制定和执行全面的工业控制系统（OT）威胁狩猎计划

图一：威胁狩猎的起源

在深入讨论威胁狩猎之前，我们先来聊聊两种类型的威胁狩猎。一种是从情报服务的角度（外部威胁狩猎：针对更广泛的互联网空间，寻找恶意活动，追踪对手，并将情报提炼成可用于内部狩猎的形式。），另一种是组织自行进行狩猎（针对组织内部网络和环境中的威胁进行狩猎。）。

在讨论威胁狩猎时，有很多不同之处。大多数情况下，当我们提到威胁狩猎时，我们思考的主要是在你的网络上进行狩猎。在你的环境中寻找那些恶意活动。通常，这是由一些情报或你制定的某种假设来驱动的。因此，当我们在谈论背后的情报时，我们指的很大程度上是来自情报来源的其他威胁狩猎。这就是像网络安全厂商这样的人所做的工作。他们在更开放的互联网遥测数据和更有针对性的来源中进行狩猎，寻找类似你组织的广泛对手活动。

对于工控威胁情报厂商而言，我们关注那些有意针对工业控制系统和OT网络的对手。因此，我们关注的领域并不广泛，而是非常狭窄的。但我们关注的是他们的意图，这些对手组织试图影响什么？他们的目标是谁？影响和目标之间存在很大的区别。试图将其梳理出来并弄清楚。从外部看进来，试图找出谁有这些意图，谁正在关注不同的环境，谁可能从IT环境开始，但有意向转向OT环境？我们如何发现他们的网络基础设施？我们如何发现他们使用的工具，以及我们如何发现他们所瞄准的受害者？这些是分析师每天思考的一些最高层次的问题。

厂商分析师如何获取威胁情报以及如何利用其进行威胁狩猎？

通常分为五类。有些人可能会扩展这些，但首先是第一方数据，信息共享和伙伴关系是第二。您的开源情报，从Twitter到个人发布的不同博客，您能够收集到的任何信息。然后，显然，您有您的付费来源，这是每个公司在全球都在使用的。我认为在所有这些中最关键的来源是第五个，这些没有特定的顺序，就是您个人的情报，您知道，其他网络安全威胁猎手，来自不同供应商和过去的生活等等，您建立的这些网络连接，您可以与之分享信息，可以信任的来源，您可以向之反馈信息，并帮助您建立一个案例，并帮助您尝试解决或反驳您自己的假设。

第一方数据，从资产所有者和运营商的角度来看，这些是您的日志。所以基本上，您收集到的所有网络数据，您拥有的所有主机数据，您的事件数据也是如此。事实上，对于威胁狩猎而言，理解组织历史上发生了什么是数据的一个重要部分。有关对手可能认为是开源的信息，但涉及到您组织的员工和可能成为攻击目标的人员的信息。所有这些都是第一方数据的范畴。而在谈到威胁狩猎时，这是最重要的事情。确保他们有良好的收集并有效掌握这些数据，以便进行富有成果的狩猎。

然后你就开始挖掘。你开始深入研究，你开始，你知道，试图弄清楚，你可以从这些来源中推断出什么样的数据，以帮助验证你的假设。所以，你知道，无论是不同类型的遥测数据，无论是域名还是IP地址。而且，你开始进行拓线分析。你开始寻找这些微妙之处。然后你开始形成威胁集群（威胁集群是一组活动。这种活动可能是您可能拥有的任何IOC。您甚至可能只是在新闻中看到的正在调查的一些事情。或者您可能在您自己的网络中发现了一些东西。所以它是一种，它是一个您尚不完全了解正在发生什么的事件。您还没有完整的故事。），你认为可能正在瞄准我们的情况下，瞄准一个ICS实体或OT环境。然后你开始提炼下来。我是否有可能更大的东西？我是否有一个新的威胁组？还是我只是有一个小的集群？然后，从那里，你写下那些情报。在我们的情况下，你知道，我们为我们的客户制定情报。

当我们谈论入侵集群时，其中一个特别涉及的是入侵分析的钻石模型，网络安全厂商经常使用它。在整个CTI行业中也相当常见。它开始评估特定行为者的各种能力。当您查看入侵集时，您开始在不同的钻石模型上标识重叠。您可能会看到相似的受害者。您可能会看到相似的C2基础设施。可能会有特定的TTP或者行动者在其攻击中使用的各种能力。随着您在这些方面深入挖掘，您开始形成一个入侵者的概念。从资产所有者和运营商的角度来看，重要的是查看与您特定威胁表面相吻合的那些入侵集群。

战略情报消费

首先，厂商关注的是操作环境中工业组织中的行为体、技术和工具集。所以，你作为一个资产或一个运营者，更专注，可以开始消化从厂商生产的报告，首先了解操作环境整体的能力。可以将其想象成分层的威胁景观。所以，你有整体的ICS威胁景观。无论你是在谈论电力公用事业、水务公用事业，还是航空制造商，技术和流程中都会有很多共同点。那里总是会有相似的流程。当然也有很多差异，这就是为什么威胁景观开始有所转变的原因。然后你可以开始了解你所在行业垂直领域的威胁景观。所以，除了了解ICS整体的对手能力之外，你开始了解电力领域中对手的能力和意图是什么。然后你可以开始通过地理区域进行进一步的分解。通过消化所有这些信息，你开始了解你的威胁景观实际上是什么，并将其与你特定的威胁服务进行比较。那么，在你的环境中使用了哪些类似于先前被对手针对的技术，我们如何改进我们的架构？我们如何提高我们的事件响应能力？我们如何更有意识地监控这些环境，这是你可以通过消耗威胁情报提出的一些最重要的战略问题之一。

图二：威胁狩猎周期模型

本博客系统介绍了如何针对运营技术环境开展威胁狩猎的全面指南，旨在为网络安全团队提供一些参考。

主要内容包括：

开发基于威胁情报的假设非常重要，可以指导狩猎方向。
明确数据源，确定在广泛的数据收集中关注哪些部分，进行有针对性的狩猎。
狩猎的成功不仅仅是发现对手活动，也包括找到数据源差距等可以改进的地方。
发现可疑活动后，需要谨慎验证，避免误报。
考虑组织成熟度，在运营技术领域开展狩猎需要对环境和资产有充分了解。
要关注信息技术方向的入侵路径，采取全面的方法。
报告要涵盖战略、运营和战术层面，提出建议。

制定假设

执行成功的威胁狩猎需要先进的计划和对对手的了解。这就是假设制定对狩猎执行最有益的地方。猎手应该与情报分析师和来源合作，确定最有可能针对他们组织的威胁类型。了解行业威胁格局知识和获得满足情报需求的情报来源也可以帮助做出这些决定。根据对组织影响最大的最可能威胁（即您的利益相关方关心的情报需求）进行狩猎努力的优先级很重要，因此一些基本的分析对于成功的狩猎来说至关重要。一旦生成了以情报为基础的假设，例如“对手正在利用CVE-2023-20198思科路由器的漏洞”，猎手可以进入规划阶段，最重要的是确定在哪里进行狩猎。

假设为什么很重要？

进行一次成功的威胁狩猎需要进行大量的规划。我将从组织的角度来谈谈这一点。当你谈论一个中型到大型的石油和天然气公司或制造商时，你的整个网络可能有数十万个终端。在OT领域可能有分布式站点。因此，你不能通过仅查看整个域来进行成功的威胁狩猎，对吧？你不能查看环境中拥有的所有日志源，并期望能够在你为狩猎制定的时间轴内识别到对手。所以，这就是你要再次依赖假设开发的原因。再次强调，看一个特定对手、威胁、或者特定的战术或技术，找出在哪里对对手最有利。一旦你进行了这样的评估，你就可以开始缩小在你的环境中它的相关性，并专门查看这些日志源。真的，再次开始缩小范围，增加在狩猎计划中已经制定的时间轴内识别到真正事件的可能性。

