基于入侵指標(biāo)(IOC)的檢測(cè)已經(jīng)是業(yè)內(nèi)常規(guī)，然而，基于行為的檢測(cè)方法似乎才是未來(lái)。下面我們來(lái)比較一下這兩種檢測(cè)方法的不同，以判斷強(qiáng)調(diào)其中一種是否會(huì)更具價(jià)值。

專(zhuān)業(yè)人士應(yīng)該都知道“痛苦金字塔”，它顯示了各種攻擊指標(biāo)與攻擊(檢測(cè))難度之間的關(guān)系。金字塔的下半部分由哈希值、IP地址和域名(這三者統(tǒng)稱(chēng)為IOC)組成，如果檢測(cè)到它們，攻擊難度并沒(méi)有明顯增加，或者說(shuō)痛苦的程度很低。

痛苦程度自底往上分別為：無(wú)所謂、小意思、很簡(jiǎn)單、有困難、很困難、太難了

在真實(shí)的場(chǎng)景中，攻擊者可能會(huì)故意使用IOC輪番轟炸檢測(cè)系統(tǒng)，以掩蓋真正的攻擊手段。但TTP(戰(zhàn)術(shù)、技術(shù)和流程)才是最高級(jí)的攻擊手段。如果安全運(yùn)營(yíng)中心(SOC)能夠同時(shí)識(shí)別IOC和IOB(行為指標(biāo))，無(wú)疑可以最大限度的降低入侵成功的概率。

威脅追蹤(狩獵)

有很多方法可以成功地執(zhí)行威脅狩獵，最常見(jiàn)的兩個(gè)分支是主動(dòng)追蹤和被動(dòng)追蹤。基于情報(bào)的搜索偏向于被動(dòng)模式，其中來(lái)自情報(bào)共享平臺(tái)的數(shù)據(jù)構(gòu)成了進(jìn)一步調(diào)查的基礎(chǔ)。檢測(cè)規(guī)則來(lái)源于痛苦金字塔的下半部分，域名、哈希、IP地址、網(wǎng)絡(luò)或主機(jī)特征，然后與威脅情報(bào)(也就是說(shuō)，別人發(fā)現(xiàn)過(guò)類(lèi)似的攻擊)匹配。

相反，積極主動(dòng)的方法是基于行為。輸入數(shù)據(jù)包括攻擊指標(biāo)(IoA)、行為指標(biāo)(IOB)和TTP。基于UEBA的假設(shè)，可檢測(cè)攻擊是否正在發(fā)生，并且這種檢測(cè)盡可能接近實(shí)時(shí)檢測(cè)。如果能提供基于行為的威脅追蹤(狩獵)，無(wú)疑會(huì)大獲歡迎。編者注：IoA是指正在發(fā)生的行為指標(biāo)，IOC則是指已經(jīng)發(fā)生的入侵指標(biāo)。

基于入侵指標(biāo)(IOC)的檢測(cè)

IOC不僅僅包含哈希、IP地址和域名，還有很多可以作為取證的數(shù)據(jù)，幫助于安全分析師監(jiān)測(cè)系統(tǒng)是否存在潛在惡意活動(dòng)的跡象，如：

• HTML響應(yīng)包大小
• 異常DNS請(qǐng)求
• 計(jì)劃外系統(tǒng)補(bǔ)丁
• 突然的系統(tǒng)文件更改
• 數(shù)據(jù)庫(kù)讀取量增加
• DDoS跡象(過(guò)度請(qǐng)求)
• 不匹配的端口應(yīng)用程序流量
• 訪(fǎng)問(wèn)外網(wǎng)的異常流量
• 本不該存在的數(shù)據(jù)集

入侵指標(biāo)有著危險(xiǎn)信號(hào)的作用，輔助檢測(cè)攻擊的早期跡象。然而，僅僅有一個(gè)常見(jiàn)IOC的靜態(tài)列表，并在此基礎(chǔ)上定期運(yùn)行檢測(cè)規(guī)則是不夠的。網(wǎng)絡(luò)攻擊的復(fù)雜性不斷增長(zhǎng)，因此必須跟蹤新出現(xiàn)的指標(biāo)，并確保適當(dāng)?shù)臋z測(cè)規(guī)則到位。

