威脅追蹤 (threat hunting) 是一種主動搜尋威脅的流程,目的是要找出能躲避現有資安工具的威脅,其工作包括:分析資料、建立假設,以及調查行為模式,以便在可疑活動造成傷害之前預先加以偵測。
目錄
什麼是威脅追蹤?
威脅追蹤是一種主動式網路資安實務,專注於發掘能躲避自動化偵測工具的威脅。有別於被動等待警報觸發,威脅追蹤是主動搜尋可能意味駭客已經進入環境內部的可疑行為、微弱訊號,或異常狀況。
威脅追蹤是建立在駭客有可能、而且確實會入侵的假設之上,即便是防禦堅強的環境。追蹤人員會分析端點、網路、身分以及雲端服務的監測資料來發掘混雜在正常營運當中的惡意活動,這通常包括:登入憑證濫用、就地取材的攻擊技巧、橫向移動,以及不會觸發傳統警報的常駐手法。
有別於自動化偵測,威脅追蹤是一種由人員所主導,並以資料、數據分析、威脅情資為輔助的推理程序。長期下來,有效的威脅追蹤可縮短駭客滯留時間、改善偵測邏輯,同時還能將洞見回饋至 SOC 營運與偵測工具來強化整體的資安態勢。
為何威脅追蹤對網路資安很重要
駭客越來越有辦法躲避偵測,他們會利用無檔案惡意程式、遠端存取工具,以及登入憑證濫用等技巧來將其活動融入正常營運當中,這些方法通常能避開傳統的資安系統。
光靠警報有時可能會造成資安缺口,威脅追蹤可盡早發掘威脅來解決這項問題,而且通常可在出現明確入侵指標之前預先發現威脅。有別於仰賴警報的被動式方法,威脅追蹤聚焦在隱匿、持續性、而且可能不會觸發自動化防禦的駭客技巧。
結果就是,威脅追蹤能縮短威脅滯留時間、降低其衝擊,同時還能協助企業更快回應威脅。這項效益也反映在 SANS 威脅追蹤調查 (SANS Threat Hunting Survey) 所點出的一項事實,那就是:在 2024 年當中,正式導入威脅追蹤方法的企業數量已成長至 64%。
威脅追蹤與資安事故應變的差別
威脅追蹤與資安事故應變的目的不同:
威脅追蹤是主動的,它是根據一些假設或微弱訊號來主動尋找潛在的入侵跡象。
資安事故應變是被動的,它是在偵測到入侵事件之後才開始啟動,主要的重點在於遏制、調查及復原。
兩者可以互相搭配,但運作的時間表卻有所不同,比方說,威脅追蹤可能在警報觸發之前就已經發現資安事故的跡象,企業就能提早介入。當威脅追蹤沒抓到的問題浮上檯面時,資安事故應變框架就能在事後介入。
威脅追蹤方法
威脅追蹤通常會依循一套結構化方法。
假設導向的追蹤
在假設導向的追蹤方法中,分析師一開始會先假設有某種潛在的惡意活動,例如:「駭客可能利用偷來的登入憑證在財務系統內部橫向移動。」 接著,追蹤人員會查詢相關的資料來源來證明或反駁這個假設。這套方法既結構化、又可不斷重複,同時也非常適合擁有強大監測能力且分析師經驗豐富的企業。
情資導向的追蹤
情資導向的追蹤是利用外部或內部威脅情資作為指引,追蹤人員會根據有關活躍中駭客、惡意程式攻擊行動,或攻擊技巧的報告,來搜尋自己的環境當中是否有相關的行為。這套方法有助於企業聚焦相關的威脅,讓追蹤工作跟上真實駭客的最新動態。
分析導向的追蹤
分析導向的追蹤仰賴統計分析、基準建立,以及行為數據分析來發掘異常狀況。追蹤人員並非根據某種假設開始著手,而是查看是否有異於正常活動的行為,例如:異常登入時間、異常的資料傳輸,或是執行罕見的處理程序,這種方法對於發掘未知或新穎的威脅非常有效。
情境式或被動式追蹤
情境式追蹤是由事件所觸發,例如:新的漏洞、公開揭露的資安事件,或是威脅情勢的變化。例如,當有重大漏洞發布時,追蹤人員可能會主動搜尋是否有漏洞攻擊活動。雖然這種方法本質上是被動的,但相較於傳統仰賴警報的回應方式,仍不失為一種主動式作法。
攻擊指標與入侵指標
威脅追蹤一般著重的是行為證據,而非靜態指標。
- 入侵指標 (IoC) 是已知攻擊的相關證據,例如:惡意檔案雜湊碼、IP 位址或網域名稱。雖然 IoC 在偵測上相當有用,但有效期限通常很短,而且駭客很容易更改。
- 攻擊指標 (IoA) 看的是駭客的行為與技巧,例如:可疑的 PowerShell 使用情況、異常的權限提升,或是異常的認證模式。IoA 對威脅追蹤來說特別有用,因為它們識別的是駭客的運作方式,而非他們使用的特定工具。
