 | 加固战术用于增加计算机网络利用的机会成本 | 代理认证、应用程序加固、凭证加固、消息加固、平台加固、源代码加固 | | 3. 检测 | 检测战术用于识别对手对计算机网络的访问或未经授权的活动 | 文件分析、标识符分析、消息分析、网络流量分析、平台监控、进程分析、用户行为分析 | | 4. 隔离 | 隔离战术在系统中创建逻辑或物理屏障，从而减少对手创造进一步访问的机会 | 访问调解、访问策略管理、执行隔离、网络隔离 | | 5. 欺骗 | 欺骗战术用于宣传、引诱并允许潜在攻击者访问受观察或受控的环境 | 诱饵环境、诱饵对象 | | 6. 驱逐 | 驱逐战术用于从计算机网络中移除对手 | 凭证驱逐、对象驱逐、进程驱逐 | | 7. 恢复 | 恢复战术用于将系统恢复到更好的状态 | 恢复访问、恢复对象 | ### IV. 网络攻击杀伤链模型与防御 + 定义与目标 + “杀伤链”是一个传统的战争术语，最常被美国空军用于定义瞄准和摧毁敌方部队的指挥与控制过程，以使敌人最难继续战斗。 + 最近，杀伤链已被美国军方以及 Mitre 和 Lockheed Martin 的领先网络威胁防御团队应用于定义一种新的防御策略，以防范高级持续性威胁 (APT) 和其他定向网络攻击。 + 在网络攻击中，“杀伤链防御”利用了这样一个事实：成功的攻击必须完成从规划和恶意软件引入到扩展以及一个或多个命令与控制阶段的所有阶段，直到目标被识别、操纵和渗透。 + 目标 + 杀伤链防御的目标是破坏攻击链中的一个或多个阶段，以阻止攻击的进展并迫使对手重新开始。 + 在这种策略中，记住三件事很重要： - 坏人必须让整个链条起作用才能成功； - 您只需要杀死一个环节就可以阻止他们； - 在敌方攻击链的每个点具备检测和杀伤能力，能为您提供在这种防御中成功的最高概率。 + 目标是利用“杀伤链”帮助您开发能力，使您能够在杀伤链的早期识别攻击，而不是等待后期阶段的攻击变得明显。换句话说，开发有助于您在入侵仍处于阶段 1、2 或 3 时识别入侵的能力——数字越小越好。 + 7 个“杀伤链”阶段 + 入侵杀伤链将入侵分解为不同的阶段，这些阶段在 Lockheed Martin 的论文中得到了很好的定义： ``` ➤ Phase 1 - Reconnaissance ------------------------ + The reconnaissance phase of a cyberattack is focused on learning as much as possible about the target. This can include the use of open-source intelligence (websites, social media, etc.) and active investigation of the target environment. + Research, identification and selection of targets, often represented as crawling Internet websites such as conference proceedings and mailing lists for email addresses, social relationships, or information on specific technologies. ➤ Phase 2 - Weaponization ----------------------- + The goal of the reconnaissance phase is to discover a potential attack vector, and weaponization is intended to develop a method of exploiting a discovered weakness. This may include development of custom malware, crafting a phishing email, etc. + Coupling a remote access trojan with an exploit into a deliverable payload, typically by means of an automated tool (weaponizer). Increasingly, client application data files such as Adobe Portable Document Format (PDF) or Microsoft Office documents serve as the weaponized deliverable. ➤ Phase 3 - Delivery ------------------ + Transmission of the weapon to the targeted environment. The three most prevalent delivery vectors for weaponized payloads by APT actors, as observed by the Lockheed Martin Computer Incident Response Team (LM-CIRT) for the years 2004-2010, are email attachments (phishing), websites, and USB removable media. + The delivery stage involves setting up the target for exploitation. This could be as simple as clicking send on a phishing email or may involve a complicated process of getting the right person at the right place at the right time. ➤ Phase 4 - Exploitation ---------------------- + The exploitation phase is when the attacker takes advantage of the discovered weakness to gain access to the target environment. This may involve exploiting a vulnerability in a webserver, a user enabling macros on a malicious document, etc. + After the weapon is delivered to victim host, exploitation triggers intruders’ code. Most often, exploitation