有效威脅狩獵的10個技巧
網絡攻擊每天都在增加,其頻率和復雜程度也在增加; 更糟糕的是,它們經常繞過組織現有的保護控制。因此,除了其他安全層(如防病毒程序和防火墻)之外,組織還必須部署主動的威脅搜索活動,以便盡早檢測并修復威脅,以減輕損害。開始攻擊威脅計劃的公司在成功時會有所成功,但他們是否能夠實現這一目標?
不幸的是,沒有任何組織可以要求100%的安全性,許多人不得不承受臭名昭著的數據泄露和數百萬美元的損失。根據2018年的威脅狩獵報告,44%的受訪者估計未被發現的數據泄露的財務影響超過50萬美元。
在本文中,我們將向您介紹有效威脅搜尋的10個技巧,這些技巧將幫助您的組織更好地應對麻煩的網絡攻擊并避免合規性問題和財務損失。
1. 了解你的環境
威脅搜尋旨在發現異常活動,否則可能會對您的公司造成嚴重損害。了解您環境中的正常活動是理解非正常活動的先決條件。如果您了解正常的操作活動,那么任何異常都應該突出并注意到。
因此,獵人應該花費大量時間來了解他們環境中的正常和日常事件。此外,分析師必須了解包括系統,應用程序和網絡在內的完整體系結構,以便他們能夠發現可能為攻擊者提供機會的弱點和漏洞。
此外,與IT內外的關鍵人員建立關系至關重要。事實上,這些人可以幫助威脅獵人區分異常活動和正常活動。例如,威脅獵手發現的每個問題并不總是攻擊。相反,它可能只是一種不安全的做法。為了改善組織的安全態勢,威脅獵人必須充當有效的“變革推動者”,如果沒有與他人的信任關系,這是不可能的。
2. 想象一下你是一個攻擊者
一個好的威脅搜尋練習要求威脅獵人像攻擊者一樣思考。通常情況下,威脅獵手的任務是主動追擊對手,并結束入侵的可能性。但是,如果發生了攻擊,他們需要減輕其影響以減少傷害。但是,總是尋找入侵的跡象并不是一個很好的方法。相反,威脅獵手應該努力預測攻擊者的下一步行動。
一旦威脅獵人知道攻擊者可能會做什么,他們應該設置一些觸發器,一旦攻擊者執行此移動就應該觸發。CB Response等工具可用于確定攻擊者的行動。
請記住:沒有任何組織總是擁有完美且難以理解的安全措施,而且攻擊者現在使用非常復雜的技術來繞過公司的監控工具和大多數安全措施。因此,威脅獵人應該超越對手的期望,以防止攻擊成為主要的噩夢。
3. 制定OODA戰略
OODA是Observe,Orient,Decide和Act的縮寫。軍事人員在進行戰斗行動時應用OODA。同樣,威脅獵人在網絡戰期間使用OODA。在威脅搜尋的背景下,OODA的工作原理如下:
- 觀察:第一階段涉及從端點進行常規數據收集
- Orient:徹底了解收集的數據,并將此信息與其他收集的信息相結合,以幫助理解其含義。之后,分析是否發生了對流量的命令和控制(C&C)的標志或檢測到任何攻擊跡象
- 決定:一旦分析了信息,就需要確定行動方案。如果事件發生,威脅獵手將執行事件響應策略
- 行動:最后階段涉及執行計劃以結束入侵并增強公司的安全態勢。采取進一步措施以防止將來發生同類型的攻擊
4. 使用足夠的資源
威脅狩獵被認為是當今最好的安全解決方案之一。但是,投入足夠的資源,包括人員,系統和工具,對于有效地進行威脅搜尋是不可或缺的。
人員是指威脅獵手,他們必須具備操作系統(OS)和子系統的深入知識,例如應用程序服務器,Web服務器,數據庫服務器,數據庫管理系統,更重要的是網絡,Wi-Fi系統和Internet共。了解CB響應工具也很有幫助。
5. 保護所有端點
端點安全是客戶端/服務器信息安全方法,用于通過監視端點(網絡設備),其活動,軟件,身份驗證和授權來保護公司的網絡。保護所有端點至關重要,因為疏忽可能會給對手留下空白點。通常,除了位于每個端點上的客戶端安全軟件之外,還通過安裝在網絡中集中管理的服務器或網關上的安全軟件來確保端點安全性。
僅使用防病毒程序無法阻止高級持久性威脅(APT)。因此,組織也應該部署端點保護解決方案,例如CB Response或Comodo端點保護軟件。
6. 網絡可見性是關鍵
除了在所有端點上部署威脅搜索工具之外,還必須深入了解網絡環境中的攻擊模式和活動。您可以通過使用允許您具有網絡可見性的其他工具來實現此目的。
在您設置高級端點工具時,還應使用入侵檢測系統(IDS),入侵防御系統(IPS),NetFlow,Web過濾器,防火墻和數據丟失防護系統(DLP)等工具。通過這種方式,您可以驗證攻擊并收集有關可能表示違規的異常流量模式的寶貴知識。
7. 注意威脅狩獵的人性
威脅搜尋的一個關鍵部分是與公司的主要IT人員進行有效和高效的溝通。這意味著威脅獵人應該以不同的方式與端點工程師,應用程序開發人員,服務臺和系統工程師協同工作。威脅獵人實際上需要與他們進行有效溝通,以便了解關鍵系統和應用程序的操作。在搜索敵人時,獵人會發現網絡,系統和應用程序的設計和實施中的漏洞。
威脅獵手和關鍵IT人員之間的信任關系是不可或缺的。最重要的是,在響應事件時,您需要他們的協作。只有通過確保相互信任,您才能夠在環境中的弱點和漏洞面前一起正確診斷惡意活動并執行補救。
8. 記錄你的狩獵記錄
優秀的威脅獵手不僅試圖遏制或消除惡意入侵,還記錄他們在IT環境中執行的每一次威脅搜索。您不僅需要詳細說明每個案例的技術信息,更重要的是,您需要記錄與公司相關的業務知識,例如,尋找原因。
但如果沒有合理收集數據,好的文檔就不值得。必須選擇一種可以幫助您組織威脅搜尋活動的工具,以便在您懷疑反復入侵并與其他方分享知識時重新審視您的步驟。可用于組織數據的工具可能包括報告工具,分析工具甚至Microsoft Excel。
9. 保持刀鋒鋒利
即使最好的武器也會生銹,除非它得到照顧。為了有效地開展工作,威脅獵人需要做好準備,并始終對可疑活動保持警惕。由于網絡犯罪分子正在尋找數十種新方法來滲透安全系統,因此威脅獵手需要不斷學習和發展他們的技能,以便讓自己能夠應對挑戰。
每個職業威脅獵人都必須花時間接受技術培訓
10. 及時了解現代攻擊趨勢
在不斷發展的技術世界中,威脅行為者每天都在開發新的攻擊。網絡犯罪分子具有創造性,他們正在利用這種創造力不斷發明新的犯罪方法。威脅獵人需要跟上不斷變化的網絡攻擊格局。
在不久的將來,他們將會為他們做很多工作。根據Alert Logic 2018年的威脅搜索報告,安全專家將55%的高級威脅檢測作為其安全運營中心(SOC)的首要挑戰。此外,43%的安保人員缺乏足夠的技能來緩解這些威脅。此外,36%的自動化工具嚴重缺乏威脅性能力。為了防止入侵,威脅獵人必須自己掌握現代威脅形勢和犯罪分子發現進行攻擊的復雜技術。
