网络安全

威胁狩猎 - 一个网络安全范式转变

对于世界各地的组织来说，互联网已经成为像水和电一样必不可少的公用事业。但它也是一个无与伦比的安全威胁，是全球犯罪网络的诱人入口。

恶意黑客似乎仍然有较上手，即使是网络安全的数十亿，也很高的对不断增长的危险的认识。2019年Hiscox网络准备报告发现，61％的公司报告了“网络事件”，同比增长45％。中位数损失也从229,000美元增加到369,000美元，而不是计算品牌损坏。¹

新的防御是不断介绍的，但这些工作只有直到找到下一个弱点并剥削。

对IT网络和系统的无情攻击使得组织能够找到识别和捕捉Cyber​​Threats的新方法。网络犯罪分子已经开发了无数的方法来避免传统的防御措施，因此标准方法是不够的。

这场前后战斗中有效的新武器是“威胁狩猎”。这是跟踪任何异常或可疑活动和连续扫描网络的过程，以确定现有安全解决方案错过的复杂威胁，例如基于签名的防病毒软件。威胁狩猎的目的是在终点和服务器上审查活动，表现出侵入，灭绝或数据腐败的迹象。

是什么让这一概念与传统措施不同 - 防火墙，防病毒软件，入侵检测系统，沙箱和其他 - 是它是积极主动的。这种方法试图跟踪所有可能的威胁并在芽中扼杀它们，从而确保业务运营不受影响。

威胁狩猎实施

网络攻击者经常窃取机密账户的登录凭证，然后转移或删除关键数据。其结果可能会导致业务操作瘫痪，可能会导致敏感数据的丢失，甚至是勒索软件的丢失。

为了有效地阻止这些危险，威胁狩猎必须在一个连续的循环中进行。它是由一个分析师团队——“猎人”——执行的，他们是网络安全专家，对数据和恶意软件分析、模式识别和数据取证有深入的了解。

收集大量数据后，猎人然后在网络和现有设备上研究模式和行为异常。然后通过遥测来源详细处理和分析该数据。然后猎人手动创造一个假设和行动计划。

作为一个额外的好处，安全分析师对所安全的环境进行全面了解。这使他们能够直观地涂抹创新方法。

虽然需要人手，但在没有技术帮助的情况下分析大量网络安全数据是不可能的。这就是为什么威胁搜索平台，特别是基于先进算法和机器学习的平台，对于检测网络或端点异常至关重要。

威胁猎人应始终拥有以下内容，以便提供理想的解决方案：

• 操作系统和网络协议的专业知识。
• 熟练掌握编码技巧。
• 卓越的分析和报告能力。

SANS Institute的2019年威胁狩猎调查发现，很少有组织已经建立了专门的威胁狩猎团队，并专注于他们在获得技术的大部分努力。

作者写道:“我们质疑一种工具在一个缺乏技能的猎人手中有多大用处，尤其是如果训练不被视为使狩猎队成为可能的关键领域。”²

然而，找到这些熟练的猎人变得越来越困难。高德纳公司(Gartner)预计，网络安全职位的空缺数量将从2018年的100万个增加到2020年的150万个。^3.

跟踪威胁

威胁猎人必须有强烈了解所保护的环境，其系统和网络，安全的原因，有什么危险，甚至是猎人的优势和局限性。最终，您必须决定理想的结果是什么。

保密

如果攻击者了解企业的​​安全凭据，他们将仅仅修改或改变其攻击策略以避免发现。威胁狩猎程序应该理想地是私人作为攻击，以使对手认为他们是未被发现的。这使猎人机会实施了仔细考虑的措施，以尽量减少损害并迅速消除威胁。

早期陷阱

确保公司IT基础架构的创新方式是创建虚假凭据并跟踪其使用情况。一旦使用这些凭据，威胁猎人就可以提醒利益相关者可能的攻击并保护业务从该具体方向保护。

可扩展性

随着新技术的引入，威胁场景和安全需求必须不断发展。这使得系统能够灵活地扩展、采用和支持这些数字工具非常重要。所有企业的威胁查找解决方案都需要高度敏捷和响应性。

模拟攻击

自我测试是威胁猎人定期使用的重要实践。为了评估系统的稳健性，创建模拟攻击并记录系统渗透的速度和方式总是一个好主意。威胁猎人可以使用这些结果来保护他们的组织。

威胁狩猎可行性

现有的安全解决方案 - 基于旧态度和陈旧的威胁 - 不再足够。但威胁狩猎也不会取代任何其他对网络安全的方法。相反，预计将成为战斗高级持久威胁的领导工具，并填补其他技术未命中的差距。

预先退出安全威胁，可以快速检测，更快的响应和成功拒绝能够摧毁业务运营的漏洞。今天的企业只与其安全一样好。

¹https://www.hiscox.com/cybersecurity.

²https://www.sans.org

^3.https://www.gartner.com/smarterwithgartner/gartner-top-7-security-and-risk-trends-for-2019/