网络攻击每天都在增加,其频率和复杂程度也在增加; 更糟糕的是,它们经常绕过组织现有的保护控制。因此,除了其他安全层(如防病毒程序和防火墙)之外,组织还必须部署主动的威胁搜索活动,以便尽早检测并修复威胁,以减轻损害。开始攻击威胁计划的公司在成功时会有所成功,但他们是否能够实现这一目标?
不幸的是,没有任何组织可以要求100%的安全性,许多人不得不承受臭名昭着的数据泄露和数百万美元的损失。根据2018年的威胁狩猎报告,44%的受访者估计未被发现的数据泄露的财务影响超过50万美元。
在本文中,我们将向您介绍有效威胁搜寻的10个技巧,这些技巧将帮助您的组织更好地应对麻烦的网络攻击并避免合规性问题和财务损失。
1. 了解你的环境
威胁搜寻旨在发现异常活动,否则可能会对您的公司造成严重损害。了解您环境中的正常活动是理解非正常活动的先决条件。如果您了解正常的操作活动,那么任何异常都应该突出并注意到。
因此,猎人应该花费大量时间来了解他们环境中的正常和日常事件。此外,分析师必须了解包括系统,应用程序和网络在内的完整体系结构,以便他们能够发现可能为攻击者提供机会的弱点和漏洞。
此外,与IT内外的关键人员建立关系至关重要。事实上,这些人可以帮助威胁猎人区分异常活动和正常活动。例如,威胁猎手发现的每个问题并不总是攻击。相反,它可能只是一种不安全的做法。为了改善组织的安全态势,威胁猎人必须充当有效的“变革推动者”,如果没有与他人的信任关系,这是不可能的。
2. 想象一下你是一个攻击者
一个好的威胁搜寻练习要求威胁猎人像攻击者一样思考。通常情况下,威胁猎手的任务是主动追击对手,并结束入侵的可能性。但是,如果发生了攻击,他们需要减轻其影响以减少伤害。但是,总是寻找入侵的迹象并不是一个很好的方法。相反,威胁猎手应该努力预测攻击者的下一步行动。
一旦威胁猎人知道攻击者可能会做什么,他们应该设置一些触发器,一旦攻击者执行此移动就应该触发。CB Response等工具可用于确定攻击者的行动。
请记住:没有任何组织总是拥有完美且难以理解的安全措施,而且攻击者现在使用非常复杂的技术来绕过公司的监控工具和大多数安全措施。因此,威胁猎人应该超越对手的期望,以防止攻击成为主要的噩梦。
3. 制定OODA战略
OODA是Observe,Orient,Decide和Act的缩写。军事人员在进行战斗行动时应用OODA。同样,威胁猎人在网络战期间使用OODA。在威胁搜寻的背景下,OODA的工作原理如下:
- 观察:第一阶段涉及从端点进行常规数据收集
- Orient:彻底了解收集的数据,并将此信息与其他收集的信息相结合,以帮助理解其含义。之后,分析是否发生了对流量的命令和控制(C&C)的标志或检测到任何攻击迹象
- 决定:一旦分析了信息,就需要确定行动方案。如果事件发生,威胁猎手将执行事件响应策略
- 行动:最后阶段涉及执行计划以结束入侵并增强公司的安全态势。采取进一步措施以防止将来发生同类型的攻击
4. 使用足够的资源
威胁狩猎被认为是当今最好的安全解决方案之一。但是,投入足够的资源,包括人员,系统和工具,对于有效地进行威胁搜寻是不可或缺的。
人员是指威胁猎手,他们必须具备操作系统(OS)和子系统的深入知识,例如应用程序服务器,Web服务器,数据库服务器,数据库管理系统,更重要的是网络,Wi-Fi系统和Internet共。了解CB响应工具也很有帮助。
5. 保护所有端点
端点安全是客户端/服务器信息安全方法,用于通过监视端点(网络设备),其活动,软件,身份验证和授权来保护公司的网络。保护所有端点至关重要,因为疏忽可能会给对手留下空白点。通常,除了位于每个端点上的客户端安全软件之外,还通过安装在网络中集中管理的服务器或网关上的安全软件来确保端点安全性。
仅使用防病毒程序无法阻止高级持久性威胁(APT)。因此,组织也应该部署端点保护解决方案,例如CB Response或Comodo端点保护软件。
6. 网络可见性是关键
除了在所有端点上部署威胁搜索工具之外,还必须深入了解网络环境中的攻击模式和活动。您可以通过使用允许您具有网络可见性的其他工具来实现此目的。
在您设置高级端点工具时,还应使用入侵检测系统(IDS),入侵防御系统(IPS),NetFlow,Web过滤器,防火墙和数据丢失防护系统(DLP)等工具。通过这种方式,您可以验证攻击并收集有关可能表示违规的异常流量模式的宝贵知识。
7. 注意威胁狩猎的人性
威胁搜寻的一个关键部分是与公司的主要IT人员进行有效和高效的沟通。这意味着威胁猎人应该以不同的方式与端点工程师,应用程序开发人员,服务台和系统工程师协同工作。威胁猎人实际上需要与他们进行有效沟通,以便了解关键系统和应用程序的操作。在搜索敌人时,猎人会发现网络,系统和应用程序的设计和实施中的漏洞。
威胁猎手和关键IT人员之间的信任关系是不可或缺的。最重要的是,在响应事件时,您需要他们的协作。只有通过确保相互信任,您才能够在环境中的弱点和漏洞面前一起正确诊断恶意活动并执行补救。
8. 记录你的狩猎记录
优秀的威胁猎手不仅试图遏制或消除恶意入侵,还记录他们在IT环境中执行的每一次威胁搜索。您不仅需要详细说明每个案例的技术信息,更重要的是,您需要记录与公司相关的业务知识,例如,寻找原因。
但如果没有合理收集数据,好的文档就不值得。必须选择一种可以帮助您组织威胁搜寻活动的工具,以便在您怀疑反复入侵并与其他方分享知识时重新审视您的步骤。可用于组织数据的工具可能包括报告工具,分析工具甚至Microsoft Excel。
9. 保持刀锋锋利
即使最好的武器也会生锈,除非它得到照顾。为了有效地开展工作,威胁猎人需要做好准备,并始终对可疑活动保持警惕。由于网络犯罪分子正在寻找数十种新方法来渗透安全系统,因此威胁猎手需要不断学习和发展他们的技能,以便让自己能够应对挑战。
每个职业威胁猎人都必须花时间接受技术培训
10. 及时了解现代攻击趋势
在不断发展的技术世界中,威胁行为者每天都在开发新的攻击。网络犯罪分子具有创造性,他们正在利用这种创造力不断发明新的犯罪方法。威胁猎人需要跟上不断变化的网络攻击格局。
在不久的将来,他们将会为他们做很多工作。根据Alert Logic 2018年的威胁搜索报告,安全专家将55%的高级威胁检测作为其安全运营中心(SOC)的首要挑战。此外,43%的安保人员缺乏足够的技能来缓解这些威胁。此外,36%的自动化工具严重缺乏威胁性能力。为了防止入侵,威胁猎人必须自己掌握现代威胁形势和犯罪分子发现进行攻击的复杂技术。