对于世界各地的组织而言,互联网已成为与水和电一样重要的公用事业。但它也是一种无与伦比的安全威胁,是通往全球犯罪网络的诱人门户。即使在网络安全上花费了数十亿美元并且对日益增长的危险有了更高的认识,恶意黑客仍然占据上风。《 2019年Hiscox网络就绪报告》发现61%的公司报告了“网络事件”,高于前一年的45%。损失中位数也从229,000美元增加到369,000美元,其中不包括品牌损失。不断引入新的防御措施,但这些防御措施只有在发现并利用下一个弱点之前才有效。对IT网络和系统的无情攻击迫使组织寻找新的方法来识别和追捕网络威胁。网络罪犯已经开发出无数种方法来规避传统防御,因此标准方法是不够的。来回战斗中一种有效的新武器是“威胁搜寻”。这是跟踪任何异常或可疑活动并不断扫描网络以识别现有安全解决方案(例如基于签名的防病毒软件)遗漏的复杂威胁的过程。威胁搜寻的目的是检查显示入侵、渗漏或数据损坏迹象的端点和服务器上的活动。这个概念与传统措施(防火墙、防病毒软件、入侵检测系统、沙箱等)的不同之处在于它是主动的。这种方法试图追踪所有可能的威胁并将其消灭在萌芽状态,从而确保业务运营不受影响。威胁狩猎执法网络攻击者经常窃取机密帐户的登录凭据,然后转移或删除关键数据。结果可能会因丢失敏感数据甚至勒索软件而削弱业务运营。为了有效避免这些危险,必须持续进行威胁搜寻。它由一组分析师(“猎人”)执行,他们是网络安全专家,对数据和恶意软件分析、模式识别和数据取证有深入了解。在收集了大量数据后,Hunters研究网络和现有设备上的模式和行为异常。然后通过遥测源对数据进行详细处理和分析。然后猎人手动创建一个假设和行动计划。另一个好处是安全分析师可以全面了解要保护的环境。这使他们能够直观地应用创新方法。尽管需要人工操作,但如果没有技术协助,分析大量网络安全数据是不可能的。这就是为什么威胁搜寻平台,尤其是那些基于高级算法和机器学习的平台,对于检测网络或端点异常至关重要。要提供理想的解决方案,威胁猎手应始终具备以下条件:操作系统和网络协议的知识。出色的分析和报告功能。SANSInstitute的2019年威胁搜寻调查发现,很少有组织拥有专门的威胁搜寻团队,并将大部分精力集中在获取技术上。“我们怀疑这个工具在不熟练的猎人手中有多大用处,特别是如果培训不被认为是建立狩猎队的关键领域,”作者写道。但是找到那些熟练的猎人变得越来越困难。越来越难了。据Gartner称,开放网络安全职位的数量预计将从2018年的100万个增加到2020年的150万个。因素,以及猎人的优势和局限性。最后,您必须决定想要的结果是什么。机密性如果攻击者获悉了组织的安全凭证,他们只会修改或改变他们的攻击策略以避免被发现。理想情况下,威胁搜寻程序应该像攻击一样保密,以便对手认为他们未被发现。这使猎人有机会实施深思熟虑的措施,以最大限度地减少损害并迅速消除威胁。早期陷阱保护公司IT基础设施的一种创新方法是创建虚假凭证并跟踪其使用情况。一旦使用了这些凭据,威胁猎手就可以提醒利益相关者注意可能的攻击,并保护企业免受该特定方向的攻击。可扩展性随着新技术的引入,威胁场景和安全要求也必须不断发展。这对于系统灵活扩展以及采用和支持这些数字工具至关重要。所有企业威胁搜寻解决方案都必须高度敏捷和响应迅速。模拟攻击自测是威胁猎手应该定期使用的一项重要实践。要评估系统的稳健性,创建模拟攻击并记录系统渗透的速率和方式始终是一个好主意。威胁猎手可以使用这些结果来保护他们的组织。威胁搜寻的可行性基于旧观念和过时威胁的现有安全解决方案已不再足够。但威胁追踪也不会取代所有其他网络安全方法。相反,它有望成为对抗高级、持续威胁的主要工具,并填补其他技术无法填补的空白。通过更快的检测、更快的响应和成功拒绝可能中断业务运营的违规行为,保持领先于安全威胁是值得的。毕竟,当今的业务都与安全有关。
