脅威ハンティング是一个由专业的安全分析师主动跟踪威胁行为者的行为,并在实际损害发生之前对网络进行防御的过程。。“专业”这个词对于理解成功实施脅威ハンティング战略的必要因素非常重要。。因为学习这些技能需要很长时间,而且需求量很大。。
根据SANS Institute的调查,2017年只有31%的组织配备了专门负责脅威ハンティング的人员,但在4年后的同一调查中,这一数字已经上升到了93%。。在过去的半个世纪里,我们越来越需要威胁猎杀专家,这是有理由的。。针对企业组织的攻击火力正以惊人的速度增长,等到攻击爆发再去应对已经太晚了。。
事实上,越来越多的脅威ハンティング 智能 能力和 安保态势也能提高我们的能力。。 SANS表示,由于脅威ハンティング的增加,安全团队改进了持续监控,减少了错误检测。。
脅威ハンティング模式的实施并不容易,有多种方法。。因此,明确脅威ハンティング的目标是非常重要的。。然后团队可以开始定义狩猎成功所需要的技术。。
那么,脅威ハンティング的具体功能是什么呢?。如上所述,每一个狩猎的目的都是不同的,每个狩猎的细节也是不同的。。
让我们来看看经验丰富的安全专家在进行新狩猎时可能会考虑的一些比较常见的因素。。
不同类型的网络日志(DNS,防火墙,代理),跨越边界,取决于测试对象的假设和总体目标威胁检测从不同的远距数据来源,特定的端点数据等等收集数据。。
SlackやMicrosoft Teamsなどのツールは脅威ハンティングワークフローの自動化に統合でき、新しい服务チケットをトリガーし、新しいハンティングと調査を開始したり、必要に応じて個々のエンドポイントやネットワークユーザーに対してクエリを実行したりすることができます。
无论狩猎成功与否,重要的是将结果书面化。。不管最终结果如何,事先准备好这些参考信息,今后在以同样的目标进行狩猎时,就有了行动的基础,有助于确定威胁行为者反复出现的可能性。。
无论是什么样的脅威ハンティング,都大量使用自动化,而协调这些自动化的是在安全组织中工作的人。。从端点遥测到警报,网络流量分析科技增强了分析师更快速的洞察和更可靠的拦截威胁的能力。。
为了成功进行脅威ハンティング,我们必须知道狩猎的目的是什么。。狩猎的类型通常根据确定的目标分为以下几种形式。。
这个脅威ハンティング过程通常是由安全组织的成员发起的,他们负责监视异常事件,并且随着时间的推移,频率会越来越高。。从这个时候开始,团队就可以开始建立假说,了解发生了什么,以及这个假说是否可以被验证。。这样的假设可以帮助我们确定恶意活动的存在是否合理。。
现在,让我们来看看一些具体的工具和过程,这些工具可以帮助猎人验证假设,判断威胁是否真的存在。。
siem平台可以对整个网络的数据进行统一、关联和分析,从而检测出安全问题。。siem的核心功能包括: 日志的管理 和一元化,安全事件检测和报告,搜索功能。。
通过分析将端点数据与高级用户分析和威胁情报相关联,以检测特定用户是否意识到系统上的活动,以及可疑端点活动。应。
这个工具集监视网络的可用性和活动,确定异常情况,例如安全性和运营问题。。这样,猎人就可以通过实时记录和历史记录来收集网络上发生的事情。。
通过保持实时威胁来源的可视性,猎人可以掌握与自己的环境最相关的潜在威胁,从而更好地应对这些威胁。。
最理想的是使用云安全工具来监视多重混合云环境,其中威胁猎人特别容易受到风险的影响。。分析师需要通过获取用户活动、日志、端点等数据,获取本公司IT足迹和可疑活动的明确全貌的工具。。
分析用户行为的过程包括收集用户每天产生的网络事件的洞察。。通过收集和分析这些事件,检测使用被侵犯的认证信息、水平展开和其他恶意行为都可以使用。。
在使用合适的工具测试具体的假设时,我们应该采取怎样的脅威ハンティング步骤呢?。
识别导致行为的数据,并最终实现收集过程的自动化是非常重要的。。如果安全团队怀疑恶意活动的存在,取证伪影收集并检查。。作为这个过程的一环,我们需要高效地处理和分析证据,并迅速找出事故的根本原因。。
承接威胁猎取的管理服务合作伙伴和解决方案中,包含了根据定义的标准自动显示警报的查询和规则,威胁猎手可以利用漏洞利用和威胁猎手帮助我们快速搜索-。 它可以帮助安全团队定制这些查询,并保持它们的功能以提出最适合假设的问题。。
脅威ハンティング技术需要根据威胁行为者当前使用的TTP不断进化。。实际上并不容易发现,但持续调查敌对行动可以让安全防御人员保持积极、敏锐和随时做好准备。。
当然,持续掌握TTP调查和其他情报源是很困难的,但是管理脅威ハンティング合作伙伴可以加快进程,帮助威胁情报项目取得成功。都有可能。。