虹科分享丨網(wǎng)絡(luò)安全知識(shí)專欄：關(guān)于“威脅狩獵”你需要知道的一些事

什么是威脅狩獵

網(wǎng)絡(luò)威脅狩獵是指一種主動(dòng)尋找和識(shí)別網(wǎng)絡(luò)中潛在威脅的活動(dòng)。它是一種針對(duì)已知和未知威脅的持續(xù)監(jiān)測(cè)和調(diào)查過程，旨在發(fā)現(xiàn)那些可能

已經(jīng)逃避傳統(tǒng)安全防御措施的威脅行為。

SANS研究所將威脅狩獵定義為：

從本質(zhì)上講，威脅狩獵是一種主動(dòng)識(shí)別攻擊跡象的方法，與之相反，安全運(yùn)營中心（SOC）的分析師則采取了更加被動(dòng)的方法。具有完善狩獵團(tuán)隊(duì)的組織更有可能在攻擊早期就抓住攻擊者。威脅狩獵人員利用工具和豐富的經(jīng)驗(yàn)來主動(dòng)“過濾”網(wǎng)絡(luò)和終端數(shù)據(jù)，持續(xù)尋找可疑的異常值或正在進(jìn)行的攻擊的痕跡。他們利用威脅情報(bào)來更好地了解攻擊者的戰(zhàn)術(shù)、技術(shù)和過程（TTP）。最重要的是，威脅狩獵人員會(huì)就可能發(fā)生的攻擊如何建立假設(shè)，并搜索數(shù)據(jù)以證明該假設(shè)

網(wǎng)絡(luò)威脅狩獵通常涉及以下活動(dòng)：

1、數(shù)據(jù)分析

對(duì)網(wǎng)絡(luò)和系統(tǒng)的日志、事件和流量數(shù)據(jù)進(jìn)行深入分析，尋找異常模式、異常行為或其他異常跡象。

2、威脅情報(bào)利用

利用外部威脅情報(bào)（如公開的漏洞信息、惡意IP地址、惡意軟件樣本等）來指導(dǎo)狩獵活動(dòng)，并與內(nèi)部數(shù)據(jù)進(jìn)行對(duì)比。

3、指標(biāo)定義

定義潛在的威脅指標(biāo)（Threat Indicators），例如特定的網(wǎng)絡(luò)活動(dòng)、行為模式或異常事件，以幫助識(shí)別威脅。

4、線索追蹤

通過跟蹤和分析各種線索，如異常登錄、異常網(wǎng)絡(luò)通信、不尋常的文件操作等，來尋找潛在的攻擊行為或惡意活動(dòng)。

5、威脅模型開發(fā)

根據(jù)已知的攻擊模式、技術(shù)和威脅行為，構(gòu)建威脅模型，以指導(dǎo)狩獵活動(dòng)，并發(fā)現(xiàn)類似的威脅行為。

6、響應(yīng)和修復(fù)

如果發(fā)現(xiàn)潛在的威脅或惡意活動(dòng)，及時(shí)采取措施進(jìn)行響應(yīng)、調(diào)查和修復(fù)。

威脅狩獵的核心思想

威脅狩獵的關(guān)鍵是觀念的轉(zhuǎn)變，從關(guān)注攻擊者轉(zhuǎn)向關(guān)注自身。企業(yè)的業(yè)務(wù)通常是有規(guī)律可循的，即使大量數(shù)據(jù)產(chǎn)生，如果安全人員持續(xù)觀察自身業(yè)務(wù)，也能發(fā)現(xiàn)微妙的變化。

無論攻擊者采用何種入侵方式，入侵后必然會(huì)破壞系統(tǒng)或竊取數(shù)據(jù)，這將打亂業(yè)務(wù)規(guī)律或產(chǎn)生異常。若安全人員將精力集中在自身上，深入了解自身，找到自身的規(guī)律，任何攻擊者的行動(dòng)都能得到反映。這即是威脅狩獵的核心思想，通過采集自身的精細(xì)數(shù)據(jù)，深度分析并總結(jié)出的規(guī)律和運(yùn)轉(zhuǎn)狀態(tài)，以發(fā)現(xiàn)異常情況。

