什麼是网路威胁搜寻?
概述
网路威胁搜寻是一种前瞻性的互联网安全方法,威胁猎手主动搜索隐藏在组织网路中的安全风险。与更被动的网路安全搜寻策略(如自动威胁检测系统)不同,网路搜寻会主动寻找以前未检测到的、未知的或未修復的威胁,这些威胁可能会规避网路的自动防御系统。
网路威胁搜寻
什麼是混合滨罢?
網路犯罪分子變得比以往任何時候都更加複雜,這使得网路威胁搜寻成為強大的網路、端點和數據集安全策略的重要組成部分。如果高級外部攻擊者或 内部威胁 躲避了初始网路防御系统,它们可能会在数月内未被发现。在此期间,他们可以收集敏感数据、洩露机密资讯或 保護登录憑據 ,使他们能够横向潜入您的网路环境。
安全人員不能再坐以待斃,等待自動網路威脅檢測系統通知他們即將發生的攻擊。通過网路威胁搜寻,他們可以在攻擊造成損害之前主動識別潛在的漏洞或威脅。
网路威胁搜寻如何運作?
网路威胁搜寻將人為因素與軟體解决方案的大數據處理能力相結合。人類威脅獵人(使用解决方案和情報/數據來尋找可能逃避典型防禦的對手)依靠來自複雜 安全监控和分析 工具的数据来帮助他们主动识别和消除威胁。
人類的直覺、戰略和道德思維以及創造性的問題解決在網路狩獵過程中發揮著不可或缺的作用。這些人性化特徵使組織能夠更快、更準確地實施威脅解决方案,而不是僅僅依賴自动化 。
开始威胁搜寻需要什麼?
要使网路威胁搜寻發揮作用,威脅搜尋者必須首先建立預期或授權事件的基線,以更好地識別異常情況。使用此基線和最新的威胁情报,威脅獵人可以梳理威脅檢測技术收集的安全數據和資訊。這些技术可以包括安全資訊和事件管理解决方案 (SIEM)、託管檢測和回應 (MDR) 或其他安全分析工具。
一旦配备了来自不同来源的数据(例如端点、网路和云数据),威胁猎人就可以在您的系统中搜索潜在风险、可疑活动或偏离常态的触发因素。如果检测到已知或潜在威胁,威胁猎人可以提出假设并进行深入的网路调查。在这些调查过程中,威胁猎人试图发现威胁是恶意的还是良性的,或者网路是否得到了充分保护,免受新型网路威胁的侵害。
网路威胁搜寻是威胁情报的一部分嗎?
網路威胁情报側重於數據的分析、收集和優先順序排序,以提高我們對企業面臨的威脅的理解。
威胁搜寻调查类型
有三種核心威胁搜寻调查类型:
- 结构: 這種類型的网路安全搜尋基於攻擊指標以及攻擊者的策略、技术和程式 (TTP)。使用 MITRE 對手戰術技术和常識 (ATT&CK?) 框架,結構化搜尋使威脅獵人能夠在惡意行為者損害網路之前識別他們。
- 非: 根據觸發器或入侵指示器 (IoC),威脅獵人使用非結構化搜尋在發現觸發器或 IoC 之前和之後在整個網路中搜索任何明顯的模式。
- 基於情境或威胁情报: 假設來自情境情況,例如在網路風險評估期間發現的漏洞。借助最新的威胁情报,威脅獵人可以在分析其網路時參考有關網路攻擊趨勢或攻擊者 TTP 的內部或眾包數據。
在所有这叁种调查类型中,威胁猎人都会在事件中搜索预期或授权事件之外的异常、弱点或可疑活动。如果发现任何安全漏洞或异常活动,猎人可以在网路攻击发生或再次发生之前修补网路。
网路威胁搜寻的四個步驟
為了有效地啟動网路威胁搜寻計劃,安全人員應遵循四個步驟:
- 提出一个假设: 威脅獵人應根據組織基礎結構中可能存在的風險或漏洞、當前威胁情报或攻擊者 TTP,或者來自可疑活動或偏離標準基線活動的觸發器來制定假設。他們還可以利用自己的知識、經驗和創造性解決問題的技能來建立威脅假設,並決定測試它的前進路徑。
- 开始调查: 在調查期間,威脅獵人可以依靠從威脅搜尋解决方案(如 SIEM、 MDR 和使用者实体行為分析)派生的复杂歷史数据集。调查将向前推进,直到假设得到证实并检测到异常,或者发现假设是良性的。
- 发现新模式: 当发现异常或恶意活动时,下一步是部署快速有效的回应。这可能包括禁用使用者、阻止滨笔位址、实施安全补丁、更改网路配置、更新授权许可权或引入新的身份要求。当您的安全团队努力主动解决网路威胁时,他们将从本质上瞭解威胁参与者的罢罢笔以及他们将来如何缓解这些威胁。
- 回應、豐富和自动化: 威脅搜尋的工作永無止境,因為網路犯罪分子總是在推進並製造新的網路威脅。网路威胁搜寻應成為組織內的日常做法,與自動威脅檢測技术以及安全團隊當前的威脅識別和修正流程一起運行。
网路威胁搜寻面臨的最大挑戰是什麼?
由於网路威胁搜寻採用主動、動手的方法來檢測和修復威脅,因此一些組織在實施此安全實踐時面臨重大挑戰。要使网路威胁搜寻計劃取得成功,組織必須具有三個關鍵組成部分,以協調工作:
- 专家威胁猎人:网路威胁搜寻所涉及 可以说是最关键的组成部分。威胁猎人必须是威胁领域的专家,并且能够快速识别复杂攻击的警告信号。
- 综合数据: 為了正确寻找威胁,猎人必须能够访问大量数据(包括当前和歷史数据),以提供整个基础设施的可见性。如果没有这些聚合数据,威胁猎人将无法根据您的端点、网路或云基础架构创建明智的威胁假设。
- 最新的威胁情报: 威脅獵手必須配備最新的威胁情报,使他們能夠將當前的網路攻擊趨勢與內部數據進行比較。如果不知道存在哪些新的或趨勢的威脅,威脅獵人將無法獲得正確分析潛在網路威脅的必要資訊。
部署所有這三個元件並確保它們無縫協同工作需要許多組織资源。不幸的是,一些安全團隊無法獲得正確的工具、人員或資訊來建立全面的网路威胁搜寻計劃。
發現託管网路威胁搜寻 好色先生TV 网路安全
成功保護組織的基礎架構需要主動方法,而不是被動方法。自動威脅檢測技术本身就足以保護機密數據或資訊的日子已經一去不復返了。相反,您的安全團隊必須實施持續的 网路威胁搜寻計劃 ,使他們能夠在外部攻擊者或内部威胁造成損害之前創建明智的假設並查明網路異常、風險或可疑活動。
正在尋找一種託管服务來提供网路威胁搜寻,而無需投資軟體和资源? 好色先生TV? 安全服務 提供時間點威脅搜尋和基於订阅的服務,以執行基於情境、非結構化和結構化的威脅,並識別異常、弱點和可疑活動。結合我們在 风险和合规、 数位取证和 事件回应方面的專業知識,我們的客戶信賴 好色先生TV 以提高他們的 网路弹性。
