渗透测试、威胁狩猎和SOC：概述

作者：Ray Van Hoose、Wade Wells和Edna Jonsson || 特邀作者

本文由3篇最初发表于《信息安全生存指南》第二版的文章组成。免费在线阅读或通过Spearphish General Store订购1美元实体版。

渗透测试 – 发现漏洞、创建报告、提供指导

作者：Ray Van Hoose || @_meta

问题：我们如何预测攻击者入侵系统的方式，并尝试阻止他们？ 答案：渗透测试。

渗透测试在过去尤其包括物理安全评估（例如闯入建筑物）。多年来，渗透测试不断发展演变，目前更侧重于技术发现，而将物理安全和社会工程（网络钓鱼邮件、电话诈骗等）留给红队。

作为渗透测试员生存所需的工具

• Kali Linux：开源、基于Debian的Linux发行版，专注于各种信息安全任务，如渗透测试、安全研究等。
• Nmap：免费开源的网络发现和安全审计工具。
• Burp：Burp Suite是一套全面的Web应用程序安全测试工具套件。

我们与红队的区别

全面性

我们尽可能多地发现并记录漏洞，而不仅仅是用于获取访问权限的漏洞。

目标和方法

• 渗透测试员在方法上“嘈杂”。
• 渗透测试员不关注防御团队的响应时间和有效性。

生存所需的技能和技术

沟通

最重要但最不被认可的技能之一。你的主要交付成果是报告。此外，你经常需要向领导层汇报，并与开发人员合作修复发现的漏洞。

文档

很少有人喜欢它，但报告需要具有可呈现性。良好的截图和文档在这个领域至关重要。

命令行界面知识

理解Linux和Windows命令将提供——

• 绝大多数黑客和渗透测试工具的接口（wget、cURL、Nikto、metasploit、sqlmap等）。
• ‘screen’或‘tmux’允许你为每个工具启动、命名、访问和管理shell，甚至可以在任意数量的shell之间拆分扫描或工具。
• 提高截图的可读性（仅返回和显示最相关的数据）。

验证

你能使用不同的工具或技术来验证发现的潜在漏洞吗？发现和验证是良好测试的关键支柱。

利用

通常可能是工作中最棘手的部分。有时，可能只需配置工具执行适当的有效负载……但很多时候，你可能需要花费大量时间调整才能在该系统上获得可用的漏洞利用。

以下是一些提供见解和（有时）可用有效负载的热门网站：

• Exploit-db – exploit-db.com
• Rapid7-db – rapid7.com/db/
• NIST – nvd.nist.gov/vuln/search

利用这些技能、知识和工具，成功的渗透测试员将能够发现漏洞，创建报告帮助领导层了解安全弱点，并提供有关如何补救（或缓解）这些问题的有意义的指导。

渗透测试入门 – 16小时Antisyphon课程，John Strand主讲 https://www.antisyphontraining.com/course/introduction-to-pentesting-with-john-strand/

威胁狩猎 – 主动搜索风险

作者：Wade Wells || @WadingThruLogs

威胁狩猎既是一种角色也是一种活动。根据组织的不同，它可以有不同的定义。威胁狩猎作为活动的基本定义是“主动搜索网络中的恶意活动”。威胁狩猎是一个迭代过程，旨在识别可能无法通过自动化安全工具单独检测到的潜在安全威胁和风险。这是一个由人类驱动的过程，使组织能够领先网络对手一步，并提高其整体网络安全防御能力。

威胁猎人应具备网络已被入侵的心态。威胁猎人也应建立网络活动的基线以确定异常。狩猎可以从指导猎人活动的假设开始。例如，“威胁参与者使用.iso文件作为感染我们网络上主机的第一阶段。”猎人随后将确定这些活动是否在网络内发生以及它们是否是恶意的。

作为一种角色，威胁猎人通常处于高级职位。寻求此工作的人通常从安全分析师、事件响应者或安全工程师转型。所有这些角色都可以执行威胁狩猎作为活动。威胁猎人应具备全面的信息安全知识，并能够轻松浏览任何日志。理解蓝队、红队和威胁情报策略将提高你在此角色中的能力。

提示：

• 利用你的网络知识和威胁情报帮助创建威胁狩猎假设。
• 不要重新发明轮子。利用社区资源和安全供应商报告帮助改进威胁狩猎。
• 如果你移动太快而无法记笔记，请放慢速度。
• 在执行狩猎时，不断寻找错误配置和加强网络的机会。

