即使在網(wǎng)絡(luò)安全上花費(fèi)了數(shù)十億美元,并且對(duì)不斷增長(zhǎng)的危險(xiǎn)也有了高度的了解,惡意黑客仍然占據(jù)了上風(fēng)?!?019年Hiscox網(wǎng)絡(luò)就緒報(bào)告》發(fā)現(xiàn),有61%的公司報(bào)告了“網(wǎng)絡(luò)事件”,與上一年的45%相比有所增加。損失中位數(shù)也從229,000美元增加到369,000美元,這還不包括品牌損失。1個(gè)
不斷引入新的防御措施,但是這些防御措施只有在發(fā)現(xiàn)和利用下一個(gè)弱點(diǎn)之前才能發(fā)揮作用。
對(duì)IT網(wǎng)絡(luò)和系統(tǒng)的無(wú)情攻擊使組織必須找到識(shí)別和追捕網(wǎng)絡(luò)威脅的新方法。網(wǎng)絡(luò)犯罪分子已經(jīng)開(kāi)發(fā)出了無(wú)數(shù)種避免傳統(tǒng)防御措施的方法,因此標(biāo)準(zhǔn)方法還不夠。
在來(lái)回戰(zhàn)斗中,一種有效的新武器是“威脅搜尋”。這是跟蹤任何異?;蚩梢苫顒?dòng)并不斷掃描網(wǎng)絡(luò)以識(shí)別現(xiàn)有安全解決方案(例如基于簽名的防病毒軟件)所遺漏的復(fù)雜威脅的過(guò)程。威脅搜尋的目的是檢查端點(diǎn)和服務(wù)器上的活動(dòng),這些活動(dòng)顯示出入侵,滲漏或數(shù)據(jù)損壞的跡象。
使該概念與傳統(tǒng)措施(防火墻,防病毒軟件,入侵檢測(cè)系統(tǒng),沙箱等)不同的原因在于,它是主動(dòng)的。這種方法試圖跟蹤所有可能的威脅并將其扼殺在萌芽狀態(tài),從而確保業(yè)務(wù)運(yùn)營(yíng)不受影響。
威脅搜尋實(shí)施
網(wǎng)絡(luò)攻擊者經(jīng)常竊取機(jī)密帳戶的登錄憑據(jù),然后轉(zhuǎn)移或刪除關(guān)鍵數(shù)據(jù)。結(jié)果可能會(huì)由于丟失敏感數(shù)據(jù)甚至勒索軟件而癱瘓業(yè)務(wù)運(yùn)營(yíng)。
為了有效避免這些危險(xiǎn),必須連續(xù)不斷地進(jìn)行威脅搜尋。它是由一組分析人員(“獵人”)執(zhí)行的,他們是網(wǎng)絡(luò)安全專家,他們對(duì)數(shù)據(jù)和惡意軟件分析,模式識(shí)別和數(shù)據(jù)取證有深入的了解。
收集大量數(shù)據(jù)后,獵人便研究網(wǎng)絡(luò)和現(xiàn)有設(shè)備上的模式和行為異常。然后通過(guò)遙測(cè)源對(duì)數(shù)據(jù)進(jìn)行詳細(xì)處理和分析。然后,獵人手動(dòng)創(chuàng)建一個(gè)假設(shè)和行動(dòng)計(jì)劃。
另外一個(gè)好處是,安全分析師可以全面了解要保護(hù)的環(huán)境。這使他們能夠直觀地應(yīng)用創(chuàng)新方法。
盡管需要人工操作,但在沒(méi)有技術(shù)幫助的情況下分析大量網(wǎng)絡(luò)安全數(shù)據(jù)是不可能的。這就是為什么威脅搜尋平臺(tái)(尤其是基于高級(jí)算法和機(jī)器學(xué)習(xí)的威脅搜尋平臺(tái))對(duì)于檢測(cè)網(wǎng)絡(luò)或端點(diǎn)異常至關(guān)重要。
為了提供理想的解決方案,威脅獵人應(yīng)始終具備以下條件:
了解操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議。
出色的分析和報(bào)告能力。
SANS研究所的2019年威脅搜尋調(diào)查發(fā)現(xiàn),很少有組織成立專門(mén)的威脅搜尋團(tuán)隊(duì)并將大部分精力集中在獲取技術(shù)上。
這組作者寫(xiě)道:“我們懷疑這種工具在沒(méi)有技能的獵人手中有多有用,特別是如果培訓(xùn)不被認(rèn)為是建立一支狩獵隊(duì)的關(guān)鍵領(lǐng)域。”
但是,找到那些熟練的獵人變得越來(lái)越困難。根據(jù)Gartner的數(shù)據(jù),空缺的網(wǎng)絡(luò)安全職位數(shù)量預(yù)計(jì)將從2018年的100萬(wàn)增加到2020年的150萬(wàn)。
跟蹤威脅
威脅獵人必須對(duì)所保護(hù)的環(huán)境,其系統(tǒng)和網(wǎng)絡(luò),安全原因,危險(xiǎn)因素以及獵人的優(yōu)勢(shì)和局限有深刻的了解。最后,您必須決定什么是理想的結(jié)果。
保密
如果攻擊者獲悉企業(yè)的安全證書(shū),他們將僅修改或更改其攻擊策略以避免被發(fā)現(xiàn)。理想情況下,威脅搜尋程序應(yīng)與攻擊一樣私有,以使敵方認(rèn)為它們未被發(fā)現(xiàn)。這為獵人提供了實(shí)施深思熟慮的措施的機(jī)會(huì),以很大程度地減少損害并迅速消除威脅。
早期陷阱
保護(hù)公司IT基礎(chǔ)架構(gòu)的一種創(chuàng)新方法是創(chuàng)建偽造的憑證并跟蹤其使用情況。一旦使用了這些憑據(jù),威脅搜尋者就可以提醒利益相關(guān)者可能的攻擊,并從該特定方向保護(hù)企業(yè)。
可擴(kuò)展性
隨著新技術(shù)的引入,威脅場(chǎng)景和安全要求必須發(fā)展。這對(duì)于系統(tǒng)靈活地?cái)U(kuò)展并采用和支持這些數(shù)字工具至關(guān)重要。所有企業(yè)的威脅搜尋解決方案都必須具有高度的敏捷性和響應(yīng)能力。
模擬攻擊
自我測(cè)試是重要的實(shí)踐,威脅搜尋者應(yīng)定期使用。要評(píng)估系統(tǒng)的健壯性,創(chuàng)建模擬攻擊并記錄系統(tǒng)滲透的速率和方式始終是一個(gè)好主意。威脅搜尋者可以使用這些結(jié)果來(lái)保護(hù)其組織。
威脅搜尋的可行性
基于舊的心態(tài)和過(guò)時(shí)的威脅的現(xiàn)有安全解決方案已不再足夠。但是威脅搜尋也不會(huì)替代所有其他網(wǎng)絡(luò)安全方法。取而代之的是,它有望成為對(duì)抗高級(jí),持續(xù)性威脅并填補(bǔ)其他技術(shù)所無(wú)法彌補(bǔ)的空白的領(lǐng)先工具。
通過(guò)快速檢測(cè),更快的響應(yīng)以及成功拒絕可能破壞業(yè)務(wù)運(yùn)營(yíng)的漏洞,可以提前抵御安全威脅的回報(bào)。畢竟,今天的企業(yè)只具有安全性。