有效的威脅追蹤會以 IoA 為優先,因為 IoA 更不受躲避技巧所影響,而且更能反映現代化攻擊技巧。
威脅追蹤技巧
威脅追蹤技巧指的是分析師如何調查資料來發掘威脅。
- TTP 分析
追蹤人員會利用 MITRE ATT&CK 這類框架來分析駭客的攻擊手法、技巧與程序 (TTP)。如此一來,團隊就能有系統地搜尋整個環境是否有已知的攻擊行為。 - 異常偵測 (outlier detection)
這項技巧的重點在於找出偏離既有基準的活動,例如:執行罕見的指令、異常的資料存取,或是特定使用者或系統的異常登入模式。 - 時間式交叉關聯
駭客通常會長時間分散行動來避免被偵測,時間式交叉關聯可交叉關聯端點、身分及網路的相關事件,進而發掘各自看來無害攻擊步驟。 - 網域與業務情境分析
追蹤人員會運用他們對企業營運的了解來分辨正常的活動與可疑的行為。了解系統與使用者的正常操作方式,對於追蹤威脅的準確與否至關重要。
威脅追蹤工具
威脅追蹤工具提供了支援調查所需的可視性和分析能力。
SIEM 平台
SIEM 可集中管理來自整個環境的記錄檔,提供查詢、交叉關聯以及時間軸分析,它們通常是威脅追蹤活動的起點。
XDR 平台
XDR 解決方案能交叉關聯來自端點、電子郵件、雲端、身分以及網路層的監測資料。這種跨領域的可視性,有助於發掘複雜的攻擊模式,減少調查盲點。
威脅情資平台
這類工具提供了駭客、惡意程式,以及攻擊行動的背景資訊,追蹤人員可利用情資來提供假設上的指引,並且判斷調查的優先次序。
腳本與偵測查詢開發工具
像 YARA 和 Sigma 這類工具,可讓追蹤人員建立客製化偵測邏輯,並且針對其環境量身打造可重複使用的查詢。
威脅追蹤資料來源
追蹤的成效取決於能否取得高品質的資料,包括:端點監測資料、網路流量、身分記錄檔,以及雲端稽核記錄。這些資料的深度與保留期間,將直接影響追蹤成效。
像 TrendAI Vision One 這樣的平台提供了整合的方式來存取這些資料來源,讓分析師能迅速跨越不同層面來調查威脅。
威脅追蹤範例與真實案例研究
Microsoft 365 登入憑證濫用
一家全球物流公司注意到其 Microsoft 365 出現異常登入模式,威脅追蹤人員利用定位來進行過濾並參照稽核記錄檔之後,追蹤到一個已遭入侵的合作夥伴帳號,該帳號一直被用來發送內部網路釣魚郵件。
企業環境內的就地取材技巧
在最近一篇有關趨勢科技威脅追蹤研究案例的新聞中,威脅追蹤人員調查了橫跨多個高權限端點的持續性指令列活動。分析顯示,駭客利用了 PowerShell 和 WMI 這類正常工具來建立後門而不植入檔案。
這種被稱為「就地取材」(living off the land) 的技巧,是專為避免被資安軟體偵測而設計,至今仍是企業威脅偵測當中最普遍的一項挑戰。
供應鏈入侵
如何建立一套威脅追蹤框架
威脅追蹤框架提供了一種結構化方法來主動發掘可躲避自動化偵測的威脅。與其仰賴臨時性調查,一套明確定義的威脅追蹤流程可確保追蹤作業可重複、可衡量,並且符合企業面臨的風險。
以下威脅追蹤生命週期摘要列出資安團隊如何建立和運作一套有效的威脅追蹤框架。
第 1 步:定義威脅追蹤假設
每次追蹤威脅都要從一個明確的假設開始,一個根據威脅情資、已知駭客技巧、環境風險或近期事件所建立的有關潛在惡意活動的可驗證假設。
例如,這個假設可以針對雲端環境的登入憑證濫用,或是使用內建系統管理工具的橫向移動。有效的假設必須要具體、可化為行動,並且對應到 MITRE ATT&CK 這類駭客行為框架。
第 2 步:設定範圍並準備相關資料
定義好假設之後,分析師就尋找可用來驗證假設的資料來源。威脅追蹤資料可能包括端點監測資料、認證記錄檔、網路流量、DNS 活動,或是雲端稽核記錄。
設定範圍可確保調查聚焦在相關的系統與時間範圍內。此外,分析師還要確認資料的品質、涵蓋範圍與保留期間,以免出現缺口而削弱了結論的可信度。
第 3 步:調查並比對監測資料
在調查階段,追蹤人員要使用查詢、行為過濾以及交叉關聯技巧來分析資料。當發現可疑活動時,分析師要參考各種相關的訊號,例如:有關聯的帳號、處理程序或網路連線。