為什么狩獵威脅很重要

在當(dāng)今復(fù)雜的數(shù)字環(huán)境中，網(wǎng)絡(luò)威脅在不斷發(fā)展，僅靠傳統(tǒng)的防御機(jī)制是不夠的。威脅狩獵提供了額外的安全層，以下是它至關(guān)重要的幾個(gè)原因：

? 主動(dòng)防御

威脅狩獵不是等待警報(bào)，而是主動(dòng)搜索潛在威脅，從而加快檢測(cè)和響應(yīng)速度。

? 高級(jí)威脅檢測(cè)

威脅狩獵可以檢測(cè)傳統(tǒng)方法經(jīng)常遺漏的高級(jí)和持續(xù)威脅。

? 降低風(fēng)險(xiǎn)

威脅狩獵可以通過更早地識(shí)別威脅來減輕損害并降低風(fēng)險(xiǎn)。

? 更好地了解威脅

威脅狩獵可以幫助您的組織了解其面臨的威脅類型，從而改進(jìn)未來的防御和策略。

威脅狩獵技術(shù)能用到的工具

您使用的工具取決于您的組織的攻擊面以及您希望保護(hù)的程度。有幾種工具可以幫助進(jìn)行網(wǎng)絡(luò)威脅搜索，例如SIEM系統(tǒng)、EDR系統(tǒng)、人工智能和機(jī)器學(xué)習(xí)以及威脅情報(bào)平臺(tái)。

安全信息和事件管理 （SIEM） 系統(tǒng)

安全信息和事件管理 （SIEM） 系統(tǒng)是網(wǎng)絡(luò)安全中不可或缺的工具，可對(duì)組織網(wǎng)絡(luò)中生成的安全警報(bào)進(jìn)行實(shí)時(shí)分析。這些系統(tǒng)收集和聚合跨網(wǎng)絡(luò)硬件和軟件基礎(chǔ)架構(gòu)（從主機(jī)系統(tǒng)和應(yīng)用程序到網(wǎng)絡(luò)和安全設(shè)備）生成的日志數(shù)據(jù)。通過識(shí)別可能暗示安全威脅的模式和異常，SIEM 工具有助于檢測(cè)和響應(yīng)事件，為合規(guī)性報(bào)告提供有價(jià)值的數(shù)據(jù)并改善整體安全狀況。

端點(diǎn)檢測(cè)和響應(yīng) （EDR） 系統(tǒng)

端點(diǎn)檢測(cè)和響應(yīng) （EDR） 系統(tǒng)是監(jiān)控和分析端點(diǎn)設(shè)備活動(dòng)的網(wǎng)絡(luò)安全工具，以識(shí)別、預(yù)防和響應(yīng)潛在威脅。這些系統(tǒng)從端點(diǎn)收集和存儲(chǔ)數(shù)據(jù)，采用高級(jí)分析來檢測(cè)可疑行為或入侵指標(biāo)。在發(fā)生安全事件時(shí)，EDR 系統(tǒng)提供全面的洞察和響應(yīng)功能，使安全團(tuán)隊(duì)能夠快速調(diào)查和緩解威脅。

人工智能和機(jī)器學(xué)習(xí)工具

人工智能 （AI） 和機(jī)器學(xué)習(xí) （ML）工具是用于創(chuàng)建能夠從數(shù)據(jù)中學(xué)習(xí)、進(jìn)行預(yù)測(cè)和自動(dòng)化決策過程的系統(tǒng)。人工智能是機(jī)器執(zhí)行通常需要人類智能的任務(wù)的更廣泛概念，而 ML 是人工智能的一個(gè)子集，涉及使用算法解析數(shù)據(jù)、從中學(xué)習(xí)，然后做出決定或預(yù)測(cè)。這些工具廣泛應(yīng)用于從醫(yī)療保健到金融的各個(gè)行業(yè)，推動(dòng)了圖像識(shí)別、自然語言處理和預(yù)測(cè)分析等領(lǐng)域的進(jìn)步。

威脅情報(bào)平臺(tái)

