威胁搜寻是当前网络安全行业的热门话题之一。然而在如此多的热议之下,即使是最有经验的安全专业人士也很难从现实中辨别出炒作。
要做到这一点,首先需要了解任何威胁搜寻练习的主要目标,即主动进行网络搜索,在造成破坏和破坏之前,识别新类型的威胁或现有的活动攻击。企业再也无法维持一种被动的安全防护方法,因为先进的持续性威胁非常擅长规避传统的防护并且很难尽快被发现——通常持续数月甚至数年之后。
威胁搜寻通常由专门的安全专家执行,利用最新的行为监控工具来主动检测可疑的行为模式,并尽可能将平均检测和响应时间缩短到几分钟之内,因此威胁搜寻对于减少攻击的传播和有效性至关重要。
拥有合适的工具
探索妥协指标(IOCs)和攻击者采取的策略,技术和程序(TTP)需要结合手动和机器辅助操作。
安全信息和事件管理(SIEM)平台是威胁猎人用于监控网络活动并了解什么构成常规和恶意活动的关键技术。
日志分析对于帮助识别可疑活动至关重要,猎人将定期设置新的SIEM关联规则,用来提醒可能表明入侵的网络事件序列。
最新的用户和实体行为分析(UEBA),机器学习、端点检测和响应技术也常被用来进行威胁搜寻。这使得安全小组能够获得更广泛的事件可见性,进行深入的取证以分析致命的攻击链,设置监视列表,并通过在攻击扩散之前隔离和消除攻击来促进更快的事件响应。
整合情报
任何成功的威胁搜寻行动也严重依赖威胁情报。威胁交换,威胁情报平台,内部研究和攻击性安全演习(如红队作战)都是重要的信息来源,可以帮助猎人提高对IOCs和TTPs的理解。
一旦发现并控制了特定的威胁,猎人通常会借助恶意软件分析和逆向工程等技术来更加仔细的观察这一威胁。
一个专门的猎人团队
仅仅拥有合适的工具是徒劳,还需要合适的人使用它们。为了逃避侦测,耐心和持久的黑客经常在“防御区“之外徘徊,因此能够采用攻击性安全思维来改善网络防御是任何成功的威胁猎手的先决条件。
制定关于威胁行为的假设也是该角色必须要考虑的事情,这意味着良好的态势感知和批判性思维技能也很重要。
传统上,蓝色团队安全分析师的角色一直是调查,分析和做出响应,但是越来越多的组织需要威胁搜寻,这意味着安全分析师的工作职责范围正在不断变大,以便在这一领域承担更多责任。
安全协调、自动化和响应(SOAR)市场的发展将有助于促进这种转变,因为SOC内部的效率提高将使人们能够投入更多的时间和精力用于检测而非常规流程。。
迭代方法
培养所有包括内部和外包团队在内的安全人员之间的协作文化,对于任何威胁搜寻行动的成功同样至关重要。
分享知识和情报的过程对于帮助集体理解和产生可行的措施办法是必要的,另外还需要有一个持续的反馈循环,以确保经常对搜寻过程和控制进行评估。
正确的支持和建议
随着威胁变得越来越复杂,那些为威胁搜寻投入时间和资源的组织可能会最大程度地改善其网络安全成熟度。
威胁狩猎绝对不仅仅是炒作,虽然通过前瞻性规划并寻求合适的支持以帮助指导和利用投资。虽然在一夜之间不太可能实现这方面的熟练操作,越早进行有关方面的培养越早收益。
