威胁搜索是专门的安全分析人员主动寻找威胁行为者的行为,并试图在真正的损害发生之前保护他们的网络的过程. “专业化”这个词对于理解一个成功的威胁搜索策略需要什么是至关重要的, 因为这项技能需要时间来学习,而且需求量很大.
根据SANS研究所的调查, 2017年,只有31%的组织拥有专门的威胁搜寻人员. 四年后,同样的调查显示,这一比例跃升至93%. 在过去的五年里,对威胁搜寻专家的需求有所增加,这是有充分理由的. 针对企业组织的攻击正以惊人的速度增加, 我们再也不能坐以待毙了.
事实上,威胁搜索的增加也增加了许多组织的整体安全 威胁情报 能力和 安全的姿势. SANS已经看到了, 因为威胁狩猎的增加, 安全团队在持续监控方面做得越来越好, 误报也更少了.
威胁搜寻模型并不容易落实到位,有几种方法. 因此,确定特定威胁搜索的目标非常重要. 从那里开始,团队可以开始定义成功狩猎所需的技术.
那么,威胁搜寻的具体功能是什么呢? 如上所述,个体狩猎的目标是不同的. 因此,每次狩猎的细节也会如此.
让我们来看看经验丰富的安全专业人员在进行新的搜索时可能会遇到的一些更常见的元素.
数据收集和处理取决于待检验的假设或总体目标, 数据收集将来自不同类型的网络日志(DNS), 防火墙, 代理), 各种来源的 威胁检测 外围遥测和/或特定端点数据.
协作与沟通像Slack和Microsoft Teams这样的工具可以自动进入威胁搜索工作流程, 触发新的服务票证, 开始新的追捕和调查, 必要时,还可以查询单个端点或网络用户.
文件和报告记录狩猎的结果是至关重要的,不管是否成功. 不管结果如何, 此参考可以作为采取行动的基线,以便将来以类似的目标进行追捕,并帮助识别潜在的重复威胁参与者.
人类与科技尽管在任何给定的威胁搜索中都使用了相当多的自动化, 在安全组织中工作的人员将对这些自动化进行校准. 从端点遥测,到警报,到 网络流量分析, 技术提高了分析师更快地抓住洞察并更明确地关闭威胁的能力.
为了成功进行一次威胁搜捕, 正如上面所讨论的,知道狩猎的目标是什么是至关重要的. 基于确定的目标, 搜索类型通常会分解为下面讨论的下列格式之一.
这种威胁搜寻过程通常由观察到异常事件的安全组织成员启动, 随着时间的推移,频率越来越高. 从那里, 团队可以开始对可能发生的事情形成一个假设,如果这个假设实际上是可测试的. 这将有助于确认是否存在恶意活动.
现在让我们来看看一些特定的工具和过程,猎人可以通过这些工具和过程来测试一个假设,并确定威胁是否确实存在.
A SIEM 平台可以通过集中检测安全问题, 关联, 通过网络分析数据. SIEM的核心功能包括 日志管理 以及集中化、安全事件检测和报告以及搜索功能.
分析将端点数据与复杂的用户分析和威胁情报相关联,以检测可疑的端点活动,以及特定用户是否意识到其系统上的活动.
这组工具监视网络可用性和活动,以识别异常, 包括安全和操作问题. 它们允许猎人收集网络上正在发生的实时和历史记录.
通过保持实时威胁源的可见性, 猎人将熟悉与他们的环境最相关的潜在威胁,因此知道如何更好地防御这些威胁.
理想情况下,威胁猎人会使用云安全工具来监控特别容易受到风险影响的多云和混合云环境. 通过摄取数据,如用户活动, 日志, 和端点, 分析师应该能够获得业务IT足迹和任何可疑活动的清晰快照.
分析用户行为的过程包括收集用户每天产生的网络事件的洞察力. 一旦收集和分析,这些事件可以用来 检测受损凭证的使用情况、横向移动和其他恶意行为.
当利用正确的工具来测试一个精心制定的特定假设时,需要采取哪些特定的威胁搜索步骤?
收集正确的数据识别并最终自动化收集数据的过程是至关重要的,这些数据将使行动成为可能. 如果安全团队怀疑恶意活动,他们会想要收集和检查 法医工件 从整个网络. 这个过程的一部分是有效地分类和分析法医证据,以快速确定事件的根本原因.
自定义查询和规则:一些威胁搜索管理服务合作伙伴或解决方案将内置查询和规则-根据定义的标准自动显示警报-以快速帮助威胁猎人搜索众所周知的漏洞和/或威胁参与者. 然而, 它有助于维护安全团队自定义这些查询的能力,以便他们提出最符合商定假设的问题.
随时了解战术、技术和程序威胁搜索技术应根据威胁行为者目前使用的ttp不断发展. 虽然不总是那么容易发现, 对对抗行为的持续研究将使安全防御者保持积极主动, 锋利的, 并准备好.
当然, 不断掌握TTP研究和其他情报来源是一项艰巨的任务, 在哪些方面,管理威胁搜索合作伙伴可以帮助加快这一过程,并潜在地支持威胁情报计划的成功.