什么是威胁狩猎(Threat Hunting)-自由者联盟

视频讲解

本期视频我们将为大家介绍网络安全中“威胁狩猎”(Threat Hunting)的概念，我们将绘制一个时间线帮大家更好的理解“威胁狩猎”的意义。根据Ponemon研究所的数据，需要大约200天的时间来确定你的网络安全被破坏，另外需要70天来控制它。威胁猎取是试图将这一时间降到最低，并在入侵发生之前防止其发生的一种方法。在这段视频中，我们还会向您展示威胁狩猎是如何工作的，安全分析师使用什么数据，以及他们汇总这些数据、加快遏制数据泄露所使用的工具。

相关资料

IBM Ponemon研究所《数据泄露的代价》研究报告

为什么威胁狩猎很重要

威胁狩猎很重要，因为复杂的威胁可以避开自动化网络安全。虽然自动化安全工具和一级和二级安全运营中心（SOC）分析师应该能够处理大约80%的威胁，但你仍然需要担心剩下的20%。剩下的20%的威胁更有可能包括能够造成重大损失的复杂威胁。如果有足够的时间和资源，它们会闯入任何网络，并在平均280天内避免被发现。有效的威胁猎杀有助于缩短从入侵到发现的时间，减少攻击者造成的损失。

攻击者在被发现之前往往会潜伏数周，甚至数月。他们耐心等待，抽走数据，发现足够的机密信息或凭证，以解锁进一步的访问，为重大数据泄露创造条件。潜在的威胁能造成多大的损失？根据 “数据泄露成本报告”，一次数据泄露平均给公司带来近400万美元的损失。而且，数据泄露的有害影响可能会持续数年之久。从系统故障到部署应对措施的时间越长，一个组织的损失就越大。

威胁狩猎是如何进行的

一个成功的威胁狩猎计划是建立在一个环境的数据肥力之上的。换句话说，一个组织必须首先有一个企业安全系统，收集数据。从中收集的信息为威胁猎手提供了宝贵的线索。

网络威胁猎手为企业安全带来人的因素，补充了自动化系统。他们是熟练的IT安全专业人员，在威胁造成严重问题之前进行搜索、记录、监控和化解。理想情况下，他们是来自公司IT部门的安全分析师，对公司的运作非常了解，但有时他们是外部分析师。

威胁狩猎的艺术是找到环境中的未知因素。它超越了传统的检测技术，如安全信息和事件管理（SIEM）、端点检测和响应（EDR）等。威胁猎手对安全数据进行梳理。他们搜索隐藏的恶意软件或攻击者，并寻找计算机可能错过的可疑活动模式，或判断为已解决但未解决的问题。他们还帮助修补企业的安全系统，以防止该类型的网络攻击再次发生。

威胁狩猎的类型

猎手以基于安全数据的假设或触发器开始。假说或触发器是对潜在风险进行更深入调查的跳板。而这些更深入的调查是结构化的、非结构化的和情景化的狩猎。

图片[1]-什么是威胁狩猎(Threat Hunting)-FancyPig's blog

结构化猎杀

结构化狩猎是基于攻击指标（IoA）和攻击者的战术、技术和程序（TTPs）。所有的狩猎都是一致的，并以威胁行为者的TTPs为基础。因此，猎杀者通常可以在攻击者对环境造成破坏之前就识别出威胁行为者。这种猎杀类型使用MITRE对手战术技术和常识（ATT&CK）框架（链接位于ibm.com之外），使用PRE-ATT&CK和企业框架。

非结构化猎杀

非结构化狩猎是根据一个触发器，即许多妥协指标（IoC）之一来启动的。这个触发器经常提示猎手寻找检测前和检测后的模式。指导他们的方法，猎手可以在数据保留和以前相关的犯罪行为允许的范围内进行研究。

情景或实体驱动

情况性假设来自于企业的内部风险评估或其IT环境特有的趋势和漏洞分析。以实体为导向的线索来自于众包的攻击数据，这些数据在审查后会显示出当前网络威胁的最新TTP。然后，威胁猎手可以在环境中搜索这些特定行为。

相关声明 1 网站：自由者联盟
2 本站永久网址：https://www.cvv-goods.com
3 本文内容仅为技术科普，请勿用于非法用途
4 本文内容未隐讳任何个人、群体、公司。非文学作品，请勿用于阅读理解的练习
5 根据《计算机软件保护条例》第十七条，本站所有软件请仅用于学习研究用途
6 本站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责

THE END