网络安全

威胁狩猎——网络安全范式的转变

对于世界各地的组织来说，互联网已经成为一种公用事业，就像电和水一样必不可少。但它也是一个无与伦比的安全威胁，是全球犯罪网络的诱人大门。

恶意黑客似乎仍然占据上风，尽管他们在网络安全方面投入了数十亿美元，而且对日益严重的危险有高度的认识。2019年Hiscox网络准备报告发现，61%的公司报告发生了“网络事件”，高于一年前的45%。不包括品牌损失，损失中值也从22.9万美元增加到36.9万美元。¹

不断地引入新的防御，但这些防御只能在发现并利用下一个弱点之前发挥作用。

IT网络和系统受到无情的攻击，企业必须找到新的方法来识别和捕捉网络威胁。网络罪犯已经开发出无数的方法来避免传统的防御措施，所以标准的方法是不够的。

在这种反反复复的战斗中，一种有效的新武器是“威胁狩猎”。这是跟踪任何异常或可疑活动，并持续扫描网络，以识别现有安全解决方案(如基于签名的杀毒软件)遗漏的复杂威胁的过程。威胁追踪的目的是仔细检查端点和服务器上显示数据入侵、泄露或损坏迹象的活动。

这一概念与防火墙、杀毒软件、入侵检测系统、沙箱等传统措施的不同之处在于它是主动的。这种方法试图跟踪所有可能的威胁并将其消灭在萌芽状态，从而确保业务操作不受影响。

威胁狩猎实现

网络攻击者经常窃取机密账户的登录凭证，然后转移或删除关键数据。结果可能会导致敏感数据的丢失，甚至是勒索软件的丢失，从而导致业务操作瘫痪。

为了有效地阻止这些危险，威胁狩猎必须在一个连续的循环中进行。它是由一个名为“猎人”的分析团队执行的，他们是网络安全专家，对数据和恶意软件分析、模式识别和数据取证有着深入的了解。

在收集了大量数据之后，猎人们会研究网络和现有设备上的模式和异常行为。这些数据随后由遥测源详细处理和分析。然后猎人们手动创建一个假设和行动计划。

另一个好处是，安全分析师可以全面了解环境的安全性。这使得他们能够直观地应用创新的方法。

虽然需要人手，但在没有技术帮助的情况下分析大量网络安全数据是不可能的。这就是为什么威胁追踪平台，特别是基于先进算法和机器学习的平台，对检测网络或端点异常至关重要。

为了提供理想的解决方案，威胁猎人应该拥有以下技能:

• 操作系统和网络协议的专门知识。
• 熟练的编程技能。
• 优秀的分析和报告能力。

SANS研究所2019年的威胁狩猎调查发现，很少有组织成立专门的威胁狩猎团队，并将大部分精力集中在获取技术上。

作者写道:“我们质疑一个工具在一个不熟练的猎人手中能有多大用处，特别是如果训练不是狩猎团队的关键领域。”²

然而，找到这些熟练的猎人变得越来越困难。根据Gartner的数据，网络安全职位空缺的数量预计将从2018年的100万增加到2020年的150万。^3.

逼近的威胁

威胁猎人必须对所处的环境、系统和网络、安全原因、危险因素，甚至是猎人的优势和限制有深刻的了解。最终，你必须决定什么是理想的结果。

保密

如果攻击者知道企业的安全凭据，他们只会修改或更改攻击策略，以避免被发现。理想情况下，威胁追踪程序应与攻击一样保密，以便让对手相信他们的行动未被发现。这让猎人们有机会实施深思熟虑的措施来减少伤害并迅速消除威胁。

早期的陷阱

保护公司IT基础设施安全的一种创新方法是创建假凭证并跟踪其使用情况。一旦使用了这些凭证，威胁猎人就可以通知利益相关者可能发生的攻击，并从特定的方向保护业务。

可伸缩性

随着新技术的引入，威胁场景和安全需求必须发展。这使得系统的伸缩、灵活地采用和支持这些数字工具变得非常重要。所有企业的威胁追踪解决方案都需要高度敏捷和响应性。

模拟攻击

自我测试是一个重要的实践，应该定期使用威胁猎人。要评估系统的健壮性，创建模拟攻击并记录系统渗透的速率和方式总是一个好主意。威胁猎人可以利用这些结果来保护他们的组织。

威胁狩猎可行性

现有的安全解决方案——基于旧的思维模式和过时的威胁——已经不够了。但威胁狩猎也不会取代所有其他的网络安全手段。相反，它有望成为对抗高级持续威胁的主要工具，并填补其他技术缺失的空白。

提前阻止安全威胁会带来快速检测、更快响应和成功拒绝可能破坏业务操作的漏洞。今天，一个企业的好坏取决于它的安全性。

¹https://www.hiscox.com/cybersecurity

²https://www.sans.org

^3.https://www.gartner.com/smarterwithgartner/gartner-top-7-security-and-risk-trends-for-2019/