基于入侵指標(biāo)(IOC)的檢測已經(jīng)是業(yè)內(nèi)常規(guī)，然而，基于行為的檢測方法似乎才是未來。下面我們來比較一下這兩種檢測方法的不同，以判斷強(qiáng)調(diào)其中一種是否會更具價(jià)值。

專業(yè)人士應(yīng)該都知道“痛苦金字塔”，它顯示了各種攻擊指標(biāo)與攻擊(檢測)難度之間的關(guān)系。金字塔的下半部分由哈希值、IP地址和域名(這三者統(tǒng)稱為IOC)組成，如果檢測到它們，攻擊難度并沒有明顯增加，或者說痛苦的程度很低。

痛苦程度自底往上分別為：無所謂、小意思、很簡單、有困難、很困難、太難了

在真實(shí)的場景中，攻擊者可能會故意使用IOC輪番轟炸檢測系統(tǒng)，以掩蓋真正的攻擊手段。但TTP(戰(zhàn)術(shù)、技術(shù)和流程)才是最高級的攻擊手段。如果安全運(yùn)營中心(SOC)能夠同時(shí)識別IOC和IOB(行為指標(biāo))，無疑可以最大限度的降低入侵成功的概率。

威脅追蹤(狩獵)

有很多方法可以成功地執(zhí)行威脅狩獵，最常見的兩個(gè)分支是主動追蹤和被動追蹤?；谇閳?bào)的搜索偏向于被動模式，其中來自情報(bào)共享平臺的數(shù)據(jù)構(gòu)成了進(jìn)一步調(diào)查的基礎(chǔ)。檢測規(guī)則來源于痛苦金字塔的下半部分，域名、哈希、IP地址、網(wǎng)絡(luò)或主機(jī)特征，然后與威脅情報(bào)(也就是說，別人發(fā)現(xiàn)過類似的攻擊)匹配。

相反，積極主動的方法是基于行為。輸入數(shù)據(jù)包括攻擊指標(biāo)(IoA)、行為指標(biāo)(IOB)和TTP?；赨EBA的假設(shè)，可檢測攻擊是否正在發(fā)生，并且這種檢測盡可能接近實(shí)時(shí)檢測。如果能提供基于行為的威脅追蹤(狩獵)，無疑會大獲歡迎。編者注：IoA是指正在發(fā)生的行為指標(biāo)，IOC則是指已經(jīng)發(fā)生的入侵指標(biāo)。

基于入侵指標(biāo)(IOC)的檢測

IOC不僅僅包含哈希、IP地址和域名，還有很多可以作為取證的數(shù)據(jù)，幫助于安全分析師監(jiān)測系統(tǒng)是否存在潛在惡意活動的跡象，如：

• HTML響應(yīng)包大小
• 異常DNS請求
• 計(jì)劃外系統(tǒng)補(bǔ)丁
• 突然的系統(tǒng)文件更改
• 數(shù)據(jù)庫讀取量增加
• DDoS跡象(過度請求)
• 不匹配的端口應(yīng)用程序流量
• 訪問外網(wǎng)的異常流量
• 本不該存在的數(shù)據(jù)集

入侵指標(biāo)有著危險(xiǎn)信號的作用，輔助檢測攻擊的早期跡象。然而，僅僅有一個(gè)常見IOC的靜態(tài)列表，并在此基礎(chǔ)上定期運(yùn)行檢測規(guī)則是不夠的。網(wǎng)絡(luò)攻擊的復(fù)雜性不斷增長，因此必須跟蹤新出現(xiàn)的指標(biāo)，并確保適當(dāng)?shù)臋z測規(guī)則到位。

一個(gè)新的IOC既可能簡單的像元數(shù)據(jù)中的某個(gè)元素，也可能復(fù)雜如一段注入的代碼，而這些代碼處于數(shù)以PB計(jì)且不斷流動的日志數(shù)據(jù)中，可以想象它識別起來的困難程度。網(wǎng)絡(luò)安全專業(yè)人員需要尋找各種IOC之間的關(guān)聯(lián)性，分析并跟蹤攻擊前后的事件，以形成有效的檢測策略。

基于行為的檢測(IOB)

雖然IOC很適合進(jìn)行回溯性分析，但這些指標(biāo)的壽命很短，SOC分析人員希望依靠的不僅僅是之前的攻擊證據(jù)，因?yàn)檫@些攻擊在檢測到后不久就會失效。而且，即使進(jìn)行了回溯，高級威脅依然存在。這就是為什么需要基于行為的檢測來發(fā)現(xiàn)不太明顯的入侵跡象，或者說基于UEBA(用戶和實(shí)體行為分析)的威脅追蹤可明顯增強(qiáng)對潛在風(fēng)險(xiǎn)的發(fā)現(xiàn)能力。行為一般包括：

• 文件類：下載、上傳、創(chuàng)建、刪除、保存、更改
• 帳戶類：創(chuàng)建新帳戶、更改密碼、登錄和注銷
• 郵件類：發(fā)送或轉(zhuǎn)發(fā)電子郵件、自動化電子郵件、發(fā)送附件
• 網(wǎng)站類：訪問頁面、發(fā)送請求、發(fā)送附件、發(fā)送消息、使用工具
• 系統(tǒng)管理：運(yùn)行查詢、訪問存儲的數(shù)據(jù)、執(zhí)行代碼、導(dǎo)出結(jié)果

所有基于行為的檢測不僅應(yīng)該被編寫和收集，還應(yīng)該在特定的上下文中進(jìn)行分析，以確定行為的意圖。并且要長期的跟蹤通用的行為，以查看是否發(fā)生任何可疑的變化。除了實(shí)時(shí)監(jiān)控系統(tǒng)外，IOB還有助于預(yù)測未來，并預(yù)測安全措施改變后的結(jié)果，例如，如果公司禁用USB等外部存儲設(shè)備，會發(fā)生什么。

然而，在編寫基于行為的檢測規(guī)則時(shí)，安全分析師需要非常小心，以避免出現(xiàn)高誤報(bào)率，因?yàn)樾袨橐?guī)則往往更容易受到噪聲的影響。這就需要經(jīng)驗(yàn)豐富的分析人員，并往往需要采用不同的分析方法。原因非常簡單，只有這樣才能更好的檢測未知威脅，這些威脅不會體現(xiàn)在情報(bào)來源中，更不用說IOC了。

結(jié)論

總的來說，威脅追蹤是一個(gè)復(fù)雜的過程，需要使用一些特定的工具、系統(tǒng)和方法來實(shí)現(xiàn)高效運(yùn)作和及時(shí)響應(yīng)。成功的威脅捕手應(yīng)該通過網(wǎng)絡(luò)的充分可見性、情報(bào)的利用、新規(guī)則的創(chuàng)建，保持對攻擊者領(lǐng)先者一步。

具體到選擇IOC還是IOB，當(dāng)然不是擇其一，而是都要用。IOC涵蓋基本的安全需求，而IOB則用于滿足更高的安全需求。