威脅情報(bào)平臺(tái) （TIP） 是一種安全工具，可幫助組織收集、關(guān)聯(lián)和分析來自各種來源的威脅數(shù)據(jù)，以支持針對(duì)網(wǎng)絡(luò)安全威脅的防御措施。它們收集有關(guān)潛在威脅的數(shù)據(jù)，例如攻擊者使用的入侵指標(biāo) （IOC）、策略、技術(shù)和程序 （TTP），并提供可操作的見解，以主動(dòng)防御未來的攻擊。TIP 有助于實(shí)時(shí)威脅檢測(cè)，并通過更好地了解威脅形勢(shì)來促進(jìn)戰(zhàn)略決策、事件響應(yīng)和風(fēng)險(xiǎn)管理。

威脅狩獵和ATT&CK框架的聯(lián)系

ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge）框架是由MITRE組織開發(fā)的一個(gè)知識(shí)庫，旨在描述和分類對(duì)手（攻擊者）在網(wǎng)絡(luò)攻擊中使用的戰(zhàn)術(shù)、技術(shù)和常見知識(shí)。

ATT&CK框架的主要目標(biāo)是提供一個(gè)結(jié)構(gòu)化的參考，以幫助安全專業(yè)人員了解和對(duì)抗不同類型的攻擊者。它詳細(xì)記錄了攻擊者在執(zhí)行攻擊時(shí)可能使用的各種戰(zhàn)術(shù)、技術(shù)和過程。

威脅狩獵團(tuán)隊(duì)可以利用ATT&CK框架作為指南來規(guī)劃和執(zhí)行威脅狩獵活動(dòng)。他們可以根據(jù)ATT&CK框架中的攻擊技術(shù)和戰(zhàn)術(shù)，模擬和測(cè)試組織的防御機(jī)制。這有助于發(fā)現(xiàn)防御漏洞和弱點(diǎn)，并改進(jìn)安全策略和控制措施。同時(shí)ATT&CK框架通過提供對(duì)手行為的共享知識(shí)，促進(jìn)了安全社區(qū)之間的情報(bào)共享和合作。威脅狩獵團(tuán)隊(duì)可以參與到這種共享中，從其他組織的經(jīng)驗(yàn)和發(fā)現(xiàn)中獲益，并將自己的發(fā)現(xiàn)與社區(qū)分享，以提高整個(gè)行業(yè)的安全水平。

您可以使用我們的虹科網(wǎng)絡(luò)安全評(píng)級(jí)產(chǎn)品來查看網(wǎng)站是否存在上述說到的這些威脅，從而能夠與您的安全團(tuán)隊(duì)進(jìn)行進(jìn)一步的安全評(píng)估以及安全方案的實(shí)行。如果您需要EDR和MTD結(jié)合的終端保護(hù)方案也可以聯(lián)系我們了解這種終端保護(hù)方案。

//網(wǎng)絡(luò)安全評(píng)級(jí)//

虹科網(wǎng)絡(luò)安全評(píng)級(jí)是一個(gè)安全評(píng)級(jí)平臺(tái)，使企業(yè)能夠以非侵入性和由外而內(nèi)的方式，對(duì)全球任何公司的安全風(fēng)險(xiǎn)進(jìn)行即時(shí)評(píng)級(jí)、了解和持續(xù)監(jiān)測(cè)。獲得C、D或F評(píng)級(jí)的公司被入侵或面臨合規(guī)處罰的可能性比獲得A或B評(píng)級(jí)的公司高5倍。虹科網(wǎng)絡(luò)安全評(píng)級(jí)對(duì)企業(yè)的安全狀況以及任何組織的安全系統(tǒng)中所有供應(yīng)商和合作伙伴的網(wǎng)絡(luò)健康狀況提供即時(shí)可見性。

該平臺(tái)使用可信的商業(yè)和開源威脅源以及非侵入性的數(shù)據(jù)收集方法，對(duì)全球成千上萬的組織的安全態(tài)勢(shì)進(jìn)行定量評(píng)估和持續(xù)監(jiān)測(cè)。網(wǎng)絡(luò)安全評(píng)級(jí)提供十個(gè)不同風(fēng)險(xiǎn)因素評(píng)分的詳細(xì)報(bào)告：

虹科網(wǎng)絡(luò)安全評(píng)級(jí)為各行各業(yè)的大小型企業(yè)提供最準(zhǔn)確、最透明、最全面的安全風(fēng)險(xiǎn)評(píng)級(jí)。