什么是威胁狩猎 2024? [完整指南]

网络威胁狩猎是 互联网安全的主动方法 威胁猎手寻找的地方 安全隐患 那可能 隐藏在公司网络中.

与自动化威胁检测系统等更被动的网络安全搜索技术相比,网络搜索主动寻找以前未检测到、未识别或未补救的威胁,这些威胁可能已经躲过了您的网络的自动防御机制。

什么是威胁狩猎

什么是威胁追踪?

主动寻找的行为 在网络上潜伏而未被发现的网络威胁 被称为威胁狩猎。 网络威胁搜寻会在您的环境中搜索已经通过初始端点安全措施的恶意行为者。

有些危险更加复杂和先进,而大多数危险无法通过安全系统。 几周以来,攻击者可以在系统和文件中保持未被发现,同时通过网络缓慢前进以收集更多数据。

在此过程中可能会过去数周甚至数月。 它可以很容易地逃避安全工具和人员的检测,而无需主动搜寻。

威胁搜寻

为什么威胁搜寻很重要?

由于复杂的威胁可以逃避自动化网络安全,因此威胁搜寻至关重要。

即使自动化安全工具和第 20 层和第 1 层,您仍然需要关注剩余 2% 的威胁 安保行动中心 (SOC) 分析师应该能够处理大约 80% 他们。

其余 20% 的威胁更可能是复杂的并且能够造成重大伤害。

攻击者可以秘密进入网络并在那里停留数月,因为他们会默默地收集信息、搜索敏感文档或获取允许他们在环境中漫游的登录凭据。

许多企业缺乏先进的检测技能,无法在对手成功逃避检测并且攻击突破了组织的防御措施后阻止高级持续性威胁在网络中徘徊。

因此,威胁搜寻是任何防御策略的关键要素。

威胁搜寻的类型

IBM 官网对威胁搜寻的三种主要类型进行了相当恰当的解释。 根据他们的博客,威胁狩猎有以下几种类型:

1.结构化猎杀

An 攻击指示 (IoA) 以及攻击者的战术、方法和程序 (TTP) 作为系统狩猎的基础。

每一次追捕都是根据威胁行为者的 TTP 计划好的。 正因为如此,猎人经常在攻击者有机会破坏环境之前识别出威胁者。 

2.非结构化狩猎

临时搜索是基于触发器启动的,触发器是许多触发器之一 妥协指标 (国际奥委会). 此触发器通常用于促使猎人寻找 检测前和检测后模式.

在数据保留和先前相关犯罪允许的范围内,猎人可以进行研究以制定他们的计划。

3. 情境或实体驱动

情境假设可以通过组织的内部风险评估或对其 IT 基础设施独有的趋势和弱点的调查来产生。

从公众收集的攻击数据,在审查时显示持续网络威胁的最新 TTP,是创建面向实体的线索的地方。 然后,威胁猎手可以扫描周围环境以查找这些特定行为。

威胁搜寻如何工作?

软件解决方案的人性化方面和海量数据处理能力相结合,可以有效地追捕网络威胁。

人类威胁猎手依靠来自复杂安全监控和分析工具的数据来帮助他们主动发现和消除威胁。

他们的目标是利用解决方案和情报/数据来寻找可能通过使用诸如在陆地上生活等策略来躲避正常防御的对手。

直觉、道德和战略思维以及创造性的问题解决都是网络狩猎过程的重要组成部分。

通过利用这些“人类特征”,组织能够更快、更准确地解决威胁网络威胁猎手”,而不是仅仅依靠自动威胁检测系统。

网络威胁猎手

谁是网络威胁猎手?

Cyber​​ Threat Hunters 为企业安全增添了人情味,增强了自动化措施。 他们是技术娴熟的 IT 安全专业人员,可以在威胁有机会成为严重问题之前识别、记录、监视和消除威胁。

