渗透测试、威胁狩猎和SOC：概述

作者：Ray Van Hoose、Wade Wells 和 Edna Jonsson || 特邀作者

本文由3篇文章组成，最初发表于《信息安全生存指南》第二版。免费在线阅读或订购1美元实体版，请访问Spearphish General Store。

渗透测试 – 发现漏洞、创建报告、提供指导

作者：Ray Van Hoose || @_meta

问题：我们如何预测攻击者会如何攻击我们的系统，以及如何尝试阻止他们？答案：渗透测试。

渗透测试，尤其是在过去，包括物理安全评估（例如闯入建筑物）。渗透测试多年来不断发展和演变，目前更侧重于技术发现，将物理安全和社会工程（钓鱼邮件、电话诈骗等）留给红队。

作为渗透测试员生存所需的工具

Kali Linux：开源、基于Debian的Linux发行版，专注于各种信息安全任务，如渗透测试、安全研究等。
Nmap：免费开源的网络发现和安全审计工具。
Burp：Burp Suite是一套全面的Web应用程序安全测试工具。

我们与红队的区别

全面性：我们尽可能多地发现和记录漏洞，而不仅仅是用于获取访问权限的漏洞。
目标和方法：渗透测试员的方法“嘈杂”，不关注防御团队的响应时间和有效性。

生存所需的技能和技术

沟通：最重要但最不被认可的技能之一。主要交付物是报告。此外，您经常需要向领导汇报，并与开发人员合作修复发现的漏洞。
文档：很少有人喜欢，但报告需要易于呈现。良好的截图和文档在该领域至关重要。
命令行界面知识：了解Linux和Windows命令将提供 –
- 绝大多数黑客和渗透测试工具的接口（wget、cURL、Nikto、metasploit、sqlmap等）。
- ‘screen’或‘tmux’允许您启动、命名、访问和管理每个工具的shell，甚至可以在多个shell之间拆分扫描或工具。
- 提高截图可读性（仅返回和显示最相关的数据）。
验证：您能否使用不同的工具或技术来验证发现的潜在漏洞？发现和验证是良好测试的关键支柱。
利用：通常是工作中最棘手的部分。有时，可能只需配置工具执行适当的有效负载……但很多时候，您可能需要花费大量时间调整才能在该系统上获得可用的利用。

以下是一些提供见解和（有时）可用有效负载的流行网站：

Exploit-db – exploit-db.com
Rapid7-db – rapid7.com/db/
NIST – nvd.nist.gov/vuln/search

使用这些技能、知识和工具，成功的渗透测试员将能够发现漏洞、创建报告以帮助领导了解安全弱点，并提供有关如何补救（或缓解）这些问题的有意义的指导。

渗透测试入门 – 16小时Antisyphon课程，John Strand主讲
https://www.antisyphontraining.com/course/introduction-to-pentesting-with-john-strand/

威胁狩猎 – 主动搜索风险

作者：Wade Wells || @WadingThruLogs

威胁狩猎既是一种角色，也是一项活动。根据组织的不同，它可以有不同的定义。威胁狩猎作为活动的基本定义是“主动搜索网络中的恶意活动”。威胁狩猎是一个迭代过程，旨在识别可能无法通过自动化安全工具单独检测到的潜在安全威胁和风险。这是一个由人类驱动的过程，使组织能够领先网络对手一步，并提高其整体网络安全防御能力。

威胁狩猎员应具备网络已被入侵的心态。威胁狩猎员还应建立网络活动的基线以确定异常。狩猎可以从指导狩猎员活动的假设开始。例如，“威胁参与者使用.iso文件作为感染我们网络上主机的第一阶段。”狩猎员随后将确定这些活动是否在网络内发生以及它们是否是恶意的。

作为一种角色，威胁狩猎员通常处于高级职位。寻求此工作的人通常从安全分析师、事件响应员或安全工程师转行。所有这些角色都可以执行威胁狩猎作为活动。威胁狩猎员应具备全面的信息安全知识，并能够轻松浏览任何日志。了解蓝队、红队和威胁情报战术将提高您在此角色中的能力。

提示

利用对网络和威胁情报的了解来帮助创建威胁狩猎假设。
不要重新发明轮子。利用社区资源和安全供应商报告来帮助改进威胁狩猎。
如果您移动太快而无法记笔记，请放慢速度。
在执行狩猎时，不断寻找错误配置和加强网络的机会。

