网络安全领域的一个流行说法是,只要有足够的时间,任何系统都可能遭到破坏。 听起来很可怕,该声明强调了网络安全的真实本质。
即使是最好的安全措施也不是万无一失的。 威胁在不断演变,新的攻击方式正在形成。 可以安全地假设对系统的攻击是不可避免的。
因此,任何热衷于保护其系统安全的组织都需要在攻击发生之前投资于威胁识别。 通过及早发现威胁,组织可以迅速实施损害控制措施,以最大限度地降低攻击的风险和影响,甚至可以在攻击者部署全面攻击之前将其阻止。
除了阻止攻击之外,威胁检测还可以清除可能窃取数据、收集信息以用于未来攻击甚至留下可在未来被利用的漏洞的恶意行为者。
在威胁和漏洞被恶意行为者利用之前检测威胁和漏洞的一个好方法是通过威胁搜寻。
威胁狩猎
每当网络攻击发生时,例如数据泄露、恶意软件攻击,甚至是拒绝服务攻击,往往是网络攻击者潜伏在系统中一段时间的结果。 这可以跨越几天到几周甚至几个月。
攻击者在网络中未被发现的时间越长,他们造成的破坏就越大。 因此,有必要在攻击者实际发起攻击之前将其排除在潜伏在网络中而不被发现的攻击者之外。 这就是威胁狩猎的用武之地。
威胁搜寻是一种主动的网络安全措施,安全专家在网络中进行彻底搜索,以发现并根除可能逃避现有安全措施的潜在威胁或漏洞。
与自动威胁检测等被动网络安全措施不同,威胁搜寻是一个主动过程,涉及深入搜索网络端点和存储在网络中的数据,以发现可能表明网络中潜伏威胁的恶意或可疑活动。
威胁搜寻不仅仅是寻找已知的东西,还可以清除网络中新的和未知的威胁,或者可以逃避网络防御但尚未补救的威胁。
通过实施有效的威胁搜寻,组织可以在恶意行为者执行攻击之前找到并阻止他们,从而减少造成的损害并保护他们的系统。
威胁搜寻的工作原理
要获得成功和有效,威胁追踪在很大程度上依赖于网络安全专家所拥有的直觉、战略、道德、批判性思维和解决问题的技能。 这些独特的人类技能补充了通过自动化安全系统可以完成的工作。
要进行威胁搜寻,安全专家首先要定义和了解他们将执行威胁搜寻的网络和系统的范围。 然后收集和分析所有相关数据,例如日志文件和流量数据。
内部安全专家在这些初始步骤中至关重要,因为他们通常对现有的网络和系统有清晰的了解。
使用各种技术分析收集到的安全数据,以识别异常、隐藏的恶意软件或攻击者、可疑或有风险的活动,以及安全系统可能已标记为已解决但实际上并未解决的威胁。
如果检测到威胁,则会对其进行调查和补救,以防止被恶意行为者利用。 如果发现恶意行为者,他们将从系统中删除,并采取措施进一步保护并防止系统受到损害。
威胁搜寻为组织提供了了解其安全措施并改进其系统以更好地保护它们并防止未来攻击的机会。
威胁搜寻的重要性
威胁搜寻的一些好处包括:
减少全面网络攻击的损害
威胁搜寻的好处是可以在网络攻击者收集到足够的敏感数据以进行更致命的攻击之前检测并阻止破坏系统的网络攻击者。
阻止攻击者进入他们的轨道可以减少因数据泄露而造成的损失。 凭借威胁搜寻的主动性,组织可以更快地响应攻击,从而降低网络攻击的风险和影响。
减少误报
当使用自动网络安全工具时,这些工具被配置为使用一组规则检测和识别威胁,会出现在没有真正威胁的情况下发出警报的情况。 这可能导致针对不存在的威胁部署反制措施。
人为驱动的威胁搜寻消除了误报,因为安全专家可以对感知到的威胁的真实性质进行深入分析并做出专家判断。 这消除了误报。
帮助安全专家了解公司的系统
安装安全系统后出现的挑战是验证它们是否有效。 威胁搜寻可以回答这个问题,因为安全专家会进行深入的调查和分析,以检测和消除可能逃脱已安装安全措施的威胁。
这还有利于让内部安全专家更好地了解现有系统、它们的工作方式以及如何更好地保护它们。
使安全团队保持最新状态
进行威胁搜寻涉及使用最新的可用技术在威胁和漏洞被利用之前检测和缓解它们。
这有利于让组织的安全团队了解最新的威胁形势,并积极让他们参与发现可以被利用的未知漏洞。
这种积极主动的活动可以让安全团队做好更充分的准备,让他们了解新出现的威胁,从而防止他们被攻击者吓到。
缩短调查时间
定期的威胁搜寻创建了一个知识库,可以用来在攻击发生时加快调查过程。
威胁搜寻涉及对已检测到的系统和漏洞的深入研究和分析。 反过来,这会导致对系统及其安全性的知识积累。
因此,在发生攻击时,调查可以利用从以前的威胁搜寻中收集的数据来加快调查过程,从而使组织能够更好更快地响应攻击。
通过定期进行威胁搜寻,组织将受益匪浅。
威胁搜寻与威胁情报
尽管威胁情报和威胁搜寻相关并且经常一起用于增强组织的网络安全,但它们是不同的概念。