威胁狩猎资源：

• 使用Sigma项目查看其他人如何检测类似活动：github.com/SigmaHQ/sigma
• 使用ATT&CK® Powered Suit浏览器应用快速获取MITRE ATT&CK® TTP信息：mitre-engenuity.org/cybersecurity/center-for-threat-informed-defense/attack-powered-suit/
• 利用新闻动态并从日志角度思考的绝佳场所：research.splunk.com/stories/
• 关于威胁狩猎的精彩博客：kostas-ts.medium.com/threat-hunting-series-the-basics-cccadac830c6
• 查看Cybrary上的“MITRE ATT&CK® Defender™ ATT&CK® Threat Hunting”培训：cybrary.it/course/mitre-attack-threat-hunting

狩猎框架：

• splunk.com/en_us/blog/security/peak-threat-hunting-framework.html
• youtu.be/TqMjMpvspJ4
• github.com/TactiKoolSec/OTHF
• https://www.gigamon.com/content/dam/resource-library/english/white-paper/wp-intelligence-driven-threat-hunting-methodology.pdf

尝试的项目：

• acm.re/ac-hunter-community-edition/
• lolbas-project.github.io/
• loldrivers.io/
• gtfobins.github.io/

高级网络威胁狩猎 – 16小时Antisyphon课程，Chris Brenton主讲 https://www.antisyphontraining.com/course/introduction-to-pentesting-with-john-strand/

SOC – 安全运营中心

作者：Edna Jonsson || @ednas

什么是SOC？

SOC，即安全运营中心，是一个网络安全部门，帮助识别公司网络和设备内发生的威胁和可疑活动。SOC的入门职位是SOC分析师。作为SOC分析师，你可能直接为公司工作，或在托管SOC（作为第三方为公司提供SOC服务）工作。为了成为SOC分析师，你需要很好地理解计算机工作原理，以及网络概念和网络安全概念。有几种方法可以获取此职位所需的技能和知识，例如大学学位、培训课程或自学。获取证书将有助于证明你具备所学领域的熟练知识。你可以使用TryHackMe、Blue Team Labs Online和Antisyphon Training等服务入门。除了技术知识外，注重细节和良好的沟通技巧也有帮助。

提示

保持最新

开始理解威胁形势和当今威胁参与者行为的好方法是关注新闻和社交媒体上的网络安全专业人士，他们会分享他们看到的趋势和威胁。还有发布的威胁报告，例如CrowdStrike的报告，是理解威胁参与者、其策略和程序的优秀资源。

保护通信

在与利益相关者、其他SOC分析师、管理层或客户沟通时，你需要确保他们不会意外访问你告知的恶意URL。方法是“去毒化”它们；即使它们不可点击。

如何去毒化URL：

示例恶意网站URL — https://www.example.com/

• https变为hxxps
• .变为[dot] 最终结果是hxxps://www[dot]example[dot]com/

工具

如今，SIEM（安全信息和事件管理）解决方案是SOC中使用的主要工具。这是一个收集和分析日志事件，并对潜在事件发出警报的工具。有许多不同的SIEM工具供应商，如Splunk、Microsoft、AlienVault等。此外，SOC可能使用端点检测和响应（EDR）工具、恶意软件分析工具和漏洞管理工具。

SOC资源

作为SOC分析师将使用的网站 – 这些有助于验证你看到的IP地址或URL是否预期以及是否可能恶意。CyberChef是一个出色的工具，可用于解码和解混淆遇到的文本代码。

• abuseipdb.com/
• virustotal.com/
• who.is/
• gchq.github.io/CyberChef/

进一步阅读： mitre.org/sites/default/files/2022-04/11-strategies-of-a-world-class-cybersecurity-operations-center.pdf

SOC核心技能 – 16小时Antisyphon课程，John Strand主讲 https://www.antisyphontraining.com/course/soc-core-skills-with-john-strand/

在我们的“信息安全入门”博客系列中阅读更多：

• 如何在网络安全领域找到工作
• John Strand的计算机安全入门五阶段计划
• 从高中到网络忍者——几乎免费！
• 蓝队、红队和紫队：概述
• 渗透测试、威胁狩猎和SOC：概述
• 什么是渗透测试？
• 如何执行和对抗社会工程
• 网络安全中的人为因素：理解信任和社会工程
• 构建家庭实验室：设备、工具和提示
• 初级威胁猎人的问题
• Shenetworks推荐：9个必看的BHIS YouTube视频
• 心理健康 – 信息安全的挑战