随着攻击技术的演进,网络安全防御者也需要不断升级企业的防御方案,将网络安全建设从被动防御转换到主动防御、积极反制的方向上来,主动威胁搜索技术应运而生,并逐渐成为现代企业网络安全防护计划的重要组成部分。
主动威胁搜索有别于目前企业中常见的SOC、IDS、渗透测试和安全扫描等安全防护方案,其主要由安全分析师利用多种威胁分析工具、威胁情报和实践经验来排查和寻找可疑的攻击痕迹。主动威胁搜索是一种更加积极的新一代安全防护策略,通过主动寻找和调查网络中的任何可疑行为,可以帮助安全人员比网络攻击者抢先一步采取行动。
主动威胁搜索的最佳实践
如果能够有效实现主动威胁搜索,企业组织将会受益匪浅。以下是关于主动威胁搜索的六个最佳实践经验,可以帮助企业更好地实现主动威胁搜索。
1、充分了解企业的数字环境
如果要及时发现网络中的威胁,一个基本的要求是要了解网络正常时的状态是什么样子。安全分析师只有非常熟悉网络的运行情况,才能充分获得这方面信息。例如,如果企业充分了解不同时间段进入网络的流量情况,就可以准确识别出流量异常的情况,并对此展开进一步调查,这样就很可能会发现威胁。安全分析师还有必要了解各种网络流量的来源和IP地址。如果突然发现从陌生来源的流量,应及时验证这些来源的真实性和安全性。
2、紧密跟随攻击技术发展趋势
今天的网络攻击者不会是孤军奋战,他们会经常利用暗网平台,相互交流探讨最新的攻击技术,并不断设计出新的手法来实施网络攻击。对于安全防护者而言,如果能够获得攻击者的第一手信息,将对防护新型攻击大有助益。安全分析师需要寻找机会与这些黑客打交道,这样就有机会了解他们的手法,并利用这些信息来加强防御。
3、从攻击者的角度思考
身处企业网络内部的安全人员往往看不到外部黑客能看到的东西,特别是网络系统中的漏洞和不足。从攻击者的角度思考可以更快速了解企业在网络防御方面的缺陷。企业如果要有效地开展威胁搜索活动,需要定期开展网络攻击演练活动,梳理企业的IT资产、寻找漏洞和攻击路径,以便更好地发现和应对风险。通过实战化的攻防演练,可以帮助企业积累宝贵的攻击技能,其作用不仅仅在于主动发现安全问题,对系统开发人员深入了解计算机系统也会大有帮助。
4、获取全面的可见性
可见性是指对企业内部及所覆盖的整个网络流量进行收集、监控、分析,发现恶意访问、影子资产、异常流量。对网络安全防护人员而言,网络的可见性是安全防护的前提,因为他们无法保护不知道的东西。这通常意味着需要了解所有设备、用户和应用程序的行为和活动,还包括它们之间发生的交互。部署应用有效的网络监控工具可以全面地洞察网络中的各种活动,还可以提供反映系统安全运营情况的实时性报告。
5、利用新一代AI工具
如今,网络犯罪分子正在积极使用机器学习、人工智能等新技术,更深入地了解其攻击目标的行为,并发动更精准的攻击。因此,企业组织有必要利用同样的技术,实施安全防护和威胁检测,做到比网络犯罪分子领先一步。基于AI的工具可以对海量数据进行自动化检测,快速识别异常情况,并从错误中学习。通过有效部署人工智能和机器学习工具,企业可以优化现有的威胁搜索策略,提升主动威胁搜索能力。
6、永远保持警惕
主动威胁搜索并非一蹴而就的活动。网络犯罪分子在不断寻找网络中的漏洞,所以企业的威胁猎手须时刻保持警惕,才能及时发现并捕获他们。网络攻击者会采取不同的策略来躲避检测。网络威胁分析师必须对所有活动保持警惕,留意微小的细节,以识别可疑或恶意的攻击途径,忽略任何一些小细节都可能会导致企业遭受严重的网络安全攻击。
5个热门威胁搜索工具
目前,市面上有一些热门工具有助于企业主动搜索威胁。这些工具提供了自动化功能,可以减少安全人员的手动工作,用户只需要正确配置就可以快速使用。
1、Phishing Catcher
攻击者通过网络钓鱼手段,诱骗疏于防范的受害者泄露敏感信息。这是一种常见的攻击,这些黑客将他们伪造的网站、电子邮件和文本信息冒充为合法内容。反钓鱼威胁搜索工具Phishing Catcher可以近乎实时地将使用恶意传输层安全(TLS)证书的域名标注出来,它使用了一种标记语言(YAML)配置文件,为TLS证书域名中的字符串分配数字。
传送门:
https://github.com/x0rz/phishing_catcher
2、CyberChef
CyberChef是一种可靠的安全威胁搜索软件,可用于数据编码、解码、加密、解密和格式化。这个工具通过Web应用部署,便于用户使用,可以处理Base64或XOR之类的基本编码,也可以处理高级加密标准(AES)和数据加密标准(DES)之类的复杂编码。
传送门:https://gchq.github.io/CyberChef/
3、DNSTwist
DNSTwist主要监控试图访问网络域名的可疑行为细节,以识别恶意活动或网络攻击,其算法能够检测异常,比如域名欺骗、品牌假冒和钓鱼攻击。一旦用户在系统中输入要访问的域名,它会创建一个监测列表,列出可能的域名变体,并检查列表中是否有相关域名是活跃的。
传送门:http://dnstwist.it/
4、YARA
YARA是一个针对恶意软件的威胁搜索工具,可以对各个恶意软件家族进行分类。用户只需编写一组字符串以执行指定的函数,就可以使用它。YARA可以与多种操作系统兼容。它还提供了一个Python扩展,以便用户创建自定义Python脚本。
传送门:https://github.com/VirusTotal/yara
5、AttackerKB
AttackerKB是一个威胁搜索工具,可以用来检测系统中的各种类型安全漏洞,并根据它生成的数据构建主动安全防御系统。AttackerKB的主要能力包括利用漏洞、技术分析和防御建议。用户可以根据漏洞的影响来确定漏洞修补优先级,以收到最大成效。
传送门:https://attackerkb.com/
参考链接:
https://www.makeuseof.com/best-threat-hunting-practices-and-tools/