targets an application or operating system vulnerability, but it could also more simply exploit the users themselves or leverage an operating system feature that auto-executes code. ➤ Phase 5 - Installation ---------------------- + Installation of a remote access trojan or backdoor on the victim system allows the adversary to maintain persistence inside the environment. + One of the goals of a cyberattack is to gain a foothold on the target network. Once the identified vulnerability has been exploited, an attacker should be able to install and execute malware on the target system. ➤ Phase 6 - Command and Control (C2) ---------------------------------- + Typically, compromised hosts must beacon outbound to an Internet controller server to establish a C2 channel. APT malware especially requires manual interaction rather than conduct activity automatically. Once the C2 channel establishes, intruders have “hands on the keyboard” access inside the target environment. + A great deal of malware is designed to be interactive, receiving instructions from its creator and/or sending data to them. Establishing a channel for these communications is the next stage in the process. ➤ Phase 7 - Actions on Objectives ------------------------------- + Only now, after progressing through the first six phases, can intruders take actions to achieve their original objectives. Typically, this objective is data exfiltration which involves collecting, encrypting and extracting information from the victim environment; violations of data integrity or availability are potential objectives as well. Alternatively, the intruders may only desire access to the initial victim box for use as a hop point to compromise additional systems and move laterally inside the network. ``` ### V. 威胁检测与事件响应 (TDIR) #### 流程 / 方法论 #### 第 1 步：准备 + 定义并实施全面的事件响应计划 - 事件响应计划是一组指令，可帮助组织迅速有效地响应安全事件。该计划应概述所有团队成员的角色和职责，详细说明摄取和故障排除的过程，然后针对不同类型的事件做出响应。它应提供在事件发生期间和之后与利益相关者沟通的准则，包括经验教训、流程改进以及潜在的工具增强。 - 制定全面的事件响应计划可以显著缩短响应安全事件所需的时间，从而最大限度地减少其可能造成的损害和破坏。它还可以帮助确保所有团队成员在发生攻击时知道该怎么做，从而提升组织的整体安全态势。 - 清晰传达的事件响应计划对于组织的网络弹性至关重要。通过定义所有响应活动的离散步骤，该计划使安全团队能够减少业务中断并减轻安全事件带来的运营影响。 + 确定清晰的升级路径 - 建立清晰的升级路径对于高效的威胁响应至关重要。当检测到潜在威胁时，相关信息应迅速上报给合适的人员或团队，以进行进一步的分析和修复。 - 升级路径可能因威胁的严重程度、潜在影响以及处理该威胁所需的技能而异。某些类型的威胁，如果在媒体或外部认知方面具有很高的潜在影响，则应有执行发起人或联系人以便快速通报。 - 清晰且记录完备的升级和沟通路径可以加快响应过程，并确保威胁由具备相应专业知识的团队处理。 + 集中事件响应流程 + 通过使用 SIEM 和 SOAR 解决方案，我们可以更有效地关联和分析来自整个环境的信息。当我们响应攻击时，登录多个工具会减慢我们的调查速度，给攻击者提供更多在我们系统和网络中隐藏的机会。将所有监控和调查集中在一个位置，我们可以构建简化活动的工作流和流程，使我们能够更快地遏制、根除事件并从中恢复。 + 识别攻击场景，定义相关的检测用例并创建基于风险的高保真告警 + 安全运营中心 (SOC) 通常收到的告警数量远超其处理能力，这导致浪费时间调查误报，而真正的威胁却被忽视。威胁检测工具必须生成高质量且误报率低的告警，以确保团队能够集中精力应对企业面临的真正威胁 + 定义报告要求 + 我们应该制定完善的流程，以便在恢复受影响的系统后向管理层报告。作为审查事件响应计划有效性的一部分，我们应该设立衡量我们以下操作速度和效果的指标： + 检测到事件 + 调查事件 + 遏制并根除攻击者 + 恢复系统 + 定期进行 TDIR 测试和培训 - 定期通过紫队和红队演练测试您的检测和响应能力。 - 为员工举办有关最新威胁和响应程序的培训课程，以确保每个人都做好准备。 #### 第 2 步：主动威胁狩猎（和攻击面监控） + 第二步涉及监控组织的攻击面，并主动寻找可能危及组织数字资产的潜在威胁。与对威胁做出反应的传统安全措施不同，主动威胁狩猎旨在在威胁造成破坏之前识别它们。 + 威胁狩猎需要获取并深入了解组织的基础设施、系统和典型的网络行为。通过了解什么是正常的，安全团队可以快速发现任何可能表明潜在威胁的异常情况。它还包括随时掌握外部的最新威胁情报，特别是针对您的行业和地理区域的情报，以预测新型攻击。 + 存在四种威胁狩猎方法论 ``` 1. Structured hunting ➤ Combining attacker tactics, techniques, and procedures (TTPs) with Indicators of Attack (IoA) often aligned to a known framework, like MITRE ATT&CK 2. Unstructured hunting ➤ Using a trigger event, like an Indicator of Compromise (IoC), to search logs for pre-detection and post-detection patterns 3. Intel-based hunting ➤ Initiating reactive hunting with inputs from IoCs, like hash values, domain names and networks, host artifacts, and IP addresses 4. Hybrid hunting ➤ Designing customized searches based on situational awareness that use structured, unstructured, and intel-based methodologies ``` + 主动检测威胁的好处 ``` 1. Reduce Risks - Identify vulnerabilities and threats early, reducing the chances of a successful breach. 2. Minimize Downtime - Faster response times can lead to quicker recovery and reduced business disruption. 3. Protect Assets - Safeguard critical data and intellectual property from theft or damage. 4. Stay Ahead of Threats - Continuously update threat intelligence to anticipate and prepare for emerging threats. 5. Save Costs - Preventing or swiftly addressing incidents can reduce the financial impact of data breaches. ``` #### 第 3 步：事件检测 + 第三步是借助高级安全工具（例如 SIEM、EDR、XDR、IPS、AV），利用基于签名和基于行为的检测方法，并进行日志分析和事件关联，大规模地检测和识别威胁及异常。 + 主要目标是： + 在执行的最早阶段检测威胁行为者的战术、技术和程序 + 追踪恶意活动以识别受感染的资产并识别恶意行为者 #### 第 4 步：事件调查（威胁分析和优先级排序） + 第四步是对检测到的威胁和异常进行优先级排序和分析。并非所有威胁在组织的影响或冲击方面都构成相同级别的风险，因此确定哪些威胁需要立即关注非常重要。此步骤对于制定有效的响应策略至关重要。 + 分析包括了解威胁的性质、其起源、当前的范围和广度及其潜在轨迹。 + 优先级排序包括评估威胁对组织运营和数据的潜在影响。 #### 第 5 步：遏制 + 第五步的目标是遏制并减轻已经造成的损害。 + 响应可能涉及各种操作，例如： + 锁定受感染或恶意的用户/服务/机器账户 + 关闭或隔离受影响的系统 + 阻止恶意的外部/内部 IP 地址、域名和 URL + 阻止电子邮件中的恶意发件人/域 + 隔离文件 + 禁用系统服务 + 强制执行 MFA 检查 * 轮换密码 + 修补漏洞 + ... + 网络事件响应计划应概述 CSIRT 团队针对每种类型的 incident / 网络攻击必须遵循的遏制程序（剧本）。 #### 第 6 步：根除 + 第六步的目标是根除威胁。 + 此步骤可能涉及各种操作，例如： + 移除恶意的用户/服务/机器账户 + 移除恶意文件、服务、注册表项等 + 移除非法网络设备 + 撤销身份验证凭证（例如证书、令牌、密钥） + ... + 网络事件响应计划应概述 CSIRT 团队针对每种类型的 incident / 网络攻击必须遵循的根除程序（剧本）。 #### 第 7 步：恢复与补救 + 恢复涉及将业务运营恢复到正常状态，修复任何损害并解决威胁的任何残余影响。 + 此步骤可能涉及各种操作，例如： + 从备份磁带恢复数据 + 使用取证工具恢复丢失的数据（如果没有备份） + 从（安全的）备份镜像重新安装软件和系统 + 解锁合法的用户/服务/机器账户 + 应用程序和系统加固 + 修补漏洞 + 升级软件和操作系统版本 + ... #### 第 8 步：经验教训 + 学习涉及进行事后分析，以了解出了什么问题，以及如何通过流程、技术和工具以及改进的程序来防止未来发生类似事件。 #### 有效 TDIR 的一些最佳实践 + 定义并分配明确的角色和职责 + 网络攻击会破坏 IT 服务，但它们不仅仅是技术问题。攻击会影响组织中的每个人，因此您应该定义以下角色和职责： + IT 团队：评估严重性、调查事件、遏制攻击、恢复受影响的系统、跟踪并记录活动 + 人力资源部：与数据受到影响的员工进行沟通 + 市场或沟通部门：在社交媒体上进行沟通并回应媒体请求 + 高级领导层：监控持续的业务影响并审查事后报告 + 客户支持：处理传入的支持工单并在事件期间更新客户 + 主动威胁狩猎 - 主动寻找可能危及组织数字资产的潜在威胁。与对威胁做出反应的传统安全措施不同，主动威胁狩猎旨在在威胁造成破坏之前识别它们。 + 实施持续监控 - 实施提供对网络、系统和应用程序实时监控的工具和解决方案。 - 持续监控对于有效的威胁检测和响应至关重要。组织应 24/7 全天候监控其系统和网络，使用 SIEM 和 EDR 等工具在可疑活动发生时尽快检测到它们。 + 自动化威胁响应 - 自动化威胁响应可以帮助组织快速有效地中和威胁。这可能涉及使用自动化脚本来阻止恶意 IP 地址、隔离受影响的系统或执行其他预定义的响应操作。自动化还可以扩展到补救过程，例如自动修补已知漏洞。 - 下一代 SIEM 和 XDR 系统等高级工具可以与其他安全系统（如安全编排、自动化和响应 (SOAR)）集成，以自动对其识别的威胁和异常做出反应。 + 对员工进行网络安全教育，以减少人为错误并提升安全意识。 + 威胁情报集成 - 利用威胁情报源随时了解最新的威胁向量和失陷指标。 + 取证能力 - 保持进行数字取证的能力，帮助了解事件的范围和影响并防止未来再次发生。 + 定期进行安全评估 - 定期的漏洞评估可以帮助组织在威胁行为者利用安全弱点（例如缺失关键补丁、默认凭证）之前识别它们。这些评估应当全面，涵盖组织系统、应用程序和网络的各个方面。 - 定期的网络和应用程序渗透测试可以帮助发现漏洞评估期间可能不可见的漏洞。渗透测试模拟真实世界的攻击，测试组织的防御能力，并深入了解它们抵御实际攻击的能力。 + 网络分段 - 使用网络分段来限制威胁的蔓延并遏制事件。 ### VI. SOC - 安全运营中心 #### SOC 定义 + 安全运营中心 (SOC) 是组织内负责监控、检测、分析和响应网络安全事件和威胁的集中化部门。 + 它作为一个指挥中心，安全分析师和专业人士在此工作以确保组织信息系统、网络和数据的安全。 + SOC 配备了技术、流程和熟练的人员，以主动防御和减轻潜在的网络威胁，并维护组织的整体安全态势。 + SOC 的目标运营模式旨在建立一种主动、具有弹性和敏捷的安全态势，能够有效防御和响应网络威胁，同时最大限度地减少安全事件对组织的影响。 #### 常见的 SOC 活动 + 持续监控 + SOC 对组织的 IT 基础设施、网络和系统进行 24/7 监控，以实时检测和响应安全事件。 + 事件检测与响应 + 快速识别和分析安全事件及 incidents，随后采取适当的响应行动以减轻并遏制安全漏洞的影响。 + 事件报告与分析 + 记录和分析安全事件以了解其根本原因、模式和趋势，并利用这些信息改进安全控制和事件响应流程。 + 威胁情报集成 + 纳入威胁情报源和数据，以随时了解新兴的网络威胁，并增强组织检测和响应不断演变的攻击技术的能力。 + 主动威胁狩猎 + 通过主动威胁狩猎倡议，积极寻找并识别可能逃避传统安全控制的潜在安全威胁和漏洞。 + 安全工具管理 + 实施和管理一套安全工具，例如 SIEM（安全信息和事件管理）系统、EDR（端点检测与响应）解决方案以及其他安全技术，以支持监控和事件响应。 + 协作与沟通 + 促进内部团队、外部合作伙伴和利益相关者之间的有效沟通和协作，以协调事件响应工作并增强整体安全态势。 + 培训与技能发展 + 为 SOC 人员提供持续的培训和技能发展，以确保他们具备有效管理安全运营所需的知识和专业知识。 #### 常见的 SOC 工作角色 + SOC 经理 + 监督 SOC 的整体运营，包括团队管理、资源分配和战略决策，以增强安全运营。 + SOC 团队负责人 + 领导 SOC 内的分析师和工程师团队，提供指导、导师指导和技术专业知识，以提高团队在处理安全运营方面的绩效和效率。 + SOC 架构师 + 设计并实施 SOC 的整体架构和框架，确保其符合组织的安全目标和行业最佳实践。 + 安全运营专家 + 在安全运营的特定领域提供专业知识，例如网络安全、端点安全或威胁情报分析。 + SOC 工程师 + 设计、实施和维护 SOC 内的技术基础设施和安全工具，确保安全监控和响应能力的有效性。 + SOC 分析师 (Level 1) + 负责监控安全事件和告警，分析潜在的安全事件（分流），有时提供初步的事件响应。 + 事件响应者 / SOC 分析师 (Level 2) + 参与对安全事件的即时响应，在事件发生时遏制并减轻其影响，并主导事后分析和补救工作。 + 安全事件响应团队 (SIRT) 的一部分，专注于响应和管理安全事件，通常涉及与外部利益相关者和执法部门的协调。 + 事件响应者 / SOC 分析师 (Level 3) + 对安全威胁进行深入分析，执行取证调查，并为安全策略和程序的制定做出贡献。 + 安全事件响应团队 (SIRT) 的一部分，专注于响应和管理安全事件，通常涉及与外部利益相关者和执法部门的协调。 + 威胁猎人 + 在组织环境中主动搜索并识别可能逃避传统安全措施的高级威胁和漏洞。 #### 常见的 SOC 挑战 + 网络安全技能短缺 + 许多 SOC 团队人员不足，缺乏及时有效识别和响应威胁所需的高级技能。(ISC)² 劳动力研究估计，网络安全劳动力需要增长 145% 才能缩小技能差距并更好地保护全球组织。 + 告警过多 + 随着组织添加新的威胁检测工具，安全告警的数量持续增长。鉴于当今安全团队本已应接不暇， overwhelming 的威胁告警数量会导致威胁疲劳。此外，其中许多告警没有提供足够的情报、调查背景，或者是误报。误报不仅消耗时间和资源，还可能分散团队对真实事件的注意力。 + 运营开销 + 许多组织使用各种互不关联的安全工具。这意味着安全人员必须在环境之间转换安全告警和策略，从而导致昂贵、复杂且低效的安全运营。 #### 网络融合中心 (CFC) + 网络融合中心 (CFC) 是一种高级网络安全运营中心或下一代 SOC，它整合并协调人员、流程和技术，以增强组织检测、响应和缓解网络威胁和事件的能力。它是传统安全运营中心 (SOC) 的演进，通常在协作和集成的环境中整合威胁情报、事件响应和主动威胁狩猎等元素。 + 网络融合中心的总体目标是培养一种整体、协作和情报驱动的网络安全运营方法，使组织能够以敏捷和集成的方式主动识别、响应和缓解网络威胁。 + 网络融合中心的关键特征可能包括： + 威胁情报集成 + CFC 利用威胁情报源和资源随时了解新兴的网络威胁、威胁行为者行为以及战术、技术和程序 (TTPs)。 + 跨学科协作 + CFC 促进不同网络安全职能（如威胁情报分析师、事件响应者、取证分析师和安全运营专家）之间的协作，以分享见解并改善组织的安全态势。 + 主动威胁狩猎 + CFC 参与主动威胁狩猎活动，以识别和中和可能逃避传统安全控制的潜在威胁，通常使用高级分析和机器学习技术。 + 高级事件响应能力 + CFC 具备高级事件响应能力，包括剧本、自动化响应操作以及协调遏制和补救安全事件的工作。 + 实时态势感知 + CFC 通过聚合和关联来自各种来源的安全事件、日志和告警来识别模式和潜在的安全事件，从而提供实时的态势感知。 + 技术集成 + CFC 利用高级网络安全技术，如安全信息和事件管理 (SIEM)、端点检测与响应 (EDR) 和威胁情报平台，以支持整体的监控和响应能力。 + 数据驱动决策 + CFC 强调数据驱动的决策过程，利用分析和指标来衡量安全运营和事件响应工作的有效性。 ### VII. ISO/IEC 27035 — 信息安全事件管理 #### 该标准提出了一个包含 5 个关键阶段的流程： + 第 1 步 - 计划和准备处理事件（例如准备事件管理策略，组建事件响应团队并建立处理事件的胜任团队） + 第 2 步 - 通过监控识别和检测潜在的安全事件并报告所有事件 + 第 3 步 - 评估事件并决定如何处理它们（例如快速修补并恢复业务，或者收集取证证据，即使这会延迟问题的解决） + 第 4 步 - 响应事件：在适当的情况下，遏制、根除、恢复并对事件进行取证分析+ 第 5 步 - 从每次事件中学习并记录关键要点（这不仅仅是确定哪些事情本可以做得更好，此阶段涉及实际做出改进流程的更改） ### VIII. TDIR 与 DFIR 术语和定义词汇表 + DFIR - 数字取证与事件响应 + 数字取证与事件响应 (DFIR) 团队是组织中负责管理安全事件响应的一组人员，包括收集事件的证据、补救其影响以及实施控制以防止事件在未来再次发生。 + TDIR - 威胁检测与事件响应 + 威胁检测与事件响应 (TDIR) 是指用于实时识别、监控和分析网络安全威胁以及在安全事件发生时对其进行响应的流程、工具和策略。