调查数据表明,大约40% 的 SOC(安全运营中心)已经开始实施特定的威胁追踪协议。这些协议是为网络威胁搜寻或捕捉传统工具和软件遗漏的高级威胁而创建的。
大多数工具和协议都足够复杂,可以检测大多数威胁。然而,黑客一直在努力创造逃避检测的新技术和方法。不幸的是,即使是由人工智能驱动的新工具也可能无法检测到高级威胁。
虽然这些软件在检测已经存在的威胁变化方面通常表现出色,但它们可能无法识别新方法。这就是威胁追踪出现的时候。主动监控威胁和分析当前安全系统的作用是识别弱点和可能的威胁入口点。
威胁追踪的步骤是什么?
专家或多或少同意,主动寻找网络威胁的方法通常包括三个不同的步骤:
- 触发器:触发器可以描述为网络或系统中可能需要额外调查的特定区域。通常,即使是关于挥之不去的威胁的假设也可能是一个很好的触发点。
- 调查:在此步骤中,威胁猎手使用各种技术来调查潜在的危害并继续调查,直到确定威胁是恶意的还是良性的。
- 解决方案:此步骤涉及与相关网络或系统安全主题进行通信以响应威胁。此外,在整个狩猎过程中收集的信息可以添加到自动化技术中以提高其有效性。
在狩猎过程中,猎人会收集尽可能多的信息和数据。不仅仅是攻击的技术背景,还有其背后的意图和目标。收集的数据有助于识别新趋势并消除潜在的系统漏洞。
威胁追踪的目标是什么?
简而言之,威胁搜寻是一种主动安全功能,它将技术与主动威胁情报方法相结合,以识别和阻止系统或网络中的恶意威胁。
威胁搜寻也可以被描述为一种激进的方法,“总是假设潜在的违规行为”。这意味着该方法建立在黑客已经渗透到系统的前提下。
因此,威胁追踪的目标是持续监控给定的系统,不仅要识别威胁,还要识别黑客活动的新潜在趋势。通过主动方法,威胁猎手可以在攻击者实际在系统中开始他们的恶意活动之前缓解某些问题。
5 个威胁搜寻技巧
如上所述,威胁追踪的基础是监控。因此,有很多技巧可以帮助您制定必要的主动方法,从而提高狩猎行动的效率。
这里有五个技巧可以帮助您识别更广泛的威胁。
搜索隧道通信
开始扫描潜在威胁的最佳区域可能是 C£ 指示或命令和控制指示。更加努力地扫描试图模仿标准流量的活动。网络协议可以承载另一个协议的隧道通信是一个很好的起点。
您经常会看到黑客会尝试将他们的 convos 置于 DNS 流量中。这是因为大多数公司防火墙都以允许出站 DNS 流量的方式进行校准。
数据应对
分析系统的数据日志、网络日志等。甚至SIEM也可以作为一个很好的威胁追踪数据池。但是,在筛选所述数据时,您应该专注于建立一些参数。例如,一些专家建议只检查一周的数据,不要更多。此外,关键是确定最有可能与您正在寻找的活动相匹配的数据源。
属性识别
在识别威胁时,猎人还应该付出必要的努力来研究所述威胁的特征。寻找特定属性(例如,使用的 URL)可以极大地帮助适当地减轻威胁,并且对于可以使用它为系统创建更复杂的安全协议的安全团队的其他成员来说也将派上用场/网络。
对数据进行排序
当试图有效地寻找威胁时,缩小数据集以能够锁定挥之不去的威胁是至关重要的。
您可以从最小到最大对数据进行排序,并更多地关注较大的文件。您还可以使用HTTP 方法进行排序。排序过程也可以通过使用可视化和其他技术来完成。
这里的重点是建立一个系统,使您可以有效地扫描数据集中的所有内容。
广泛传递数据
在深入研究每个字节之前过滤数据至关重要。相反,请查看所有内容并为可能引起怀疑的项目添加书签,并在完成初始通过后再次查看它们。
这种方法使您能够创建多个数据类别或在数据池中建立层次结构的方法。这样,将更多可疑数据集与可能未受到伤害的数据集区分开来将变得更加容易。
结论
威胁搜寻是一个持续的过程,猎人必须不断监控系统和网络。他们的目标是在潜在攻击发生之前识别它们,定位系统中最脆弱的点,并发现最新的网络攻击趋势。他们试图了解攻击的技术背景,并旨在揭示他们的意图。
威胁搜寻是网络安全的重要组成部分,因为它在发现最新的攻击趋势、意图、目标和最新攻击背后的技术方面发挥着积极作用。与猎人密切合作使安全团队能够改进他们的人工智能安全系统,以尽快缓解高级威胁,剥夺黑客在此之前可能拥有的任何类型的优势。
文章评论