Threat Hunting 2023 คืออะไร? [คู่มือฉบับสมบูรณ์]

เผยแพร่แล้ว: 2023-03-22

การตามล่าภัยคุกคามทางไซเบอร์เป็น วิธีการเชิงรุกในการรักษาความปลอดภัยทางอินเทอร์เน็ต ซึ่งนักล่าภัยคุกคามจะมองหา อันตรายด้านความปลอดภัย ที่อาจ ซ่อนอยู่ในเครือข่ายของบริษัท

การตามล่าทางไซเบอร์จะมองหาภัยคุกคามที่ตรวจไม่พบ ไม่รู้จัก หรือไม่ได้รับการแก้ไขก่อนหน้านี้ ซึ่งอาจหลบเลี่ยงกลไกการป้องกันอัตโนมัติของเครือข่ายของคุณ ตรงกันข้ามกับเทคนิคการตามล่าการรักษาความปลอดภัยทางไซเบอร์แบบพาสซีฟ เช่น ระบบตรวจจับภัยคุกคามอัตโนมัติ

สารบัญ

การล่าภัยคุกคามคืออะไร?
ทำไมการล่าภัยคุกคามจึงสำคัญ?
ประเภทของการล่าภัยคุกคาม
การล่าภัยคุกคามทำงานอย่างไร?
ใครคือนักล่าภัยคุกคามทางไซเบอร์?
ข้อกำหนดเบื้องต้นสำหรับการล่าภัยคุกคาม
วิธีการตามล่าภัยคุกคาม
การล่าภัยคุกคามด้วยผู้รับมอบฉันทะ
การตามล่าภัยคุกคามด้วย Proxy Logs ทำงานอย่างไร?
ความแตกต่างระหว่างการตามล่าภัยคุกคามและข่าวกรองภัยคุกคาม
สรุป: Threat Hunting 2023 คืออะไร?

การล่าภัยคุกคามคืออะไร?

การมองหา ภัยคุกคามทางไซเบอร์อย่างแข็งขันที่ตรวจไม่พบบนเครือข่าย เรียกว่าการตามล่าภัยคุกคาม การตามล่าภัยคุกคามทางไซเบอร์จะค้นหาสภาพแวดล้อมของคุณเพื่อหาผู้ประสงค์ร้ายที่ผ่านมาตรการรักษาความปลอดภัยเริ่มต้นของคุณ

อันตรายบางอย่างซับซ้อนและล้ำหน้ากว่า ในขณะที่ส่วนใหญ่ไม่สามารถก้าวข้ามระบบรักษาความปลอดภัยไปได้ เป็นเวลาหลายสัปดาห์ที่ผู้โจมตีไม่สามารถตรวจจับได้ในระบบและไฟล์ ในขณะที่ค่อยๆ รุกคืบผ่านเครือข่ายเพื่อรวบรวมข้อมูลให้มากขึ้น

อาจใช้เวลาหลายสัปดาห์หรือหลายเดือนในระหว่างขั้นตอนนี้ มันสามารถหลบเลี่ยงการตรวจจับจากเครื่องมือรักษาความปลอดภัยและบุคลากรได้อย่างง่ายดายโดยไม่ต้องออกล่า

Threat Hunting

ทำไมการล่าภัยคุกคามจึงสำคัญ?

เนื่องจากภัยคุกคามที่ซับซ้อนสามารถหลบเลี่ยงการรักษาความปลอดภัยทางไซเบอร์โดยอัตโนมัติ การตามล่าภัยคุกคามจึงมีความสำคัญ

คุณยังคงต้องกังวลเกี่ยวกับภัยคุกคามอีก 20% ที่เหลือ แม้ว่าเครื่องมือรักษาความปลอดภัยอัตโนมัติและนักวิเคราะห์ศูนย์ปฏิบัติการด้านความปลอดภัย (SOC) ระดับ 1 และ 2 ควรจะจัดการได้ประมาณ 80%

ภัยคุกคามที่เหลืออีก 20% มีแนวโน้มที่จะซับซ้อนและสามารถทำอันตรายร้ายแรงได้

ผู้โจมตีสามารถเข้าสู่เครือข่ายอย่างลับๆ และอยู่ที่นั่นเป็นเวลาหลายเดือนในขณะที่พวกเขารวบรวมข้อมูลอย่างเงียบๆ ค้นหาเอกสารที่ละเอียดอ่อน หรือรับข้อมูลรับรองการเข้าสู่ระบบที่จะทำให้พวกเขาสามารถท่องไปทั่วสภาพแวดล้อมได้

ธุรกิจจำนวนมากขาดทักษะการตรวจจับที่ซับซ้อนที่จำเป็นในการป้องกันภัยคุกคามต่อเนื่องขั้นสูงไม่ให้คงอยู่ต่อไปในเครือข่าย เมื่อฝ่ายตรงข้ามประสบความสำเร็จในการหลบหนีการตรวจจับและการโจมตีได้ละเมิดการป้องกันขององค์กร