搜索的位置

猎手依赖组织内部的第一方数据源进行威胁狩猎。拥有这些数据源的收集对成功的狩猎至关重要，但识别收集中的差距本身可能就是一个成功（后面会更详细说明）。确定在广泛的数据收集中将在哪里寻找对手活动非常重要。

在假设的例子中：“对手正在利用CVE-2023-20198思科路由器的漏洞”，我们正在查看对手利用思科路由器的情况。在这里最重要的事情是在我们的资产清单和集合管理框架（CMF）中查阅，以确定在我们的技术堆栈中可能存在易受攻击或历史上易受攻击的思科路由器的位置以及我们如何记录围绕这些路由器的数据。在我们的例子中，我们假设在公司/企业环境中和一些在运营网络的DMZ下方都有思科路由器。对于这个例子，公司/企业环境的数据将在Splunk中找到，这是一个用于搜索、监视和分析机器数据的软件。有关运营网络中路由器的数据在安全厂商的情报平台中。因此，Splunk和安全厂商的情报平台m将是我们寻找这种活动的关键狩猎源。

然而，您可能需要确定一些可以在资产清单和CMF中改进的事项。假设我们理论上发现在特定域中有11台尚未启用日志记录的路由器。哇！这就是一个有实际影响的、重要的狩猎发现，以供以后报告。我们需要确保我们能够登录到这些设备，漏洞管理正在监视它们的版本和补丁状态，并且我们可以提取日志以查看历史上的攻击尝试。

这只是一个非常简单的例子，还可能有其他数据源需要考虑。例如，情报提供商可能提供与过去攻击尝试相关的威胁指标，比如一些C2 IP地址。我们还将考虑防火墙出口和入口数据、代理日志、主机日志等等在我们的狩猎活动中。这个清单可以无限延伸，完全取决于您设置的假设和证明它们的目标。在狩猎过程中，您应该记录您的行动及其结果，以便在狩猎完成后进行回顾。

满足我们的假设

我们已经提到过，但成功的狩猎并不总是意味着您发现了对手的活动，从而“证明”了您的假设。成功的狩猎确定了需要改进的流程、可见性的差距、分析人员技能的发展、更深层次的领域知识等。但是，有些狩猎可能会导致发现疑似的对手活动，无论是假设的还是不是。

这时候，第一条规则是：不要惊慌！您已经记录了您的行动和发现，并且在早期制定了以情报为基础的假设，其中包含了这种类型活动的背景，但您只是在狩猎。这些发现意味着您需要第二意见（强调发现潜在威胁后，需要寻求第二个专业意见。这表明威胁猎手应该与其他安全专业人员合作，验证他们的发现，并确保得到正确的诊断和反馈。）。

将您的发现整理成一个工单或初步的狩猎报告。请事件团队验证这些发现。在事件管理开始时提供密切合作，以帮助确定潜在影响的程度和范围。

在威胁出现的地方应对威胁

组织的成熟度，特别是在运营技术方面，差异巨大。如果您还没有准备好在运营技术中开始专门的威胁狩猎周期，这并不意味着您比其他人更容易受到威胁，但是朝着启用威胁狩猎的成熟状态迈进是提升您的安全姿态的重要改进。在这个成熟度曲线上考虑以下三个基本问题：

您是否能够看到对手的目标环境？
您是否知道对手在类似您的环境中瞄准的目标是什么和在哪里？
您是否保持了在这些环境中响应事件的能力？

别忘了IT和第一阶段

在进行威胁狩猎时，有许多开始查找的地方。一个例子是从“外向内”，意味着您正在查看谁在瞄准您的网络。您会调查威胁组织对工业基础设施造成的影响或瞄准的方式。一个更明显的开始地方之一是询问运营技术向互联网公开了哪些端口/服务？这个设备是否容易受到攻击？更重要的是，为什么工业组织的运营技术具有专门的资产连接到互联网上？但作为威胁猎手，如果我们不在威胁狩猎活动中识别和分析工业控制系统（ICS）的网络杀伤链第一阶段事件，我们就会忽略一些方面。例如，威胁组织是否通过专门制作的针对性钓鱼电子邮件来瞄准特定的ICS/OT工程师？我们还在研究可能随着钓鱼电子邮件一起发送的能力。它看起来是否具有横向移动的能力？或者威胁组织是否使用内置的Windows操作系统工具在网络中移动？我们能否识别对影响OT环境的意图？这只是威胁狩猎活动中OT猎手可以考虑的一些问题。