威胁情报涉及收集和分析有关新出现和现有网络威胁的数据,以了解网络威胁和攻击背后的威胁参与者的策略、技术、程序、动机、目标和行为。
然后与组织共享此信息,以帮助他们检测、预防和减轻网络攻击。
另一方面,威胁搜寻是一个主动过程,用于搜索系统中可能存在的潜在威胁和漏洞,以便在它们被威胁行为者利用之前解决它们。 此过程由安全专家领导。 安全专家使用威胁情报信息进行威胁搜寻。
威胁搜寻的类型
威胁追踪主要分为三种类型。 这包括:
#1。 结构化狩猎
这是基于攻击指标 (IoA) 的威胁搜寻。 攻击指标证明系统当前正被未经授权的行为者访问。 IoA 发生在数据泄露之前。
因此,结构化狩猎与攻击者采用的策略、技术和程序 (TTP) 保持一致,目的是识别攻击者、他们试图实现的目标,并在他们造成任何损害之前做出响应。
#2。 非结构化狩猎
这是一种基于妥协指标 (IoC) 的威胁搜寻。 妥协的指标是发生安全漏洞并且系统在过去被未经授权的行为者访问过的证据。 在这种类型的威胁搜寻中,安全专家在识别危害指标之前和之后在整个网络中寻找模式。
#3。 情境或实体驱动
这些是基于组织对其系统的内部风险评估和他们发现的漏洞的威胁搜寻。 安全专家使用外部可用的最新攻击数据来寻找系统中类似的攻击模式和行为。
威胁搜寻的关键要素
有效的威胁搜寻涉及深入的数据收集和分析,以识别可能表明系统中存在潜在威胁的可疑行为和模式。
一旦在系统中检测到此类活动,就需要使用高级安全调查工具对其进行全面调查和了解。
然后,调查应该产生可操作的策略,可以实施这些策略来解决发现的漏洞并在威胁被攻击者利用之前调解威胁。
该过程的最后一个关键组成部分是报告威胁搜寻的结果并提供可以实施的建议以更好地保护组织的系统。
威胁搜寻的步骤
图片来源:微软
有效的威胁搜寻包括以下步骤:
#1。 制定一个假设
威胁搜寻旨在发现可被攻击利用的未知威胁或漏洞。 由于威胁搜寻旨在发现未知因素,因此第一步是根据组织系统中的安全状况和漏洞知识制定假设。
这个假设为威胁追捕提供了一个方向和基础,可以为整个演习奠定战略基础。
#2。 数据收集与分析
一旦提出假设,下一步就是从网络日志、威胁情报报告到历史攻击数据中收集数据和威胁情报,目的是证明或否定假设。 可以使用专门的工具进行数据收集和分析。
#3。 识别触发器
触发器是值得进一步深入调查的可疑案例。 从数据收集和分析中获得的信息可能会证明最初的假设,例如网络中存在未经授权的行为者。
在分析收集到的数据期间,可能会发现系统中的可疑行为。 这些可疑活动是需要进一步调查的诱因。
#4。 调查
一旦在系统中发现触发器,就会对其进行调查以了解手头风险的全部性质、事件可能是如何发生的、攻击者的动机以及攻击的潜在影响。 此调查阶段的结果告知将采取的措施来解决未发现的风险。
#5。 解决
一旦对威胁进行了全面调查和了解,就会实施策略来解决风险、防止未来的攻击并提高现有系统的安全性,以解决攻击者可以利用的新发现的漏洞或技术。
完成所有步骤后,重复练习以查找更多漏洞并更好地保护系统。
威胁搜寻中的挑战
威胁搜寻中出现的一些主要挑战包括:
缺乏熟练的人员
威胁搜寻是一种人为驱动的安全活动,因此其有效性在很大程度上取决于执行该活动的威胁搜寻者的技能和经验。
凭借更多的经验和技能,威胁猎手可以识别出传统安全系统或其他安全人员所忽视的漏洞或威胁。 获得和留住专家威胁猎手对组织来说既昂贵又具有挑战性。
难以识别未知威胁
威胁搜寻非常难以进行,因为它需要识别已逃避传统安全系统的威胁。 因此,这些威胁没有易于识别的已知签名或模式,使得整个过程非常困难。
收集综合数据
威胁搜寻在很大程度上依赖于收集有关系统和威胁的大量数据,以指导假设检验和触发器调查。
这种数据收集可能会被证明具有挑战性,因为它可能需要先进的第三方工具,而且还存在不符合数据隐私法规的风险。 此外,专家将不得不处理大量数据,这可能具有挑战性。
及时了解威胁情报
为了使威胁追捕既成功又有效,进行演习的专家需要掌握最新的威胁情报以及攻击者所采用的策略、技术和程序的知识。
如果无法访问有关攻击使用的最新策略、技术和程序的信息,整个威胁搜寻过程可能会受到阻碍并变得无效。
结论
威胁搜寻是一个主动过程,组织应考虑实施该过程以更好地保护其系统。
由于攻击者夜以继日地寻找利用系统中漏洞的方法,因此在攻击者发现漏洞和新威胁并利用它们对组织造成损害之前,组织主动寻找漏洞和新威胁是有益的。
您还可以为 IT 安全专家探索一些免费的取证调查工具。
