威胁检测 IOC只是基本 IOB才是王道

发布时间：2022-05-25 14:08 所属栏目：53 来源：互联网

导读：基于入侵指标(IOC)的检测已经是业内常规，然而，基于行为的检测方法似乎才是未来。下面我们来比较一下这两种检测方法的不同，以判断强调其中一种是否会更具价值。专业人士应该都知道痛苦金字塔，它显示了各种攻击指标与攻击(检测)难度之间的关系。金字塔的

基于入侵指标(IOC)的检测已经是业内常规，然而，基于行为的检测方法似乎才是未来。下面我们来比较一下这两种检测方法的不同，以判断强调其中一种是否会更具价值。

专业人士应该都知道“痛苦金字塔”，它显示了各种攻击指标与攻击(检测)难度之间的关系。金字塔的下半部分由哈希值、IP地址和域名(这三者统称为IOC)组成，如果检测到它们，攻击难度并没有明显增加，或者说痛苦的程度很低。

IOC不仅仅包含哈希、IP地址和域名，还有很多可以作为取证的数据，帮助于安全分析师监测系统是否存在潜在恶意活动的迹象，如：

HTML响应包大小
异常DNS请求
计划外系统补丁
突然的系统文件更改
数据库读取量增加
DDoS迹象(过度请求)
不匹配的端口应用程序流量
访问外网的异常流量
本不该存在的数据集
入侵指标有着危险信号的作用，辅助检测攻击的早期迹象。然而，仅仅有一个常见IOC的静态列表，并在此基础上定期运行检测规则是不够的。网络攻击的复杂性不断增长，因此必须跟踪新出现的指标，并确保适当的检测规则到位。

一个新的IOC既可能简单的像元数据中的某个元素，也可能复杂如一段注入的代码，而这些代码处于数以PB计且不断流动的日志数据中，可以想象它识别起来的困难程度。网络安全专业人员需要寻找各种IOC之间的关联性，分析并跟踪攻击前后的事件，以形成有效的检测策略。

基于行为的检测(IOB)
虽然IOC很适合进行回溯性分析，但这些指标的寿命很短，SOC分析人员希望依靠的不仅仅是之前的攻击证据，因为这些攻击在检测到后不久就会失效。而且，即使进行了回溯，高级威胁依然存在。这就是为什么需要基于行为的检测来发现不太明显的入侵迹象，或者说基于UEBA(用户和实体行为分析)的威胁追踪可明显增强对潜在风险的发现能力。行为一般包括：

文件类：下载、上传、创建、删除、保存、更改
帐户类：创建新帐户、更改密码、登录和注销
邮件类：发送或转发电子邮件、自动化电子邮件、发送附件
网站类：访问页面、发送请求、发送附件、发送消息、使用工具
系统管理：运行查询、访问存储的数据、执行代码、导出结果
所有基于行为的检测不仅应该被编写和收集，还应该在特定的上下文中进行分析，以确定行为的意图。并且要长期的跟踪通用的行为，以查看是否发生任何可疑的变化。除了实时监控系统外，IOB还有助于预测未来，并预测安全措施改变后的结果，例如，如果公司禁用USB等外部存储设备，会发生什么。

然而，在编写基于行为的检测规则时，安全分析师需要非常小心，以避免出现高误报率，因为行为规则往往更容易受到噪声的影响。这就需要经验丰富的分析人员，并往往需要采用不同的分析方法。原因非常简单，只有这样才能更好的检测未知威胁，这些威胁不会体现在情报来源中，更不用说IOC了。

（编辑：ASP站长网）