技术主题

什么是网络Threat 猎杀?

以笔记本电脑为重点的 IT 项目图示

概述

网络威胁猎杀是一种前瞻性的互联网安全方法,威胁猎杀者会主动搜索隐藏在组织网络中的安全风险。与自动威胁检测系统等较为被动的网络安全猎杀策略不同,网络猎杀会主动寻找以前未被发现、未知或未修复的威胁,这些威胁可能会躲过网络自动防御系统。

猎取网络威胁

什么是混合 IT?

网络犯罪分子比以往任何时候都更加狡猾,这使得网络威胁猎捕成为强大的网络、端点和数据集安全战略的重要组成部分。如果高级外部攻击者或内部威胁躲过了最初的网络防御系统,他们可能几个月都不会被发现。在此期间,他们可以收集敏感数据、泄露机密信息或确保登录凭证的安全,从而在网络环境中横向潜行。

安全人员再也不能坐等自动网络威胁检测系统通知他们即将发生攻击。通过网络威胁猎杀,他们可以在攻击造成破坏之前主动识别潜在的漏洞或威胁。

网络威胁猎杀如何运作?

网络威胁猎杀将人的因素与软件解决方案的大数据处理能力相结合。人类威胁猎手使用解决方案和情报/数据来寻找可能躲过典型防御的对手,他们依靠来自复杂安全监控和分析工具的数据来帮助自己主动识别和消除威胁。

人的直觉、战略和道德思维以及创造性地解决问题在网络猎杀过程中发挥着不可或缺的作用。与单纯依赖自动威胁检测工具相比,这些人类特征使组织能够更快、更准确地实施威胁解决方案。

开始猎杀威胁需要什么?

要让网络威胁猎杀发挥作用,威胁猎手必须首先建立一个预期或授权事件的基线,以便更好地识别异常情况。利用这一基线和最新的威胁情报,威胁猎手可以梳理威胁检测技术收集的安全数据和信息。这些技术包括安全信息和事件管理解决方案 (SIEM)托管检测和响应 (MDR) 或其他安全分析工具

一旦掌握了各种来源的数据(如端点、网络和云数据),威胁猎手就可以在系统中搜索潜在风险、可疑活动或偏离正常的触发因素。如果检测到已知或潜在威胁,威胁猎手可以提出假设并进行深入的网络调查。在这些调查过程中,威胁猎手会试图发现威胁是恶意的还是良性的,或者网络是否能充分防范新型网络威胁。

网络威胁猎取是威胁情报的一部分吗?

网络威胁情报侧重于分析、收集和优先处理数据,以提高我们对企业所面临威胁的了解。

Threat 狩猎调查类型

狩猎威胁调查有三种核心类型:

  • 结构化: 这种类型的网络安全狩猎基于攻击指标以及攻击者的战术、技术和程序 (TTP)。通过使用 MITRE 敌人战术、技术和常识 (ATT&CK®) 框架,结构化狩猎使威胁猎手能够在恶意行为者对网络造成危害之前将其识别出来。
  • 非结构化: 根据触发器或入侵指标(IoC),威胁猎手使用非结构化猎杀,在发现触发器或 IoC 之前和之后,在整个网络中搜索任何明显的模式。
  • 基于情景或威胁情报: 假设源于情境,例如在网络风险评估过程中发现的漏洞。利用最新的威胁情报,威胁猎手在分析网络时可以参考有关网络攻击趋势或攻击者 TTP 的内部或众包数据。

在所有这三种调查类型中,威胁猎手会通过事件搜索预期或授权事件之外的异常、弱点或可疑活动。如果发现任何安全漏洞或异常活动,猎手就可以在网络攻击发生或再次发生之前修补网络。

猎取网络威胁的四个步骤

要有效启动网络威胁猎杀计划,安全人员应遵循以下四个步骤:

  • 提出假设: Threat 猎人应根据组织基础设施中可能存在的风险或漏洞、当前的威胁情报或攻击者 TTP、可疑活动或偏离标准基线活动的触发因素提出假设。他们还可以利用自己的知识、经验和创造性解决问题的技能来建立威胁假设,并决定测试路径。
  • 开始调查:在调查过程中,威胁猎手可以利用从 SIEM、MDR 和用户实体行为分析等威胁猎取解决方案中获得的复杂的历史数据集。调查将向前推进,直到确认假设并检测到异常,或发现假设是良性的。
  • 发现新模式: 发现异常或恶意活动时,下一步就是部署快速有效的应对措施。这可能包括禁用用户、阻止 IP 地址、实施安全补丁、更改网络配置、更新授权权限或引入新的识别要求。在您的安全团队积极主动地解决网络威胁的过程中,他们将从本质上了解威胁行为者的 TTP 以及未来如何减轻这些威胁。
  • 响应、丰富和自动化:猎杀威胁的工作永无止境,因为网络犯罪分子一直在进步并制造新的网络威胁。网络威胁捕猎应成为企业内部的日常工作,与自动威胁检测技术和安全团队当前的威胁识别和修复流程一起运行。

猎取网络威胁的首要挑战是什么?

由于网络威胁猎杀采取的是一种积极主动、亲力亲为的威胁检测和修复方法,一些组织在实施这种安全实践时面临着巨大的挑战。网络威胁猎杀计划要想取得成功,组织必须具备三个和谐运作的关键要素:

  • 专家级威胁猎手: Threat 猎人必须是威胁领域专家,能够快速识别复杂攻击的警告信号。
  • 全面的数据:要正确查找威胁,猎手必须能够访问大量数据(包括当前数据和历史数据),以提供整个基础架构的可见性。如果没有这些汇总数据,威胁猎手就无法根据您的端点、网络或云基础架构创建明智的威胁假设。
  • 最新的威胁情报: Threat 猎人必须配备最新的威胁情报,使他们能够将当前的网络攻击趋势与内部数据进行比较。如果不知道存在哪些新威胁或趋势威胁,威胁猎手就无法获得必要的信息来正确分析潜在的网络威胁。

部署所有这三个组件并确保它们无缝协作需要很多组织资源。遗憾的是,一些安全团队无法获得合适的工具、人员或信息来建立一个全面的网络威胁猎杀计划。

了解OpenText Cybersecurity 的托管网络威胁狩猎服务

要成功保护企业的基础设施,需要采取积极主动的方法,而不是被动应对。仅靠自动威胁检测技术就能保护机密数据或信息的时代已经一去不复返了。取而代之的是,您的安全团队必须实施一项持续的网络威胁猎杀计划,使他们能够在外部攻击者或内部威胁造成破坏之前,提出有根据的假设并准确定位网络异常、风险或可疑活动。

您是否正在寻找一种无需投资软件和资源即可提供网络威胁搜索的托管服务?OpenText™ 安全服务公司提供时间点威胁搜索和基于订购的服务,以执行基于态势、非结构化和结构化的威胁,并识别异常、弱点和可疑活动。结合我们在风险与合规性数字取证事件响应方面的专业知识,我们的客户相信OpenText 能够提高他们的网络复原力

猎取网络威胁

立即开始

申请演示

我们能提供什么帮助?

脚注