了解您的基线或找到了解的人

深入了解内部网络以及互联网上的内容将极大地有益于您的安全团队。在没有基线的情况下进行任何威胁狩猎将无法区分正常和异常活动。这不仅仅包括了解您网络上的每个资产（我们知道这很困难），而且更多地侧重于了解系统和网络内部被允许的活动类型。威胁组织并不一定变得更加复杂，但我们注意到威胁组织战术在网络中融入的持续增加。例如，这意味着使用内置的Windows系统工具在受害者网络上移动和进行更改。

成功的定义

我认为在我们谈论威胁狩猎时，有一个巨大的误解，人们有时候认为成功的威胁狩猎意味着你找到了一个对手，你识别了恶意活动，然后启动了应急响应。显然，从某种程度上来说，这是成功的，你通过彻底清除对手来证明了安全态势。但我认为这并不完全正确，因为只是进行威胁狩猎本身就可以在安全态势方面取得成功。我将从情报的角度谈谈这一点。再次强调一下，从组织的角度来看。你知道，当我们谈论威胁情报时，有很多误解，人们认为威胁情报的一个成功意味着你找到了对手，你识别了恶意活动，然后启动了应急响应。显然，从某种程度上来说，这是成功的，你通过清除对手来证明了安全态势。但我认为这并不完全正确，因为只是进行情报工作本身就可以在安全态势方面取得成功。它可能是识别你在环境中无法检测到的新战术、技术或程序/过程（TTP），这将使你能够构建环境中的检测。对于个别组织中的威胁猎手来说，可能会发现日志源存在差距，或我们情报团队的某人可能指向了一个他们知道存在于他们的OT环境中的特定域，但他们知道他们对该环境没有任何可见性。这也可能帮助你简化将来进行狩猎的流程，并帮助你更快地缩小开发假设和进行狩猎的方式，使你能够更有效地进行。然后，再次从战略的角度来看，我认为威胁狩猎和情报报告带来的战略胜利尤其重要，特别是当我们谈论OT时，很多组织都在沿着成熟度曲线前进，提高他们在OT方面的安全态势。因此，这就是向执行领导层和各种安全领导层提供战略利益的分析，同样也是拥有你正在进行狩猎的环境的业务领导者的一种方式。再次强调那些差距，突显在这样的环境中可能存在某种恶意活动的可行性，并讨论需要采取哪些缓解措施，有助于持续改善战略性安全态势。

一个关键目标似乎总是“找到对手的活动”。不幸的是，现实情况并非如此。成功的威胁狩猎不是基于发现对手的活动。而是基于证明或否定您的假设。在创建新的猜想进行调查之前，可以考虑一些后续的、狩猎后的问题：

- 我们是否在正确的地方查找？

- 我们是否有正确的数据？

- 我们使用的指标有多陈旧？

- 我是否遵循了假设？

- 我是否适当扩展了我的狩猎？

- 我的狩猎是否适用？

- 我是否定义了对我的组织有意义的范围？

清单可能无限延伸。然而，在这一点上，最好是创建一个新的假设，心理上回答上述问题（以及上一个狩猎结束时提出的任何其他问题），并进行新的威胁狩猎。

作为威胁猎手最困难的部分是意识到“分析麻痹”的存在。我们在这里的意思是要回答您的假设，但要知道在威胁狩猎的过程中，总有一个“终点”。结束威胁狩猎与开始同样重要。没有结论，您将无法理解需要进一步探索的新数据或其他指标。

您的发现

威胁狩猎的产物可以包含许多项目，通常最终呈现为一份发现报告。这些报告分为三个类别：战略、运营和战术。