CAF目标C——C2原则威胁猎杀

admin
admin
admin
0
文章
0
评论
2026-03-03 04:25:31 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 该文档详述CAF框架下C2原则的威胁猎杀要求,旨在主动检测规避标准防御的隐蔽威胁。核心介绍了假设驱动、异常检测及机器学习三种方法,并依据资源投入、执行频率、流程规范性及自动化程度,划分了未达成、部分实现和已达成三级成熟度指标。关键建议包括将狩猎成果转化为自动检测、聚焦TTP策略而非仅依赖IOC,以持续提升组织安全防御效能。 综合评分: 83 文章分类: 安全运营,威胁情报,安全建设

cover_image

CAF目标C——C2原则 威胁猎杀

原创

铸盾安全 铸盾安全

河南等级保护测评

2026年2月27日 00:00 河南

具备确保安全防御有效的能力,并检测对关键功能产生不利影响或可能产生不利影响的网络安全事件和事件。

原理

该组织主动寻求在网络和信息系统中检测影响或可能影响关键功能运行的不利活动,即使该活动规避了标准的安全预防/检测解决方案(或标准解决方案无法部署)。

描述

一些网络攻击可能会规避你的自动检测和警报,尤其是那些更复杂的威胁,因为它们的规避能力可能更高。在这种情况下,应利用威胁狩猎来检测这些威胁。威胁狩猎是主动、迭代且以人为中心的方式识别那些规避现有安全控制的网络威胁

您的监控和检测团队应能够主动寻找并发现可能未被现有安全控制检测的不良活动迹象。组织以与其面临的风险相匹配的节奏进行此作是最佳实践。然而,如果组织无法做到这一点,但可以临时进行威胁搜寻,例如响应政府机构的举报,风险可能会在一定程度上降低。

组织在执行威胁狩猎时应遵循的具体步骤可能因组织而异。威胁搜寻还可能使您的组织能够根据搜寻过程中遵循的程序创建自动化检测。

在进行威胁搜寻时,你可以选择采用的示例方法包括:

  1. #

    假设驱动法——这是最经典的方法,威胁猎人对威胁或其活动形成假设,并利用威胁狩猎来证明或反驳他们的假设。

  2. #

    基线或基于异常的狩猎——这种方法中,威胁猎人手动(可通过自动化辅助)识别“正常”范围,然后识别偏离基线的区域以便进一步分析和调查。

  3. #

    高级分析与机器学习——该方法结合数据分析和机器学习,结合大数据检测异常。这些违规行为随后会被调查,以确定应采取的措施。

威胁狩猎依赖于具备适当技能和经验的人员、必要的工具和数据、对系统和用户行为的理解以及威胁情报。换句话说,威胁猎杀高度依赖原则C1的要素的实施和有效。

指导

威胁狩猎比标准安全监控更为困难,因为它超越了C1安全监控中自动化检测和警报所能利用的已知入侵指标(IOC)。

其目标是在已知的过去和可能的攻击基础上,推测入侵可能的样貌。威胁狩猎需要对网络和系统行为以及入侵可能表现出的一般特征有更丰富的了解。这种主动监控或威胁发现通常包括:

  1. 1

    对正常系统行为有良好理解(例如哪些软件被授权及其通常行为,用户账户通常如何访问网络资源,或网络组件如何连接和传输数据)。

  2. 2

    基于对威胁情报的全面且高级理解,深入了解不同类型威胁可能在环境中如何实现。

异常检测科学超越了使用预设或规定的模式匹配,是一个充满挑战的领域。机器学习等能力在入侵检测领域日益被证明具有适用性和潜力。然而,如果设计和执行不当,这些技术可能成本高昂、实施困难,并可能导致高误报率。希望使用此类工具的组织应参考NCSC关于智能安全工具的指导。

C2.a 威胁猎杀

| 未达成 | 部分实现 | 已达成 | | — | — | — | | 以下至少有一个命题是正确的: | 以下所有陈述均为真: | 以下所有陈述均为真: | | 你不知道猎杀威胁所需的资源。 你无法获得有效的威胁猎杀能力。 你的威胁狩猎没有遵循任何结构,几乎没有记录。 | 你已经确定了执行威胁猎杀所需的资源,并能够及时、偶尔部署这些资源。 你部署了有效的威胁狩猎能力,但频率不足以匹配支持你核心功能(例如,你根据来自可信来源的线报进行威胁搜寻)。 您的威胁狩猎遵循预设且有文档的方法(例如假设驱动、数据驱动、实体驱动),旨在识别自动化检测未检测到的不良活动。 你记录了威胁狩猎和猎杀后的分析细节。 | 你了解执行威胁狩猎所需的资源,这些资源是日常业务的一部分。 你部署威胁猎杀资源的频率与支持你基本功能的网络和信息系统面临的风险相匹配。 您的威胁狩猎遵循预设且有文档的方法(例如假设驱动、数据驱动、实体驱动),旨在识别自动化检测未检测到的不良活动。 你会把威胁猎杀转化为自动检测和适当时的警报。 你会定期记录之前的威胁狩猎和狩猎后的活动细节。你可以利用这些数据推动威胁狩猎和安全态势的改进。 您对威胁狩猎的有效性有充分信心,威胁狩猎流程会被审查并更新,以匹配支持您核心职能的网络和信息系统所面临的风险。 你在适当情况下利用自动化来改进威胁狩猎(例如,威胁狩猎流程的某些阶段是自动化的)。 你的威胁搜索重点是针对原子级IoC(如哈希、IP地址、域名等)的策略、技术和程序(TTP)。 |

附加信息

NCSC指导

  • 智能安全工具

外部资源藏起来

  • 内政部——侦测未知:威胁狩猎指南
  • MITRE – 世界级网络安全运营中心的战略
  • NIST SP 800-82
  • IEC 62443-1-1
  • 英国政府侦测未知:威胁狩猎指南
  • 基于TTP的MITRE 狩猎

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:河南等级保护测评 铸盾安全 铸盾安全《CAF目标C——C2原则 威胁猎杀》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0