开放安全协作开发是计算机安全专家的一项开放国际倡议,旨在解决常见问题,传播知识并总体上提高计算机安全性。
它是由信息安全领域的友好免费项目于2019年秋季创建的。 联合开发以两周的冲刺形式组织。 第一次冲刺通常用于检测威胁,尤其是改进Sigma项目规则集。
为什么是西格玛
Sigma项目是SIEM系统的通用签名格式。 它具有一个转换器,该转换器为各种SIEM系统生成搜索查询,并具有一组从中生成这些查询的发现规则。
随着时间的推移,Sigma项目规则集已成为最大,最成熟的社区驱动型威胁检测规则集。 在其中,您可以找到针对新威胁(例如BlueKeep的漏洞利用),渗透测试工具( Empire , Cobalt Strike ),恶意行为( 令牌窃取 )的威胁检测规则(“相关规则”)。 大多数规则都与MITER ATT&CK绑定。
即使您没有使用Sigma Converter,也可以从其更新的威胁检测规则集中受益。 大多数高级安全团队已在GitHub上注册了Sigma项目的更新。 如果您尚未注册,这是一个绝佳的时机。
这个项目存在差距和问题,同时在公共领域有许多值得研究的内容(例如Hunting for Windows权限提升 / 横向移动 / 凭证倾销 ),其材料尚未添加到项目存储库中。 这是我们在第一次冲刺期间决定关注的重点。
怎么样了
大约有50人确认他们参加了冲刺。 该计划非常简单:
- 为期两周的冲刺于2019年10月21日开始
- 参与者从待办事项中选择任务或提供/开发其他分析
- 参与者依赖于描述工作流程的手册
- 将检查结果并将其添加到GitHub上Sigma项目的存储库中
几天后,即2019年10月24日,我们在hack.lu会议上举行了一个研讨会 ,介绍了OSCD倡议,解释了我们在做什么以及为什么。 尽管大多数参与者都远程连接到工作,但由于可以通过实时讨论模式讨论制定的规则,所以我们非常有效地检查了研讨会的时间。
第二天,我们在卢森堡的EU MITER ATT&CK研讨会上报告了第一个结果:
尽管冲刺结束时实际参与者人数减少到30人,但我们仍达到了预期的结果(x2)。
结果
在为期两周的冲刺中,参与者:
- 添加了144个新的sigma规则
- 改善19现有
- 删除了两个现有规则(将其分解并布局为其他更相关的逻辑)
因此,我们将Sigma项目规则集增加了40%以上 。
GitHub上Sigma存储库的master分支中的Pull Request描述中提供了添加规则的列表。
积压
尽管我们在第一次冲刺中取得了很多成就,但仍有许多任务无法在两周内被我们的部队解决。 我们决定详细说明积压的订单,并将其转移到Sigma存储库中,以供社区进一步处理:
我们坚信,这些(以及其他同类问题)联合解决方案是发布“进攻性安全工具”问题的最现实,最快捷的解决方案,最近几周对此进行了热烈 讨论 。
我们努力确保我们的检测规则涵盖“ 痛苦金字塔 ”的TTP级别,以便无论使用什么工具,我们都可以检测到恶意行为 。 “攻击性安全工具”是我们研究和开发此类规则的最佳朋友。
致谢
没有Alexandre Dulonua和hack.lu会议团队 , 不会举行第一个OSCD Sprint。 他们提供了信息支持,这是OSCD研讨会会议的一个空档,有助于获得签证和住宿。 我们为此深表谢意。
最后但并非最不重要的是,完成所有工作的Sprint参与者:
谢谢大家。 下一次冲刺见 !
圣诞快乐,新年快乐!