尽管他们偶尔是外部分析师,但理想情况下他们是了解公司 IT 部门运作的安全分析师。

威胁猎手搜索安全信息。 他们寻找计算机可能遗漏或认为已处理但未处理的可疑行为模式,以及隐藏的恶意软件或攻击者。

它们还有助于修补企业的安全系统,以防止将来发生同类入侵。

什么是威胁狩猎

威胁搜寻的先决条件

威胁搜寻者必须首先建立预期或批准事件的基线,以便更好地发现异常情况,使网络威胁搜寻有效。

然后,威胁猎手可以使用此基线和最新的威胁情报来浏览威胁检测技术收集的安全数据和信息。

这些技术可能包括 托管检测和响应 (MDR), 安全分析工具安全信息和事件管理 (SIEM) 解决方案。

威胁猎手在获得来自各种来源(包括端点、网络和云数据)的数据后,可以在您的系统中搜索潜在危险、可疑活动或偏离常态的触发器。

如果发现威胁或已知威胁情报指向新的可能威胁,威胁猎手可以创建假设并进行广泛的网络调查。

威胁猎手在这些调查期间寻找信息,以确定威胁是有害的还是良性的,或者网络是否得到适当保护以免受新出现的网络威胁。

威胁搜寻方法

威胁猎手开始调查时假设对手已经存在于系统中,并寻找可能表明存在敌对活动的奇怪行为。

这种调查的开始通常属于主动威胁搜寻的三个类别之一。

为了主动保护组织的系统和信息,所有这三种策略都涉及将威胁情报资源与尖端安全技术相结合的人力努力。

1.假设驱动的调查

通过庞大的众包攻击数据数据库发现的新危险经常引发假设驱动的调查,提供有关攻击者使用的最新策略、技术和程序 (TTP) 的信息。

一旦检测到新的 TTP,威胁猎手将检查攻击者的独特行为是否存在于他们自己的环境中。

2. 基于已识别的攻击指标或妥协指标的调查

使用战术威胁情报,这种威胁搜寻方法列出了与新威胁相关的已知 IOC 和 IOA。 然后威胁猎手可以利用这些作为触发器来发现潜在的隐蔽攻击或正在进行的有害活动。

3. 高级分析和机器学习调查

第三种方法使用机器学习和高级数据分析来挖掘大量数据,以寻找可能指向可能的敌对活动的异常情况。

这些异常成为狩猎线索,由知识渊博的分析师检查以发现隐蔽的危险。

使用代理进行威胁搜寻

威胁猎手可能会在 Web 代理记录中找到大量信息。 这些代理充当接收请求的服务器或设备与发送请求的设备之间的管道。

Web 代理生成的一组通用数据可用于发现异常或可疑行为。

例如,组织中的威胁猎手可能会分析 Web 代理日志中包含的危险信息,并发现用户代理的可疑活动,例如 cURL 和 SharePoint 网站.

他们提请注意问题并发现请求是合法的并且来​​自 DevOps 团队。

为了检查这些日志并找出其中的任何恶意个体,威胁猎手采用了各种协议和方法。 Web代理 日志经常提供以下详细信息:

  • 目标 URL(主机名)
  • 目的地IP
  • HTTP 状态
  • 域类别
  • 协议
  • 目的端口
  • 用户代理
  • 请求方法
  • 设备操作
  • 请求的文件名
  • 时间长度

**和更多!

使用代理日志进行威胁搜寻是如何工作的?

了解威胁搜寻后,让我们研究 Web 代理日志如何帮助这些猎手。 分析人员必须采用多种方法来查找漏洞和参与网络的恶意方,因为 Web 代理日志包含多个数据片段。

1.查看阻塞流量:

重要的是找出导致用户访问特定网站的原因,即使该网站可能已被组织的用户禁止访问。 这可能意味着他们的计算机已被感染。

2、带IP请求的URL:

这种过滤可以通过使用硬编码 IP 地址来发现绕过 DNS 安全限制的日志。

3. 带有文件扩展名的网址:

此过滤器使带有 .doc、.pdf 和 .exe 等文件扩展名的潜在危险 URL 可见。 攻击者经常利用具有宏功能的 doc 或 pdf 文件将恶意软件植入机器或网络。

4. 已知引荐来源网址与不常见网址:

通过过滤掉包含流行推荐域和独特 URL 的日志,可以更容易地识别网络钓鱼链接。

威胁搜寻与威胁情报之间的区别

威胁情报是关于尝试或成功入侵的数据集合,通常由使用机器学习和人工智能的自动化安全系统收集和检查。

此信息用于威胁搜寻,以对恶意用户进行全面的系统范围搜索。

换句话说,威胁搜寻从威胁情报结束的地方开始。 富有成效的威胁追捕还可以发现野外尚未发现的危险。

威胁指标有时被用作威胁搜寻中的线索或假设。 恶意软件或攻击者留下的虚拟指纹、奇怪的 IP 地址、网络钓鱼电子邮件或其他异常网络流量都是威胁指标的示例。

快速链接:

结论:什么是威胁追踪 2024? 

事件检测、反应和补救的通常程序得到威胁搜寻的有力补充。 对企业来说,一个现实可行的策略是加强自身抵御不可预见的威胁。

尽管如此,监控代理日志也可以识别可能正在抓取网站的用户。 那些仅仅试图完成合法任务的人在这种情况下会遇到问题。

通过使用多个代理,特别是那些有助于隐藏其真实 IP 地址的代理,用户可以避免威胁猎手发现他们的活动。

此外,他们的日志不会对这些猎手发出危险信号,因为他们的所有活动都没有一个单一的 IP 地址。

为此,您需要对威胁搜寻软件而言合法的高质量代理。 要回答您的问题,威胁搜寻软件基本上是一个执行威胁搜寻协议和分析的程序。

快速链接 

安迪·汤普森
该作者已在 BloggersIdeas.com 上经过验证

安迪·汤普森(Andy Thompson)长期以来一直是自由作家。 她是的高级SEO和内容营销分析师 数码软件,一家专门从事内容和数据驱动的 SEO 的数字营销机构。 她在数字营销和联盟营销方面也有七年多的经验。 她喜欢在广泛的领域分享她的知识,从电子商务、初创公司、社交媒体营销、在线赚钱、联盟营销到人力资本管理等等。 她一直在为多个权威的 SEO、Make Money Online 和数字营销博客撰写文章,例如 影像工作站.

会员披露: 完全透明-我们网站上的某些链接是会员链接,如果您使用它们进行购买,我们将为您赚取佣金而没有任何额外费用(无任何费用!)。

发表评论