威胁狩猎资源

使用Sigma项目查看其他人如何检测类似活动：github.com/SigmaHQ/sigma
使用ATT&CK® Powered Suit浏览器应用快速获取MITRE ATT&CK® TTP信息：mitre-engenuity.org/cybersecurity/center-for-threat-informed-defense/attack-powered-suit/
利用新闻中的内容并从日志角度思考的好地方：research.splunk.com/stories/
关于威胁狩猎的精彩博客：kostas-ts.medium.com/threat-hunting-series-the-basics-cccadac830c6
查看Cybrary上的“MITRE ATT&CK® Defender™ ATT&CK® Threat Hunting”培训：cybrary.it/course/mitre-attack-threat-hunting

狩猎框架

splunk.com/en_us/blog/security/peak-threat-hunting-framework.html
youtu.be/TqMjMpvspJ4
github.com/TactiKoolSec/OTHF
https://www.gigamon.com/content/dam/resource-library/english/white-paper/wp-intelligence-driven-threat-hunting-methodology.pdf

尝试的项目

acm.re/ac-hunter-community-edition/
lolbas-project.github.io/
loldrivers.io/
gtfobins.github.io/

高级网络威胁狩猎 – 16小时Antisyphon课程，Chris Brenton主讲
https://www.antisyphontraining.com/course/introduction-to-pentesting-with-john-strand/

SOC – 安全运营中心

作者：Edna Jonsson || @ednas

什么是SOC？

SOC，即安全运营中心，是一个网络安全部门，帮助识别公司网络和设备内发生的威胁和可疑活动。SOC的入门职位是SOC分析师。作为SOC分析师，您可能直接为公司工作，或在托管SOC（作为第三方提供SOC服务）工作。要成为SOC分析师，您需要很好地了解计算机工作原理、网络概念和网络安全概念。有几种方式可以获取此职位所需的技能和知识，例如大学学位、培训课程或自学。获取证书将有助于证明您对所研究领域有熟练的知识。您可以使用TryHackMe、Blue Team Labs Online和Antisyphon Training等服务开始。除了技术知识外，注重细节和良好的沟通技巧也有帮助。

提示

保持最新：了解威胁格局和当今威胁参与者所做工作的好方法是关注新闻和社交媒体上的网络安全专业人士，他们将分享他们看到的趋势和威胁。还有发布的威胁报告，例如CrowdStrike的报告，是了解威胁参与者、其战术和程序的优秀资源。
保护通信：在与利益相关者、其他SOC分析师、管理层或客户沟通时，您需要确保他们不会意外访问您告知的恶意URL。方法是“去毒化”它们；即使它们不可点击。

如何去毒化URL：

示例恶意网站URL – https://www.example.com/
https变为hxxps
.变为[dot]
最终结果为hxxps://www[dot]example[dot]com/

工具

如今，SIEM（安全信息和事件管理）解决方案是SOC中使用的主要工具。这是一种收集和分析日志事件并对潜在事件发出警报的工具。有许多不同的SIEM工具供应商，如Splunk、Microsoft、AlienVault等。此外，SOC可能使用端点检测和响应（EDR）工具、恶意软件分析工具和漏洞管理工具。

SOC资源

作为SOC分析师将使用的网站 –
- 这些有助于验证您看到的IP地址或URL是否预期以及是否可能恶意。CyberChef是一个出色的工具，可用于解码和去混淆遇到的代码文本。
abuseipdb.com/
virustotal.com/
who.is/
gchq.github.io/CyberChef/

进一步阅读：mitre.org/sites/default/files/2022-04/11-strategies-of-a-world-class-cybersecurity-operations-center.pdf

SOC核心技能 – 16小时Antisyphon课程，John Strand主讲
https://www.antisyphontraining.com/course/soc-core-skills-with-john-strand/

渗透测试、威胁狩猎与安全运营中心（SOC）：全面解析

本文深入探讨渗透测试、威胁狩猎和安全运营中心（SOC）的核心概念、工具与技术，涵盖Kali Linux、Nmap、Burp Suite等工具的使用，以及威胁狩猎框架和SOC运营实践，为网络安全从业者提供实用指南。