基于入侵指標(IOC)的檢測已經(jīng)是業(yè)內(nèi)常規(guī)，然而，基于行為的檢測方法似乎才是未來。下面我們來比較一下這兩種檢測方法的不同，以判斷強調(diào)其中一種是否會更具價值。

專業(yè)人士應(yīng)該都知道“痛苦金字塔”，它顯示了各種攻擊指標與攻擊(檢測)難度之間的關(guān)系。金字塔的下半部分由哈希值、IP地址和域名(這三者統(tǒng)稱為IOC)組成，如果檢測到它們，攻擊難度并沒有明顯增加，或者說痛苦的程度很低。

痛苦程度自底往上分別為：無所謂、小意思、很簡單、有困難、很困難、太難了

在真實的場景中，攻擊者可能會故意使用IOC輪番轟炸檢測系統(tǒng)，以掩蓋真正的攻擊手段。但TTP(戰(zhàn)術(shù)、技術(shù)和流程)才是最高級的攻擊手段。如果安全運營中心(SOC)能夠同時識別IOC和IOB(行為指標)，無疑可以最大限度的降低入侵成功的概率。

威脅追蹤(狩獵)

有很多方法可以成功地執(zhí)行威脅狩獵，最常見的兩個分支是主動追蹤和被動追蹤。基于情報的搜索偏向于被動模式，其中來自情報共享平臺的數(shù)據(jù)構(gòu)成了進一步調(diào)查的基礎(chǔ)。檢測規(guī)則來源于痛苦金字塔的下半部分，域名、哈希、IP地址、網(wǎng)絡(luò)或主機特征，然后與威脅情報(也就是說，別人發(fā)現(xiàn)過類似的攻擊)匹配。

相反，積極主動的方法是基于行為。輸入數(shù)據(jù)包括攻擊指標(IoA)、行為指標(IOB)和TTP。基于UEBA的假設(shè)，可檢測攻擊是否正在發(fā)生，并且這種檢測盡可能接近實時檢測。如果能提供基于行為的威脅追蹤(狩獵)，無疑會大獲歡迎。編者注：IoA是指正在發(fā)生的行為指標，IOC則是指已經(jīng)發(fā)生的入侵指標。

基于入侵指標(IOC)的檢測

IOC不僅僅包含哈希、IP地址和域名，還有很多可以作為取證的數(shù)據(jù)，幫助于安全分析師監(jiān)測系統(tǒng)是否存在潛在惡意活動的跡象，如：

• HTML響應(yīng)包大小
• 異常DNS請求
• 計劃外系統(tǒng)補丁
• 突然的系統(tǒng)文件更改
• 數(shù)據(jù)庫讀取量增加
• DDoS跡象(過度請求)
• 不匹配的端口應(yīng)用程序流量
• 訪問外網(wǎng)的異常流量
• 本不該存在的數(shù)據(jù)集

入侵指標有著危險信號的作用，輔助檢測攻擊的早期跡象。然而，僅僅有一個常見IOC的靜態(tài)列表，并在此基礎(chǔ)上定期運行檢測規(guī)則是不夠的。網(wǎng)絡(luò)攻擊的復(fù)雜性不斷增長，因此必須跟蹤新出現(xiàn)的指標，并確保適當?shù)臋z測規(guī)則到位。

一個新的IOC既可能簡單的像元數(shù)據(jù)中的某個元素，也可能復(fù)雜如一段注入的代碼，而這些代碼處于數(shù)以PB計且不斷流動的日志數(shù)據(jù)中，可以想象它識別起來的困難程度。網(wǎng)絡(luò)安全專業(yè)人員需要尋找各種IOC之間的關(guān)聯(lián)性，分析并跟蹤攻擊前后的事件，以形成有效的檢測策略。

基于行為的檢測(IOB)

雖然IOC很適合進行回溯性分析，但這些指標的壽命很短，SOC分析人員希望依靠的不僅僅是之前的攻擊證據(jù)，因為這些攻擊在檢測到后不久就會失效。而且，即使進行了回溯，高級威脅依然存在。這就是為什么需要基于行為的檢測來發(fā)現(xiàn)不太明顯的入侵跡象，或者說基于UEBA(用戶和實體行為分析)的威脅追蹤可明顯增強對潛在風(fēng)險的發(fā)現(xiàn)能力。行為一般包括：

• 文件類：下載、上傳、創(chuàng)建、刪除、保存、更改
• 帳戶類：創(chuàng)建新帳戶、更改密碼、登錄和注銷
• 郵件類：發(fā)送或轉(zhuǎn)發(fā)電子郵件、自動化電子郵件、發(fā)送附件
• 網(wǎng)站類：訪問頁面、發(fā)送請求、發(fā)送附件、發(fā)送消息、使用工具
• 系統(tǒng)管理：運行查詢、訪問存儲的數(shù)據(jù)、執(zhí)行代碼、導(dǎo)出結(jié)果

所有基于行為的檢測不僅應(yīng)該被編寫和收集，還應(yīng)該在特定的上下文中進行分析，以確定行為的意圖。并且要長期的跟蹤通用的行為，以查看是否發(fā)生任何可疑的變化。除了實時監(jiān)控系統(tǒng)外，IOB還有助于預(yù)測未來，并預(yù)測安全措施改變后的結(jié)果，例如，如果公司禁用USB等外部存儲設(shè)備，會發(fā)生什么。

然而，在編寫基于行為的檢測規(guī)則時，安全分析師需要非常小心，以避免出現(xiàn)高誤報率，因為行為規(guī)則往往更容易受到噪聲的影響。這就需要經(jīng)驗豐富的分析人員，并往往需要采用不同的分析方法。原因非常簡單，只有這樣才能更好的檢測未知威脅，這些威脅不會體現(xiàn)在情報來源中，更不用說IOC了。

結(jié)論

總的來說，威脅追蹤是一個復(fù)雜的過程，需要使用一些特定的工具、系統(tǒng)和方法來實現(xiàn)高效運作和及時響應(yīng)。成功的威脅捕手應(yīng)該通過網(wǎng)絡(luò)的充分可見性、情報的利用、新規(guī)則的創(chuàng)建，保持對攻擊者領(lǐng)先者一步。

具體到選擇IOC還是IOB，當然不是擇其一，而是都要用。IOC涵蓋基本的安全需求，而IOB則用于滿足更高的安全需求。