虽然威胁检测侧重于识别系统或网络内的恶意活动、异常行为或漏洞，但事件响应关注的是在检测到安全违规或攻击后管理和减轻其影响。 + 网络威胁 + 网络安全世界在不断发展，每天都有新的威胁出现。了解存在的不同类型的威胁对于安全团队有效保护其组织至关重要。 + 网络威胁可分为 2 个主要类别： + 常见网络威胁，包括：数据泄露、勒索软件、加密挖矿恶意软件、分布式拒绝服务攻击等。 + 高级持续性威胁 (APT)，这是一种复杂的网络攻击，包括长期的监视和情报收集，并伴随着试图窃取敏感信息和攻击脆弱系统的行为。它们故意攻击特定的高价值目标。 + TA - 威胁行为者 + 威胁行为者，也称为恶意行为者，是指在数字领域故意造成伤害的任何个人或组织。他们利用计算机、网络和系统中的弱点对个人或组织实施破坏性攻击。 + 威胁行为者的动机从黑客行动主义到网络间谍活动和金钱收益不等： + 网络罪犯通常通过检索/窃取数据以出售给第三方，或通过勒索软件攻击或安装加密挖矿恶意软件直接剥削受害者来寻求金钱收益。 + 内部威胁可能会向竞争对手出售信息或实施欺诈。如果他们对公司怀恨在心，他们可能会试图报复性地破坏网络。 + 民族国家的威胁行为者出于政治或民族主义动机。他们主要寻求改善其国家的反情报能力，但也可能有更具破坏性的目标，例如间谍活动、散布虚假信息和宣传，甚至干扰关键公司、领导人或基础设施。 + 恐怖分子和黑客行动主义者也出于政治动机，但不在国家层面上行动。黑客行动主义者希望传播他们个人的想法和信仰，而恐怖分子则旨在散布混乱和恐惧以实现其目标。 + TI - 威胁情报 + 威胁情报是收集、处理和分析的数据，用于了解威胁行为者的动机、目标和攻击行为。威胁情报能够做出更快速、更明智、有数据支持的安全决策，并在对抗威胁行为者的斗争中将行为从被动转变为主动。 + 收集可操作的情报可以从多种来源进行，包括开源情报 (OSINT)、网络流量分析和其他安全工具。威胁情报是基于证据的知识（例如，背景、机制、指标、影响和面向行动的建议），关于现有或新兴的对资产的威胁或危害。 + CERT / CSIRT - 计算机应急响应小组 / 网络安全事件响应团队 + 计算机应急响应小组 (CERT) 是处理计算机安全事件的专家组。此类组的替代名称包括网络应急响应小组、计算机应急准备小组和网络安全事件响应团队 (CSIRT)。 + 尽管 CSIRT 和 CERT 经常交替使用，但两者之间存在明显的区别。CERT 一词通常保留给由政府当局授权的占主导地位的计算机安全组织，而 CSIRT 可以是任何组织中的一般事件响应团队。 + FIRST - 事件响应和安全团队论坛 + FIRST 是一个全球性的事件响应和安全团队论坛。他们旨在改善安全团队在处理重大网络安全事件方面的合作。FIRST 是一个具有全球覆盖范围的事件响应团队协会。 + SOC - 安全运营中心 + 安全运营中心是组织中的核心职能，安全专家在此监控、检测、分析、响应和报告安全事件。SOC 通常由安全分析师和 IT 工程师 24/7 全天候值守，他们使用各种工具和技术来检测、分析和响应安全威胁。这有助于确保威胁被迅速遏制和中和，反过来又允许组织减少其“突破时间”——即入侵者攻陷第一台机器与他们可以横向移动到网络其他部分之间的关键窗口期。 + SOC 团队实施组织的整体网络安全策略，并在协调监控、评估和防御网络攻击的努力中作为协作的中心点。 + CFC - 网络融合中心 + 网络融合中心 (CFC) 可以被视为高级或下一代 SOC。 + CFC 采用主动的方法来识别威胁并以统一和及时的方式防御它们。它促进了组织内各个团队之间的协作以支持网络安全。这改善了威胁情报收集，缩短了响应和阻止攻击所需的时间，并减少了对组织的整体损害。这些团队可以包括安全运营、CSIRT、威胁情报团队、IT 运营、欺诈/法务等。 + SOC 用例 + SOC 用例是应用于触发告警的日志的安全事件检测规则。对于每个用例，都应该有一个关于如何响应它们的剧本或指令（即分析和缓解的步骤）。 + SOC 用例开发是选择和实施网络安全事件检测规则、工具和响应措施场景的正式化机制。最终目标：建立重复的事件检测过程，并制定针对各种类型威胁的标准化响应计划。 + SOAR - 安全编排、自动化与响应解决方案 + 使安全团队能够将独立的工具集成和协调为简化的威胁响应工作流的软件解决方案。SOAR 的编排和自动化能力使其能够作为安全事件响应的中央控制台。安全分析师可以使用 SOAR 来调查和解决事件，而无需在多个工具之间切换。 + 通过集成安全工具和自动化任务，SOAR 平台可以简化常见的安全工作流，如案例管理、漏洞管理和事件响应。SOAR 安全解决方案可以自动化低级别、耗时、重复的任务，如打开和关闭支持工单、事件富化和告警优先级排序。 + SIEM - 安全信息与事件管理 + SIEM 产品从应用程序、系统和内部安全工具（例如 IPS/IDS、EDR、AV、WAF、防火墙、代理）收集信息（原始日志和安全告警），将其聚合到中央日志中，并检测异常。它们提供日志和安全告警的实时分析，使其成为威胁检测过程中的重要组成部分。 + EDR - 端点检测与响应 + EDR 工具提供端点数据的实时监控和收集，使安全团队能够检测、调查和预防潜在威胁。它们能够识别、分析和阻止端点（如笔记本电脑、工作站、服务器和移动设备）上的可疑活动。它们还提供威胁狩猎和响应能力。 + XDR - 扩展检测与响应 + XDR 将多种安全产品集成到一个统一的安全事件检测和响应平台中。 + IDS/IPS - 入侵检测与防御系统 + 入侵检测和防御系统是强大的威胁检测和响应策略的关键组件。它们监控网络流量中的可疑活动和策略违规行为。入侵检测系统 (IDS) 分析网络流量以检测潜在威胁并向安全团队发出告警，而入侵防御系统 (IPS) 可以更进一步，自动阻止或缓解检测到的威胁。 + NGFW - 下一代防火墙 + NGFW 是传统防火墙的复杂版本，配备了深度包检测、入侵防御系统、某些防病毒哈希匹配以及纳入外部威胁情报等高级功能。 + WAF - Web 应用防火墙 + Web 应用防火墙 (WAF) 通过监控和过滤 Web 应用程序与 Internet 之间的 HTTP 流量来保护 Web 应用程序。它们有助于检测和防止基于 Web 的攻击，例如跨站脚本攻击 (XSS)、SQL 注入以及 OWASP Top 10 中列出的其他威胁。 + 云检测与响应工具 + 云检测与响应 (CDR) 工具将威胁检测和响应能力扩展到云环境。它们监控和分析各种云服务和基础设施的访问和其他活动，以检测潜在的安全威胁。它们有助于检测错误配置、未经授权的访问以及云环境特有的其他威胁，并且通常可以是云服务身份验证和授权的一部分。 + TIPs - 威胁情报平台 + 它们是威胁检测和响应中的关键技术。它们从各种来源收集、聚合和分析数据，以提供有关当前和潜在威胁的可操作情报。TIPs 可以帮助组织了解威胁格局、识别趋势并确定其安全工作的优先级。 + IoC - 失陷指标 + 计算机取证中的失陷指标 (IoC) 是在网络上或操作系统中观察到的、具有高度置信度表明发生了计算机入侵的工件。