การตามล่าภัยคุกคามจึงเป็นองค์ประกอบสำคัญของกลยุทธ์การป้องกัน

ประเภทของการล่าภัยคุกคาม

เว็บไซต์อย่างเป็นทางการของ IBM ได้อธิบายการล่าภัยคุกคามหลักสามประเภทไว้ค่อนข้างเหมาะสม ตามบล็อกของพวกเขา การล่าภัยคุกคามเป็นประเภทต่อไปนี้:

1. การล่าแบบมีโครงสร้าง

ตัวบ่งชี้ของการโจมตี (IoA) และยุทธวิธี วิธีการ และขั้นตอนของผู้โจมตี (TTPs) ทำหน้าที่เป็นรากฐานของการตามล่าอย่างเป็นระบบ

การล่าทุกครั้งมีการวางแผนและขึ้นอยู่กับ TTP ของผู้คุกคาม ด้วยเหตุนี้ ผู้ล่าจึงมักจดจำตัวผู้ที่เป็นภัยคุกคามได้ก่อนที่ผู้โจมตีจะมีโอกาสทำลายสิ่งแวดล้อม

2. การล่าสัตว์ที่ไม่มีโครงสร้าง

การล่าแบบเฉพาะกิจเริ่มต้นขึ้นจากทริกเกอร์ ซึ่งเป็นหนึ่งใน ตัวบ่งชี้การประนีประนอม (IoC) โดยปกติทริกเกอร์นี้ใช้เพื่อกระตุ้นนักล่าให้มองหา รูปแบบก่อนและหลังการตรวจจับ

ในขอบเขตที่การเก็บรักษาข้อมูลและความผิดที่เกี่ยวข้องก่อนหน้านี้อนุญาต ผู้ล่าอาจทำการศึกษาเพื่อกำหนดแผนของพวกเขา

3. ขับเคลื่อนสถานการณ์หรือเอนทิตี

สมมติฐานเชิงสถานการณ์อาจจัดทำขึ้นโดยการประเมินความเสี่ยงภายในองค์กรหรือโดยการตรวจสอบแนวโน้มและจุดอ่อนเฉพาะของโครงสร้างพื้นฐานด้านไอที

ข้อมูลการโจมตีที่รวบรวมจากสาธารณชนทั่วไป ซึ่งเมื่อตรวจสอบแล้ว จะแสดง TTP ล่าสุดของภัยคุกคามทางไซเบอร์ที่กำลังดำเนินอยู่ ซึ่งเป็นข้อมูลที่สร้างโอกาสในการขายที่มุ่งเน้นเอนทิตี นักล่าภัยคุกคามสามารถสแกนสภาพแวดล้อมเพื่อหาพฤติกรรมเฉพาะเหล่านี้ได้

การล่าภัยคุกคามทำงานอย่างไร?

มุมมองของมนุษย์และความสามารถในการประมวลผลข้อมูลขนาดใหญ่ของโซลูชันซอฟต์แวร์ถูกรวมเข้าด้วยกันเพื่อตามล่าภัยคุกคามทางไซเบอร์อย่างมีประสิทธิภาพ

นักล่าภัยคุกคามจากมนุษย์อาศัยข้อมูลจากการตรวจสอบความปลอดภัยที่ซับซ้อนและเครื่องมือวิเคราะห์เพื่อช่วยในการค้นหาและกำจัดภัยคุกคามในเชิงรุก

เป้าหมายของพวกเขาคือการใช้วิธีแก้ปัญหาและข่าวกรอง/ข้อมูลเพื่อค้นหาศัตรูที่อาจหลบเลี่ยงการป้องกันตามปกติโดยใช้กลยุทธ์ เช่น การอาศัยอยู่นอกแผ่นดิน

สัญชาตญาณ การคิดอย่างมีจริยธรรมและเชิงกลยุทธ์ และการแก้ปัญหาอย่างสร้างสรรค์ล้วนเป็นองค์ประกอบสำคัญของกระบวนการตามล่าในโลกไซเบอร์

องค์กรต่างๆ สามารถแก้ไขภัยคุกคามได้รวดเร็วและแม่นยำยิ่งขึ้นโดยใช้คุณลักษณะของมนุษย์เหล่านี้ที่ " นักล่าภัยคุกคามทางไซเบอร์ " นำเสนอ แทนที่จะพึ่งพาเพียงระบบตรวจจับภัยคุกคามอัตโนมัติ

นักล่าภัยคุกคามทางไซเบอร์

ใครคือนักล่าภัยคุกคามทางไซเบอร์?

