技術主題

什麼是網路威脅搜尋?

以筆記型電腦為重點的 IT 專案插圖

概述

網路威脅搜尋是一種前瞻性的互聯網安全方法,威脅獵手主動搜索隱藏在組織網路中的安全風險。與更被動的網路安全搜尋策略(如自動威脅檢測系統)不同,網路搜尋會主動尋找以前未檢測到的、未知的或未修復的威脅,這些威脅可能會規避網路的自動防禦系統。

網路威脅搜尋

什麼是混合IT?

網路犯罪分子變得比以往任何時候都更加複雜,這使得網路威脅搜尋成為強大的網路、端點和數據集安全策略的重要組成部分。如果高級外部攻擊者或 內部威脅 躲避了初始網路防禦系統,它們可能會在數月內未被發現。在此期間,他們可以收集敏感數據、洩露機密資訊或 保護登錄憑據 ,使他們能夠橫向潛入您的網路環境。

安全人員不能再坐以待斃,等待自動網路威脅檢測系統通知他們即將發生的攻擊。通過網路威脅搜尋,他們可以在攻擊造成損害之前主動識別潛在的漏洞或威脅。

網路威脅搜尋如何運作?

網路威脅搜尋將人為因素與軟體解決方案的大數據處理能力相結合。人類威脅獵人(使用解決方案和情報/數據來尋找可能逃避典型防禦的對手)依靠來自複雜 安全監控和分析 工具的數據來幫助他們主動識別和消除威脅。

人類的直覺、戰略和道德思維以及創造性的問題解決在網路狩獵過程中發揮著不可或缺的作用。這些人性化特徵使組織能夠更快、更準確地實施威脅解決方案,而不是僅僅依賴自動化 威脅檢測工具

開始威脅搜尋需要什麼?

要使網路威脅搜尋發揮作用,威脅搜尋者必須首先建立預期或授權事件的基線,以更好地識別異常情況。使用此基線和最新的威脅情報,威脅獵人可以梳理威脅檢測技術收集的安全數據和資訊。這些技術可以包括安全資訊和事件管理解決方案 (SIEM)、託管檢測和回應 (MDR) 或其他安全分析工具

一旦配備了來自不同來源的數據(例如端點、網路和雲數據),威脅獵人就可以在您的系統中搜索潛在風險、可疑活動或偏離常態的觸發因素。如果檢測到已知或潛在威脅,威脅獵人可以提出假設並進行深入的網路調查。在這些調查過程中,威脅獵人試圖發現威脅是惡意的還是良性的,或者網路是否得到了充分保護,免受新型網路威脅的侵害。

網路威脅搜尋是威脅情報的一部分嗎?

網路威脅情報側重於數據的分析、收集和優先順序排序,以提高我們對企業面臨的威脅的理解。

威脅搜尋調查類型

有三種核心威脅搜尋調查類型:

  • 結構: 這種類型的網路安全搜尋基於攻擊指標以及攻擊者的策略、技術和程式 (TTP)。使用 MITRE 對手戰術技術和常識 (ATT&CK®) 框架,結構化搜尋使威脅獵人能夠在惡意行為者損害網路之前識別他們。
  • 非: 根據觸發器或入侵指示器 (IoC),威脅獵人使用非結構化搜尋在發現觸發器或 IoC 之前和之後在整個網路中搜索任何明顯的模式。
  • 基於情境或威脅情報: 假設來自情境情況,例如在網路風險評估期間發現的漏洞。借助最新的威脅情報,威脅獵人可以在分析其網路時參考有關網路攻擊趨勢或攻擊者 TTP 的內部或眾包數據。

在所有這三種調查類型中,威脅獵人都會在事件中搜索預期或授權事件之外的異常、弱點或可疑活動。如果發現任何安全漏洞或異常活動,獵人可以在網路攻擊發生或再次發生之前修補網路。

網路威脅搜尋的四個步驟

為了有效地啟動網路威脅搜尋計劃,安全人員應遵循四個步驟:

  • 提出一個假設: 威脅獵人應根據組織基礎結構中可能存在的風險或漏洞、當前威脅情報或攻擊者 TTP,或者來自可疑活動或偏離標準基線活動的觸發器來制定假設。他們還可以利用自己的知識、經驗和創造性解決問題的技能來建立威脅假設,並決定測試它的前進路徑。
  • 開始調查: 在調查期間,威脅獵人可以依靠從威脅搜尋解決方案(如 SIEM、 MDR 和使用者實體行為分析)派生的複雜歷史數據集。調查將向前推進,直到假設得到證實並檢測到異常,或者發現假設是良性的。
  • 發現新模式: 當發現異常或惡意活動時,下一步是部署快速有效的回應。這可能包括禁用使用者、阻止IP位址、實施安全補丁、更改網路配置、更新授權許可權或引入新的身份要求。當您的安全團隊努力主動解決網路威脅時,他們將從本質上瞭解威脅參與者的TTP以及他們將來如何緩解這些威脅。
  • 回應、豐富和自動化: 威脅搜尋的工作永無止境,因為網路犯罪分子總是在推進並製造新的網路威脅。網路威脅搜尋應成為組織內的日常做法,與自動威脅檢測技術以及安全團隊當前的威脅識別和修正流程一起運行。

網路威脅搜尋面臨的最大挑戰是什麼?

由於網路威脅搜尋採用主動、動手的方法來檢測和修復威脅,因此一些組織在實施此安全實踐時面臨重大挑戰。要使網路威脅搜尋計劃取得成功,組織必須具有三個關鍵組成部分,以協調工作:

  • 專家威脅獵人:網路威脅搜尋所涉及 的人力資本 可以說是最關鍵的組成部分。威脅獵人必須是威脅領域的專家,並且能夠快速識別複雜攻擊的警告信號。
  • 綜合數據: 為了正確尋找威脅,獵人必須能夠訪問大量數據(包括當前和歷史數據),以提供整個基礎設施的可見性。如果沒有這些聚合數據,威脅獵人將無法根據您的端點、網路或雲基礎架構創建明智的威脅假設。
  • 最新的威脅情報: 威脅獵手必須配備最新的威脅情報,使他們能夠將當前的網路攻擊趨勢與內部數據進行比較。如果不知道存在哪些新的或趨勢的威脅,威脅獵人將無法獲得正確分析潛在網路威脅的必要資訊。

部署所有這三個元件並確保它們無縫協同工作需要許多組織資源。不幸的是,一些安全團隊無法獲得正確的工具、人員或資訊來建立全面的網路威脅搜尋計劃。

發現託管網路威脅搜尋 OpenText 網路安全

成功保護組織的基礎架構需要主動方法,而不是被動方法。自動威脅檢測技術本身就足以保護機密數據或資訊的日子已經一去不復返了。相反,您的安全團隊必須實施持續的 網路威脅搜尋計劃 ,使他們能夠在外部攻擊者或內部威脅造成損害之前創建明智的假設並查明網路異常、風險或可疑活動。

正在尋找一種託管服務來提供網路威脅搜尋,而無需投資軟體和資源? OpenText™ 安全服務 提供時間點威脅搜尋和基於訂閱的服務,以執行基於情境、非結構化和結構化的威脅,並識別異常、弱點和可疑活動。結合我們在 風險和合規數位取證事件回應方面的專業知識,我們的客戶信賴 OpenText 以提高他們的 網路彈性

網路威脅搜尋

今天就開始吧。

申請演示

我們能提供什麼協助?

腳注