威脅追蹤本質上是反覆來回的程序,最初的發現,通常會衍生出新的疑問、更大的範圍,或者隨著新的模式出現而修正假設。
第 4 步:驗證發現結果並評估影響
追蹤人員會判斷證據是否能支持或反駁最初的假設,如果確認有惡意活動,分析人員將評估威脅的範圍、找出受影響的資產,並且評估駭客是否常駐或四處移動。
如果未發現可以佐證的證據,那麼該假設可能會被修正或記錄為找不到證據,但就算這樣,還是對企業了解和提升偵測成熟度有所貢獻。
第 5 步:呈報並回應已確認的威脅
已確認的威脅將呈報給資安事故應變團隊,並提供完整的背景資訊,包括:時間順序、受影響的系統、駭客技巧,以及建議的攔截動作。
明確的呈報路徑可確保威脅追蹤發現的結果能快速轉化成矯正行動,進而縮短滯留時間,降低潛在的衝擊。
第 6 步:將洞見回饋到偵測與監測
威脅追蹤框架最重要的步驟之一就是回饋,追蹤過程中發現的行為,可轉化成 SIEM、XDR 或 EDR 平台內新增的偵測邏輯、數據分析或警報規則。
此外,威脅追蹤還能點出可視性漏洞,促進記錄檔、監測資料蒐集或感測器部署的改善。
第 7 步:記錄結果並改善流程
每次的追蹤都應留下文件記錄,內容包括:假設、資料來源、調查步驟、發現結果,以及學到的經驗。團隊可藉由回溯分析,將新的偵測邏輯套用到歷史資料來發掘先前遺漏的活動或長時間滯留的情況。
長時間下來,這套持續改善的循環,就能強化威脅追蹤框架、提高偵測覆蓋率,並且讓主動式威脅追蹤更能掌握持續演變的駭客技巧。
如何開始追蹤資安威脅
一開始,請先將重點放在可視性:
- 找出最重要的資產 (如:財務人員、高階主管、關鍵基礎架構)。
- 確保所有端點、身分及雲端都啟用了記錄檔。
- 從每週執行一項假設開始。
- 使用 ATT&CK 作為技巧導向搜尋的指引。
- 記錄發現結果,並隨時間而修正查詢。
哪裡可以取得有關威脅追蹤的協助?
TrendAI Vision One™ 提供了一些進階功能來方便追蹤威脅:
- 涵蓋端點、電子郵件、雲端及網路的跨層次監測資料。
- 自動對應至 MITRE 技巧。
- 風險導向的評分來判斷威脅的優先次序。
- 可提供情境的整合威脅情資。
- 搜尋並善用各種工具來執行主動調查。
它能協助資安團隊偵測隱匿的攻擊、縮短滯留時間,在威脅升高之前預先發現威脅。
常見問題 (FAQ)
威脅追蹤在網路資安領域是指什麼?
所謂「威脅追蹤」是藉由手動調查與假設驗證的方式來主動搜尋可躲避自動化資安工具的威脅。
威脅追蹤人員的工作是什麼?
威脅追蹤人員負責主動偵測、調查及防範網路內部的資安威脅,防範駭客入侵並提升企業安全。
威脅追蹤與資安事故應變有何不同?
威脅追蹤是主動的,發生在資安事故之前;資安事故應變是被動的,並且在偵測到威脅之後才開始。
威脅追蹤與威脅情資有何不同?
威脅情資負責提供已知的威脅資料,威脅追蹤則是運用這些情資來發掘營運環境中的可疑活動。
威脅追蹤當中的假設是什麼?
- 假設是一種有根據的猜測,用來做為調查的指引,例如偵測特定網段中的橫向移動。
什麼是攻擊指標 (IoA) 與入侵指標 (IoC)?
IoA 著重在行為和手法,IoC 則是之前的攻擊留下來的鑑識分析證據,例如:檔案雜湊碼或 IP 位址。
威脅追蹤會用到哪些工具?
這些工具包括: SIEM、XDR 平台、威脅情資摘要,以及像 YARA 或 Sigma 這類的腳本開發工具。
有效的威脅追蹤需要哪些資料來源的支援?
- 有用的資料包括:端點監測資料、網路記錄檔、身分記錄,以及雲端稽核記錄。
可否提供一些威脅追蹤的真實範例?
- 比如說偵測:已遭駭入的 Microsoft 365 帳號、使用 PowerShell 來常駐系統,以及廠商相關的供應鏈攻擊。
企業該如何建立一套威脅追蹤框架?
- 設定角色、定義可重複的工作流程,並且導入 MITRE ATT&CK 和 NIST 等框架。
TrendAI Vision One 在威脅追蹤當中扮演什麼角色?
- 它提供了跨層次的監測資料、自動化偵測、MITRE 對應,以及情境豐富的調查來支援威脅追蹤。