一個(gè)新的IOC既可能簡(jiǎn)單的像元數(shù)據(jù)中的某個(gè)元素，也可能復(fù)雜如一段注入的代碼，而這些代碼處于數(shù)以PB計(jì)且不斷流動(dòng)的日志數(shù)據(jù)中，可以想象它識(shí)別起來(lái)的困難程度。網(wǎng)絡(luò)安全專(zhuān)業(yè)人員需要尋找各種IOC之間的關(guān)聯(lián)性，分析并跟蹤攻擊前后的事件，以形成有效的檢測(cè)策略。

基于行為的檢測(cè)(IOB)

雖然IOC很適合進(jìn)行回溯性分析，但這些指標(biāo)的壽命很短，SOC分析人員希望依靠的不僅僅是之前的攻擊證據(jù)，因?yàn)檫@些攻擊在檢測(cè)到后不久就會(huì)失效。而且，即使進(jìn)行了回溯，高級(jí)威脅依然存在。這就是為什么需要基于行為的檢測(cè)來(lái)發(fā)現(xiàn)不太明顯的入侵跡象，或者說(shuō)基于UEBA(用戶(hù)和實(shí)體行為分析)的威脅追蹤可明顯增強(qiáng)對(duì)潛在風(fēng)險(xiǎn)的發(fā)現(xiàn)能力。行為一般包括：

• 文件類(lèi)：下載、上傳、創(chuàng)建、刪除、保存、更改
• 帳戶(hù)類(lèi)：創(chuàng)建新帳戶(hù)、更改密碼、登錄和注銷(xiāo)
• 郵件類(lèi)：發(fā)送或轉(zhuǎn)發(fā)電子郵件、自動(dòng)化電子郵件、發(fā)送附件
• 網(wǎng)站類(lèi)：訪(fǎng)問(wèn)頁(yè)面、發(fā)送請(qǐng)求、發(fā)送附件、發(fā)送消息、使用工具
• 系統(tǒng)管理：運(yùn)行查詢(xún)、訪(fǎng)問(wèn)存儲(chǔ)的數(shù)據(jù)、執(zhí)行代碼、導(dǎo)出結(jié)果

所有基于行為的檢測(cè)不僅應(yīng)該被編寫(xiě)和收集，還應(yīng)該在特定的上下文中進(jìn)行分析，以確定行為的意圖。并且要長(zhǎng)期的跟蹤通用的行為，以查看是否發(fā)生任何可疑的變化。除了實(shí)時(shí)監(jiān)控系統(tǒng)外，IOB還有助于預(yù)測(cè)未來(lái)，并預(yù)測(cè)安全措施改變后的結(jié)果，例如，如果公司禁用USB等外部存儲(chǔ)設(shè)備，會(huì)發(fā)生什么。

然而，在編寫(xiě)基于行為的檢測(cè)規(guī)則時(shí)，安全分析師需要非常小心，以避免出現(xiàn)高誤報(bào)率，因?yàn)樾袨橐?guī)則往往更容易受到噪聲的影響。這就需要經(jīng)驗(yàn)豐富的分析人員，并往往需要采用不同的分析方法。原因非常簡(jiǎn)單，只有這樣才能更好的檢測(cè)未知威脅，這些威脅不會(huì)體現(xiàn)在情報(bào)來(lái)源中，更不用說(shuō)IOC了。

結(jié)論

總的來(lái)說(shuō)，威脅追蹤是一個(gè)復(fù)雜的過(guò)程，需要使用一些特定的工具、系統(tǒng)和方法來(lái)實(shí)現(xiàn)高效運(yùn)作和及時(shí)響應(yīng)。成功的威脅捕手應(yīng)該通過(guò)網(wǎng)絡(luò)的充分可見(jiàn)性、情報(bào)的利用、新規(guī)則的創(chuàng)建，保持對(duì)攻擊者領(lǐng)先者一步。

具體到選擇IOC還是IOB，當(dāng)然不是擇其一，而是都要用。IOC涵蓋基本的安全需求，而IOB則用于滿(mǎn)足更高的安全需求。