导读 在刚刚结束不久的RSA会议上,研究人员表示如果实施得当,威胁追踪可以帮助企业保持对威胁的领先。

许多已经实施了网络威胁追踪能力的组织并没有从中获得充分的好处,原因是他们缺乏必要的技能组合,或者是因为他们没有完全将其作为网络安全计划的一部分。

Digital Guardian公司的CISO和管理安全服务副总裁Tim Bandos说,公司常犯的错误包括低估了所需的时间和没有得到自上而下的支持。

Bandos说:"不管是在内部还是通过管理服务提供商进行威胁搜索,都是整体网络安全战略的一个重要组成部分。威胁追踪不是等待事件发生,而是为企业提供一种方法,通过设置陷阱和寻找环境中暗示可疑活动的行为来主动寻找潜在问题。"他说:"但是,除非它是你的计划的一个正式部分,否则你不可能在这方面取得成功。

近年来,人们对主动猎取威胁以保持对新的和正在出现的威胁的兴趣越来越大。安全研究人员将其描述为给企业提供了一种方法,试图发现可能已经溜走或绕过入侵检测和预防控制的威胁。威胁搜索的想法是假设一个漏洞已经发生,然后使用攻击者可能会使用的相同技术追踪它可能发生的所有不同方式。重点不在于单独追捕已知的威胁,而在于发现新的威胁。

Gartner以前曾描述过网络威胁搜索的作用,特别是对于那些已经最大限度地提高了他们的警报分流、检测和响应过程,并正在寻求进一步改善其安全状况的组织。

Bandos说,威胁搜索是企业需要持续进行的工作,以MITRE的ATT&CK框架等资源为起点。该框架提供了不同的技术和子技术,威胁者通常采用这些技术作为攻击链的一部分。安全团队可以通过搜索他们的环境,寻找任何这些技术被用来启用或混淆恶意活动的迹象,从而学到很多。他说:“你可以在整个星期内通过你的环境搜索这些技术中的任何一个,潜心研究。”

同样,企业可以从他们的端点环境的日志中了解到很多,或者通过对过去一周可能创建的所有账户进行分析,将合法的账户与可能更可疑的账户区分开来。

成功的威胁猎杀需要对新的和正在出现的攻击者战术、技术和程序有所了解。同样,它也需要有不断回头看老技术的意愿,因为攻击者往往倾向于坚持使用他们熟悉的、以前对他们有用的战术。

为了进行有效的威胁追踪,安全团队需要有一个可靠的数据源,如安全信息和事件管理系统,该系统具有来自多个来源的集中式日志。即使是来自个别环境的日志--如端点检测和响应、防病毒工具、网络和数据丢失预防(DLP)系统,也足以用于威胁追踪。一旦定义了数据源,威胁猎手就需要使用不同的技术对其进行搜索。

例如,目标可能是猎取环境中的凭证倾销迹象。他说:“你要汇总所有你知道的关于凭证转储程序和的威胁情报,并围绕你要围绕这些日志积极寻找的东西建立一个游戏手册。同样的方法可以应用于MITRE ATT&CK等框架中列出的每一种不同的攻击技术。”

他说:"我将从关注一个特定的技术开始,然后从那里爆发出一个点,你可以从你的环境中的每一个端点收集一个特定的工件,并通过这些数据进行搜索。"这就是你开始提高你在威胁追踪领域的能力的时候。作为一个例子,他指出了存储在所有机器上的应用程序兼容性缓存。缓存包含在特定机器上运行的所有进程的记录。仅仅围绕这一数据源,企业就可以开展整个猎杀活动。

正确的技能组合

要想做好这个工作,威胁猎手需要对安全架构、资产安全、应用安全和其他基础知识有坚实的了解。他们还需要一定程度的事件响应技能,包括日志分析、恶意软件分析、取证和威胁情报处理。此外,威胁猎手需要有分析能力、耐心和不懈的努力,Bandos说。这项工作可能很乏味,那些没有正确态度的人可能很快就会感到沮丧。

猎取威胁的一个挑战是衡量成功。有时可能不清楚,威胁猎取演习一无所获是因为演习本身没有正确进行,还是因为确实没有什么可发现的。特别是在较小的环境中,威胁猎手可能经常没有发现任何新的或隐藏的威胁。

原文来自:

本文地址://gulass.cn/rsa-bandos.html编辑:张建,审核员:清蒸github

Linux大全:

Linux系统大全:

红帽认证RHCE考试心得: