网络威胁猎杀是一种前瞻性的互联网安全方法,威胁猎杀者会主动搜索隐藏在组织网络中的安全风险。与自动威胁检测系统等较为被动的网络安全猎杀策略不同,网络猎杀会主动寻找以前未被发现、未知或未修复的威胁,这些威胁可能会躲过网络自动防御系统。
网络犯罪分子比以往任何时候都更加狡猾,这使得网络威胁猎捕成为强大的网络、端点和数据集安全战略的重要组成部分。如果高级外部攻击者或内部威胁躲过了最初的网络防御系统,他们可能几个月都不会被发现。在此期间,他们可以收集敏感数据、泄露机密信息或确保登录凭证的安全,从而在网络环境中横向潜行。
安全人员再也不能坐等自动网络威胁检测系统通知他们即将发生攻击。通过网络威胁猎杀,他们可以在攻击造成破坏之前主动识别潜在的漏洞或威胁。
网络威胁猎杀将人的因素与软件解决方案的大数据处理能力相结合。人类威胁猎手使用解决方案和情报/数据来寻找可能躲过典型防御的对手,他们依靠来自复杂安全监控和分析工具的数据来帮助自己主动识别和消除威胁。
人的直觉、战略和道德思维以及创造性地解决问题在网络猎杀过程中发挥着不可或缺的作用。与单纯依赖自动威胁检测工具相比,这些人类特征使组织能够更快、更准确地实施威胁解决方案。
要让网络威胁猎杀发挥作用,威胁猎手必须首先建立一个预期或授权事件的基线,以便更好地识别异常情况。利用这一基线和最新的威胁情报,威胁猎手可以梳理威胁检测技术收集的安全数据和信息。这些技术包括安全信息和事件管理解决方案 (SIEM)、托管检测和响应 (MDR) 或其他安全分析工具。
一旦掌握了各种来源的数据(如端点、网络和云数据),威胁猎手就可以在系统中搜索潜在风险、可疑活动或偏离正常的触发因素。如果检测到已知或潜在威胁,威胁猎手可以提出假设并进行深入的网络调查。在这些调查过程中,威胁猎手会试图发现威胁是恶意的还是良性的,或者网络是否能充分防范新型网络威胁。
网络威胁猎取是威胁情报的一部分吗?
网络威胁情报侧重于分析、收集和优先处理数据,以提高我们对企业所面临威胁的了解。
狩猎威胁调查有三种核心类型:
在所有这三种调查类型中,威胁猎手会通过事件搜索预期或授权事件之外的异常、弱点或可疑活动。如果发现任何安全漏洞或异常活动,猎手就可以在网络攻击发生或再次发生之前修补网络。
要有效启动网络威胁猎杀计划,安全人员应遵循以下四个步骤:
由于网络威胁猎杀采取的是一种积极主动、亲力亲为的威胁检测和修复方法,一些组织在实施这种安全实践时面临着巨大的挑战。网络威胁猎杀计划要想取得成功,组织必须具备三个和谐运作的关键要素:
部署所有这三个组件并确保它们无缝协作需要很多组织资源。遗憾的是,一些安全团队无法获得合适的工具、人员或信息来建立一个全面的网络威胁猎杀计划。
要成功保护企业的基础设施,需要采取积极主动的方法,而不是被动应对。仅靠自动威胁检测技术就能保护机密数据或信息的时代已经一去不复返了。取而代之的是,您的安全团队必须实施一项持续的网络威胁猎杀计划,使他们能够在外部攻击者或内部威胁造成破坏之前,提出有根据的假设并准确定位网络异常、风险或可疑活动。
您是否正在寻找一种无需投资软件和资源即可提供网络威胁搜索的托管服务?OpenText™ 安全服务公司提供时间点威胁搜索和基于订购的服务,以执行基于态势、非结构化和结构化的威胁,并识别异常、弱点和可疑活动。结合我们在风险与合规性、数字取证和事件响应方面的专业知识,我们的客户相信OpenText 能够提高他们的网络复原力。
精准防守,自信保障
利用实时关联和本地 SOAR 加快威胁检测和响应速度
主动检测内部风险、新型攻击和高级持续性威胁
通过深入的、可操作的安全洞察力加速威胁检测
利用开放式平台实时收集和丰富数据,提供有条理的信息,供您随时随地使用
发现并应对重要的网络威胁