基于 IOC 的检测方法被归类为静态方法。 + 典型的 IoC 是病毒签名和 IP 地址、恶意软件文件的 MD5 哈希，或僵尸网络命令和控制服务器的 URL 或域名。 + 在通过事件响应和计算机取证过程识别出 IoC 后，可以使用入侵检测系统和防病毒软件利用它们来早期检测未来的攻击企图。 + IoA - 攻击指标 + 攻击指标 (IOAs) 展示了网络攻击背后的意图以及威胁行为者用来实现其目标的技术。 + IOA 是网络攻击可能发生或正在发生的任何数字或物理证据。 + 以下 IOA 示例基于常见的网络罪犯行为： + 公共服务器与内部主机通信。这可能表明数据渗出和来自犯罪服务器的远程通信。 + 通过非标准端口而不是端口 80 或端口 443 的连接。 + 过量的 SMTP 流量。可能是被攻陷的系统被用于发起 DDoS 攻击或数据泄露的证据。 + 移除后几分钟内恶意软件再次感染。这可能表明存在高级持续性威胁。 + 多个用户在短时间内从不同地区登录，或者一个来源向众多系统登录。这可能表明用户凭证被盗和横向移动。 + 在多次 IT 操作后清理日志以不留痕迹。 + YARA 规则 + 它是一个模式匹配框架，用于识别和分类恶意软件和其他 IT 安全威胁 / 失陷指标。 + 它提供了一种有效的手段来搜索多个文件中感兴趣的模式（例如 IoC），对其进行 analyzed 并根据结果做出明智的决策，使其成为网络保护和端点安全的重要组成部分。 + YARA 内置于许多恶意软件扫描程序中，包括但不限于 ClamAV、Avast、ESET、Kaspersky 和 VirusTotal；它也出现在其他流行类型的 IT 安全产品中，如扩展检测与响应 (EDR)、入侵检测与防御系统 (IDS/IPS)、包括 AlienVault 在内的安全信息和事件管理 (SIEM) 解决方案以及通用威胁情报平台。 + SIGMA 规则 + 它是一个强大的工具，可用于检测和恶意软件威胁狩猎。 + SIGMA 规则是一种开放规则语言，可用于描述恶意活动，并允许防御者以通用语言共享检测（告警、用例）。 + 就像 YARA 或 Snort 规则一样，SIGMA 是另一个用于开放共享检测的工具，只是它专注于 SIEM 而不是文件或网络流量。 ### IX. 全球网络犯罪立法 #### 1. 网络犯罪立法 + 来源/网站：https://unctad.org/page/cybercrime-legislation-worldwide + 网络犯罪是各级发展国家日益关注的问题，并影响买方和卖方。不断演变的网络犯罪格局和由此产生的技能差距对执法机构和检察官构成了重大挑战，特别是对于跨境执法而言。 + UNCTAD 全球网络法律追踪器是有史以来第一个全球网络法律映射。它追踪了 194 个 UNCTAD 成员国在电子交易、消费者保护、数据保护/隐私和网络犯罪采用领域的电子商务立法状况。它指示某个特定国家是否已通过立法，或是否有等待通过的法案草案。在某些无法轻易获得有关国家立法采用信息的实例中，会标明“无数据”。 + 网络犯罪立法状况（2021 年 12 月） + 80% 的国家拥有立法 + 5% 的国家拥有立法草案 + 13% 的国家没有立法 + 1% 的国家没有数据 + 尽管有 156 个国家（80%）颁布了网络犯罪立法，但其模式因地区而异： + 欧洲的采用率最高（91%） + 非洲的采用率最低（72%）。 #### 2. 《网络犯罪布达佩斯公约》（ETS 第 185 号） + 有用链接：https://www.coe.int/en/web/cybercrime/the-budapest-convention 和 https://www.coe.int/en/web/cybercrime/-/the-global-state-of-cybercrime-legislation-as-at-january-2023- + 《网络犯罪公约》，又称《网络犯罪布达佩斯公约》或《布达佩斯公约》，是第一个旨在通过协调国家法律、改进调查技术和加强国家间合作来解决互联网和计算机犯罪（网络犯罪）的国际条约。 + 它由欧洲委员会在法国斯特拉斯堡起草，欧洲委员会的观察员国加拿大、日本、菲律宾、南非和美国积极参与了起草。 + 该公约主要旨在： + 协调网络犯罪领域的国内刑事实体法犯罪要素和相关条款 + 规定调查和起诉此类犯罪以及通过计算机系统犯下的或其他相关证据为电子形式犯罪所需的国内刑事程序法权力 + 建立快速有效的国际合作机制 + 公约定义的犯罪如下： + 非法访问和非法拦截 + 数据干扰和系统干扰 + 设备滥用 + 与计算机相关的伪造 + 与计算机相关的欺诈 + 与儿童色情相关的犯罪 + 与版权及相关权利犯罪 + 2024 年，目前有 76 个缔约方加入《布达佩斯公约》，20 个国家已签署或被邀请加入。 #### 3. 联合国反网络犯罪公约 + 来源/网站：https://www.unodc.org/unodc/en/cybercrime/convention/home.html + 《联合国反网络犯罪公约》于 2024 年 12 月在纽约由联合国大会通过。该公约是首个关于此事项的全面全球条约，为各国提供了一系列为预防和打击网络犯罪而采取的措施。它还旨在加强在分享严重犯罪电子证据方面的国际合作。 + 该公约将在越南河内开放供签署，并在纽约联合国总部继续开放，直至 2026 年 12 月 31 日。签署通常是缔约国进行批准的前提条件。该公约将在 40 个国家通过交存批准书、接受书、核准书或加入书表达其受公约约束的同意后 90 天生效并具有法律约束力。 + 《联合国反网络犯罪公约》的章节 + 一般条款 + 该公约将缔约国团结在一个共同目标下：预防和打击网络犯罪，加强国际合作，并促进技术援助和能力建设，特别是为发展中国家。一般条款章节构成了全面应对网络犯罪的基础，并规定了适用于整个公约的基本规则。 + 刑事定罪 + 公约关于刑事定罪的章节要求缔约国建立针对通过 ICT 系统实施犯罪的全面框架。 + 管辖权 + 管辖权章节确立了清晰灵活的规则，以防止犯罪分子利用管辖权漏洞逃避惩罚，同时划分了缔约国可以监管的法律领域。 + 程序措施和执法 + 程序措施和执法章节赋权缔约国应对这些挑战，将传统的调查手段和方法调整以适应 ICT 环境。这些措施能够在保护人权的同时有效收集电子证据，并支持国内刑事诉讼和国际合作。 + 国际合作 + 因此，国际合作章节建立了一个全球框架，使各缔约方能够在跨境调查、起诉、资产追回和司法程序中相互协助。 + 预防措施 + 预防措施章节旨在有助于减少和管理网络犯罪的风险和威胁。成功预防网络犯罪需要所有利益相关者——政府、私营部门、学术界、民间社会组织以及整个公众——的积极参与和协调。 + 技术援助和信息交流 + 因此，技术援助和信息交流章节在缔约国之间建立了广泛的技术援助、能力建设和信息交流措施，并特别关注发展中国家的需求。 + 实施机制 + 因此，实施机制章节设立了缔约国大会。该大会作为监督公约实施以及提高缔约国能力和合作以实现公约目标的主要机制。 + 最后条款 + 最后条款章节包括有关各国如何成为缔约方和退出公约、公约生效、其效力、相关争端解决以及潜在修正程序和由议定书补充的规则和方式。 ### X. 网络犯罪与威胁行为者 #### 1. 世界网络犯罪指数 + 来源/网站：https://journals.plos.org/plosone/article?id=10.1371/journal.pone.0297312 和 https://www.ox.ac.uk/news/2024-04-10-world-first-cybercrime-index-ranks-countries-cybercrime-threat-level + 经过三年的密集研究，一个国际研究团队编制了有史以来第一个“世界网络犯罪指数”，通过在国家层面对最重要的网络犯罪来源进行排名来识别全球关键的网络犯罪热点（日期：2024 年）。 + 研究人员表示，网络犯罪的位置以前很难追踪，因为犯罪者通常通过隐藏在虚假个人资料和技术保护背后来掩盖其物理位置。为了收集数据，他们调查了来自全球 92 名参与网络犯罪情报收集和调查的顶级网络犯罪专家。 + 该研究评估的五大类网络犯罪是： + 技术产品/服务（例如恶意软件编码、僵尸网络访问、对受损系统的访问、工具生产）。 + 攻击和敲诈（例如拒绝服务攻击、勒索软件）。 + 数据/身份盗窃（例如黑客攻击、网络钓鱼、账户盗用、信用卡盗用）。 + 诈骗（例如预付费诈骗、商业电子邮件入侵、在线拍卖诈骗）。 + 套现/洗钱（例如信用卡欺诈、钱骡、非法虚拟货币平台）。 ``` Top 20 countries ranked by their World Cybercrime Index (WCI) score Countries WCI score --------------------------------- 1. Russia - 58.39 2. Ukraine - 36.44 3. China - 27.86 4. United States - 25.01 5. Nigeria - 21.28 6. Romania - 14.83 7. North Korea - 10.61 8. United Kingdom - 9.01 9. Brazil - 8.93 10. India - 6.13 11. Iran - 4.78 12. Belarus - 3.874 13. Ghana - 3.58 14. South Africa - 2.58 15. Moldova - 2.57 16. Israel - 2.51 17. Poland - 2.22 18. Germany - 2.17 19. Netherlands - 1.92 20. Latvia - 1.68 ``` #### 2. 在全球范围内打击网络犯罪 + 网站：https://www.europol.europa.eu/about-europol/european-cybercrime-centre-ec3 + 欧洲网络犯罪中心 (EC3) 由欧洲刑警组织设立，旨在加强欧盟对网络犯罪的执法响应，从而帮助保护欧洲公民、企业和政府免受在线犯罪的侵害。它为成员国的调查提供运营、战略、分析和取证支持。 + 自 2013 年成立以来，EC3 为打击网络犯罪做出了重大贡献，并参与了许多备受瞩目的行动和数百次运营支持部署。 + 联合网络犯罪行动特遣部队 (J-CAT) 于 2014 年 9 月启动。位于欧洲刑警组织的欧洲网络犯罪中心 (EC3)，它帮助在欧盟内外打击网络犯罪。 + J-CAT 的目标是推动基于情报的、协调一致的针对关键网络犯罪威胁和目标的行动，通过促进其合作伙伴联合识别、优先排序、准备、发起和执行跨境调查与行动。它主要应对： + 依赖网络的犯罪； + 跨国支付欺诈； + 线上儿童性剥削； + 跨犯罪网络 facilitator（例如，防弹托管、反杀毒服务、暗网的犯罪用途等）。 + 它由来自几个欧盟成员国和欧盟以外合作伙伴的网络联络官常设行动小组组成，这些联络官常驻欧洲警察署总部，并由 EC3 工作人员提供协助。网络联络官来自： + 13 个欧盟成员国（奥地利、比利时、捷克、芬兰、法国、德国、意大利、荷兰、罗马尼亚、波兰、瑞典、丹麦和西班牙，西班牙由两个机构代表：Policía Nacional 和 Guardia Civil）； + 7 个非欧盟伙伴国家（澳大利亚、加拿大、哥伦比亚*、挪威、瑞士、英国和美国，美国由四个机构代表：Federal Bureau of Investigation、Secret Service、Internal Revenue Service 和 Homeland Security Investigations）； + 欧洲警察署的欧洲网络犯罪中心 (EC3)。 + 在过去十年中，J-CAT 在众多备受瞩目的行动中发挥了重要作用，例如： + Operation TALENT (2025) + 在欧洲警察署的支持下，由德国当局主导的行动摧毁了世界上最大的两个网络犯罪论坛。 + 这两个名为 'Cracked' 和 'Nulled' 的平台总共有超过 1000 万用户。 + 这些网站作为“一站式商店”运作，不仅用于讨论网络犯罪，还作为非法商品和“网络犯罪即服务”（例如被盗数据、恶意软件或黑客工具）的市场。 + 调查人员估计嫌疑人赚取了 100 万欧元的犯罪利润。 + Operation PHISHOFF (2025) + 一项国际调查摧毁了“网络钓鱼即服务”平台 LabHost。 + LabHost 促进了针对全球数百家金融机构用户的网络钓鱼。通过按月订阅，该平台提供了网络钓鱼工具包、用于托管页面的基础设施、用于直接与受害者互动的交互功能，以及活动概览服务。 + 该调查发现了至少 40,000 个与 LabHost 相关的网络钓鱼域名，该平台在全球拥有约 10,000 名用户。 + Operation CRONOS (2024) + 一次全球执法行动摧毁了 LockBit，该组织被广泛认为是最多产且最具破坏性的勒索软件组织，与全球数十亿欧元的损失有关。 + 此次行动的成果是史无前例的：除了查封 LockBit 的数据泄露网站和 affiliate panel 外，执法机构还没收了 LockBit 运营的 34 台服务器，关闭了 14,000 个涉及数据外泄或该组织基础设施的“恶意账户”，并冻结了 200 个与 LockBit 及其附属机构相关的加密货币账户。 + Operation ENDGAME (2024-2025) + 有史以来规模最大的针对僵尸网络的行动。该行动采用国际化和综合性的方法，以应对僵尸网络被用作勒索软件和其他恶意软件初始访问点的日益增长的威胁。 + 这次国际行动关闭了包括 IcedID、SystemBC、Pikabot、Smokeloader 和 Bumblebee 在内的 droppers，导致四人被捕，并在全球范围内取缔了 100 多台服务器。 + Operation AETHER (2023-2024) + 一次协调的国际执法行动逮捕了与 Phobos 和 8Base 勒索软件组织有关的个人。 + 威胁情报将 Phobos 和 8Base 确定为 2024 年最活跃的勒索软件组织之一。 + 这次复杂的国际行动由欧洲警察署和 Eurojust 支持，涉及 14 个国家的执法机构。虽然一些国家专注于调查 Phobos，但其他国家则针对 8Base，其中有几个国家同时参与了这两项调查。 + Operation POWEROFF (2022) + 作为打击 DDoS 服务提供商的国际行动的一部分，约 50 个世界上最大的 booter 服务已被取缔，这些服务旨在让用户能够对关键在线基础设施发起具有破坏性的分布式拒绝服务攻击。 + 这次被称为 Operation Power Off 的行动中，美国、英国、荷兰、波兰和德国的执法部门采取了行动，打击这些可能导致互联网瘫痪的攻击。 + Operation Fifth-Element (2021) + 由于涉及八个国家的执法和司法行动，共有 12 名通过勒索软件攻击关键基础设施并在全球造成严重破坏的个人被列为目标。部署了 50 多名外国调查人员（包括 6 名欧洲警察署专家）前往乌克兰参加行动日，协助国家警察开展联合调查措施。 + 据信这些攻击影响了 71 个国家的 1800 多名受害者。这些网络攻击者以专门针对大型企业而闻名，有效地让他们的业务陷入瘫痪。 #### 3. ENISA 威胁态势 2024 + 来源 (2024) - https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024 + 最活跃的勒索软件变种（报告期 = 2023 年 7 月 - 2024 年 6 月） + 勒索软件攻击针对广泛的行业，其中工业和制造业是最频繁、受影响最严重的受害者，其次是零售业和数字服务提供商。 + 在报告期内的全球态势中，就受害组织数量而言，LockBit、CL0P 和 PLAY 是 RaaS（勒索软件即服务）和敲诈勒索攻击中使用的顶级勒索软件变种之一。该信息是通过合并从与各个勒索团伙相关的泄露网站收集的数据，并辅以开源情报 (OSINT) 而得出的。 + 前 3 名 - LockBit - 936 名潜在受害者 - CL0P - 391 名潜在受害者 - PLAY - 346 名潜在受害者 + 注意：在 2024 年 2 月，当局查获了 LockBit 的基础设施，找回了数千名受害者的解密密钥，并控制了其数据泄露网站。 + 勒索赎金要求 VS. 勒索赎金支付 + 越来越多的组织声明愿意支付赎金要求，这表明针对这些网络攻击的抵御能力正在增强。当进行支付时，通常达不到最初要求的金额，这表明受害者成功运用了谈判策略。 + 根据 Zscaler ThreatLabz 的一份报告，在 2024 年初，一家《财富》50 强公司向 Dark Angels 勒索软件团伙支付了创纪录的 7500 万美元赎金。这一极其特殊的事件突显了勒索软件攻击所带来的巨大财务风险，以及如果组织没有做好准备可能造成的灾难性后果。 + 数据泄露 + 总体上的数据威胁，尤其是数据泄露，正在不断扩大，几乎针对所有的组织和人群。 + 数据泄露，特别是数据外泄，速度正在加快，数据在几小时而不是几天内就被窃取。在 45% 的非敲诈勒索攻击案例中，中位时间不到一天。 + 根据 IBM 在其《数据泄露成本报告 2023》中的数据： + 识别和控制泄露的平均时间稳定在 277 天。 + 数据泄露的平均总成本从 2022 年的 435 万美元增加了 2.3%，在 2023 年达到 445 万美元。 + 恶意软件信息窃取器持续存在并不断演变 + 信息窃取器是一种窃取敏感数据的恶意软件，仍然是一个令人担忧的重大问题。 + 根据来自多个来源的信息以及 ENISA 自身收集的数据，2023 年和 2024 年最常见的信息窃取器是： + RedLine：一种窃取保存的凭据、自动填充数据和银行信息的恶意软件，出现于 2020 年，并在不同的网络攻击中广泛传播。然而，大多数时候它针对的是单个用户，因为其功能最适合这一目的。 + Raccoon Stealer：一种以自动填充日志、加密货币钱包为目标的密码窃取器和加密货币窃取器。除了能够提取加密货币钱包外，其范围还包括浏览器自动填充文件、Cookie 和在线银行凭据。 + Vidar：一种可以通过计算机窃取敏感信息的木马恶意软件。它提供了一种模块化的数据窃取方法。它还会在成功窃取数据后执行自毁。 + ... + DDoS 攻击 + 分布式拒绝服务针对系统和数据可用性，虽然它不是一种新的威胁（在 2024 年迎来了其 25 周年纪念），但它在网络安全威胁态势中扮演着重要角色。 + 根据 Microsoft 的数据，DDoS 平均每天达到 1,700 次攻击，全球共计发生 1300 万次攻击。 + 根据 Gcore 的数据，2023 年观察到了前所未有的攻击威力，在过去三年中，攻击量的峰值增加了 100% 以上，从 2021 年的 300Gbps 增加到 2023 年的 1.6Tbps。攻击持续时间从 3 分钟到 9 小时不等，平均约为 1 小时。 #### 4. MITRE - 威胁/活动组织列表 + 组织是在安全社区中由一个通用名称跟踪的活动集群。分析师使用各种分析方法和术语（例如威胁组织、活动组织和威胁行为者）来跟踪这些集群。由于不同组织以不同的名称跟踪类似的活动，一些组织拥有与类似活动相关联的多个名称。各组织的组织定义可能与其他组织指定的组织部分重叠，并且可能对特定活动存在分歧。 + 组织被映射到公开报告的技术使用情况，并包含原始参考文献。提供的信息并不代表组织的所有可能技术使用情况，而仅仅是通过开源报告获得的子集。组织还被映射到报告所使用的软件和归因的活动，并且各自的相关技术在它们各自的页面上被单独跟踪。 + 在以下 MITRE 页面中列出了 160 多个可疑的威胁/活动组织：https://attack.mitre.org/groups/ + 例如： + 疑似俄罗斯威胁行为者 + Allanite - https://attack.mitre.org/groups/G1000/ + Ember Bear - https://attack.mitre.org/groups/G1003/ + Gamaredon Group - https://attack.mitre.org/groups/G0047/ + Saint Bear - https://attack.mitre.org/groups/G1031/ + APT28 - https://attack.mitre.org/groups/G0007/ + APT29 - https://attack.mitre.org/groups/G0016/ + ... + 疑似中国威胁行为者 + APT1 - https

标签：AMSI绕过, ANSSI, Cloudflare, ENISA, ISO 27035, Libemu, MITRE ATT&CK, NIST, TDIR, 威胁主体, 威胁情报, 威胁检测, 安全事件处理, 安全事件管理, 安全工具列表, 安全脚本, 安全资源库, 安全运营中心, 安全防御方法论, 库, 应急响应, 开发者工具, 攻防框架, 数字取证, 网络安全, 网络安全法律法规, 网络攻击杀伤链, 网络映射, 网络犯罪, 自动化脚本, 隐私保护