在刚刚结束的RSA大会上,研究人员表示,如果实施得当,威胁狩猎可以帮助企业在威胁面前保持领先。许多已经实施网络威胁搜寻功能的组织并没有从中获得全部好处,要么是因为他们缺乏必要的技能组合,要么是因为他们没有将其完全纳入其网络安全计划的一部分。DigitalGuardian首席信息安全官兼托管安全服务副总裁TimBandos表示,公司常犯的错误包括低估所需时间和没有获得自上而下的支持。“威胁搜寻,无论是在内部还是通过托管服务提供商,都是整体网络安全战略的重要组成部分,”Bandos说。“威胁搜寻不是等待事件发生,而是为企业提供了一种响应方式,通过设置陷阱和寻找环境中暗示可疑活动的行为来主动寻找潜在问题。”他说,“但除非它是你计划的正式部分,否则你不太可能在这方面取得成功。为了保持对新兴威胁的日益增长的兴趣。安全研究人员将其描述为为企业提供了一种尝试检测可能已经漏掉或绕过入侵检测和预防控制的威胁。威胁搜索的想法是假设已经发生了违规行为,然后使用攻击者可能使用的相同技术来追踪它可能拥有的所有不同方式重点不是孤立地追捕已知威胁,而是发现新威胁。Gartner此前曾描述过网络威胁追捕的作用,特别是对于已经最大限度地提高警报分类、检测和响应流程的组织,并且正在希望进一步改善他们的安全态势。Bandos表示,威胁搜寻是企业的一项持续努力,使用MITRE的ATT&CK框架等资源作为起点。这个framework提供了不同的技术和子技术,威胁参与者通常将其用作攻击链的一部分。安全团队可以在他们的环境中搜索任何用于启用或混淆恶意活动迹象的技术,并从中学到很多东西。“你可以花整整一周的时间在你的环境中搜索任何这些技术并深入挖掘,”他说。“同样,企业可以从其端点环境的日志中学到很多东西,或者通过分析过去一周可能创建的所有帐户,将合法帐户与可能更可疑的帐户区分开来。成功的威胁搜寻需要了解新的以及新兴的攻击者策略、技术和程序。同样,它需要愿意不断回顾旧技术,因为攻击者通常倾向于坚持他们熟悉的、以前对他们有用的策略。为了有效地追踪威胁,安全团队需要有一个可靠的数据源,例如一个安全信息和事件管理系统,它具有来自多个来源的集中日志。即使是来自各个环境的日志——例如端点检测和响应、防病毒工具、网络和数据丢失防护(DLP)系统——也足以进行威胁搜寻。一旦定义了数据源,威胁猎手就需要使用不同的技术来搜索它。例如,目标可能是寻找环境中的凭据倾销迹象。“你将你所知道的关于凭证转储和命令的所有威胁情报汇集在一起??,并围绕你在这些日志中积极寻找的内容构建一个剧本,”他说。同样的方法可以应用于MITREATT&CK等框架中出现的每一种不同的攻击技术。”他说:“我将从专注于一种特定技术开始,然后从那里突破到可以从环境中的每个端点收集特定工件,并搜索这些数据的程度。”那是你开始改进的时候你在威胁搜寻方面的能力。他举了个例子,他指的是存储在所有机器上的应用程序兼容性缓存。缓存中包含了特定机器上运行的所有进程的记录。仅围绕这个数据源,企业就可以开展正确的技能组合为了做好这项工作,威胁猎手需要对安全架构、资产安全、应用程序安全和其他基础知识有深入的了解。他们还需要一定程度的事件响应技能,包括日志分析、恶意软件分析、取证和威胁情报处理。此外,威胁猎手需要分析技能、耐心和不懈努力,Bandos说。这项工作可能很乏味,而那些不这样做的人拥有正确的态度会很快变得沮丧。狩猎威胁的一项挑战是衡量成功与否。有时可能不清楚威胁搜寻演习是否没有产生任何结果,因为演习本身没有正确完成,或者因为真的没有什么可发现的。特别是在较小的环境中,威胁猎手可能经常无法发现任何新的或隐藏的威胁。