นักล่าภัยคุกคามทางไซเบอร์เพิ่มสัมผัสของมนุษย์ในการรักษาความปลอดภัยทางธุรกิจ เสริมมาตรการอัตโนมัติ พวกเขาคือผู้เชี่ยวชาญด้านความปลอดภัยด้านไอทีที่มีทักษะในการระบุ บันทึก จับตาดู และกำจัดภัยคุกคามก่อนที่จะมีโอกาสกลายเป็นปัญหาร้ายแรง

แม้ว่าบางครั้งพวกเขาจะเป็นนักวิเคราะห์จากภายนอก แต่พวกเขาก็เป็นนักวิเคราะห์ด้านความปลอดภัยในอุดมคติที่มีความรู้เกี่ยวกับการทำงานของแผนกไอทีของบริษัท

Threat Hunters ค้นหาข้อมูลความปลอดภัย พวกเขามองหารูปแบบพฤติกรรมที่น่าสงสัยที่คอมพิวเตอร์อาจพลาดไปหรือคิดว่ามีการจัดการแต่ไม่ได้จัดการ ตลอดจนมัลแวร์หรือผู้โจมตีที่ซ่อนอยู่

พวกเขายังช่วยในการแก้ไขระบบรักษาความปลอดภัยของธุรกิจเพื่อป้องกันการบุกรุกประเภทเดียวกันในอนาคต

การล่าภัยคุกคามคืออะไร

ข้อกำหนดเบื้องต้นสำหรับการล่าภัยคุกคาม

นักล่าภัยคุกคามต้องสร้างพื้นฐานของเหตุการณ์ที่คาดการณ์ไว้หรือได้รับการอนุมัติก่อน เพื่อที่จะตรวจจับความผิดปกติได้ดีขึ้นเพื่อให้การตามล่าภัยคุกคามทางไซเบอร์มีประสิทธิภาพ

นักล่าภัยคุกคามสามารถผ่านข้อมูลความปลอดภัยและข้อมูลที่รวบรวมโดยเทคโนโลยีการตรวจจับภัยคุกคามโดยใช้พื้นฐานนี้และข้อมูลภัยคุกคามล่าสุด

เทคโนโลยีเหล่านี้อาจรวมถึง Managed Detection and Response (MDR) เครื่องมือวิเคราะห์ความปลอดภัย หรือ โซลูชัน Security Information and Event Management (SIEM)

นักล่าภัยคุกคามสามารถค้นหาระบบของคุณเพื่อหาอันตรายที่อาจเกิดขึ้น กิจกรรมที่น่าสงสัย หรือตัวกระตุ้นที่ผิดไปจากปกติ หลังจากที่พวกเขาติดอาวุธด้วยข้อมูลจากแหล่งต่างๆ รวมถึงจุดสิ้นสุด เครือข่าย และข้อมูลบนคลาวด์

นักล่าภัยคุกคามสามารถสร้างสมมติฐานและดำเนินการตรวจสอบเครือข่ายอย่างครอบคลุม หากพบภัยคุกคามหรือหากข่าวกรองภัยคุกคามที่ทราบชี้ไปที่ภัยคุกคามใหม่ที่เป็นไปได้

นักล่าภัยคุกคามมองหาข้อมูลในระหว่างการสืบสวนเหล่านี้เพื่อพิจารณาว่าภัยคุกคามนั้นเป็นอันตรายหรือไม่เป็นพิษเป็นภัย หรือเครือข่ายได้รับการปกป้องอย่างเหมาะสมจากภัยคุกคามทางไซเบอร์ที่เกิดขึ้นใหม่หรือไม่

วิธีการตามล่าภัยคุกคาม

นักล่าภัยคุกคามเริ่มการสืบสวนโดยสมมติว่ามีผู้ไม่หวังดีอยู่ในระบบแล้ว และมองหาพฤติกรรมแปลก ๆ ที่สามารถชี้ให้เห็นถึงการมีอยู่ของกิจกรรมที่ไม่เป็นมิตร

จุดเริ่มต้นของการสืบสวนนี้มักจัดอยู่ในประเภทใดประเภทหนึ่งจากสามประเภทในการตามล่าภัยคุกคามเชิงรุก

เพื่อจุดประสงค์ในการป้องกันระบบและข้อมูลขององค์กรในเชิงรุก กลยุทธ์ทั้งสามเกี่ยวข้องกับความพยายามที่ขับเคลื่อนโดยมนุษย์ซึ่งรวมทรัพยากรข่าวกรองภัยคุกคามเข้ากับเทคโนโลยีความปลอดภัยที่ล้ำสมัย

1. การตรวจสอบโดยใช้สมมุติฐาน

อันตรายใหม่ที่ถูกค้นพบผ่านฐานข้อมูลขนาดใหญ่ของข้อมูลการโจมตีจากฝูงชนมักจะจุดประกายให้เกิดการสอบสวนที่ขับเคลื่อนด้วยสมมติฐาน โดยให้ข้อมูลเกี่ยวกับกลยุทธ์ เทคนิค และขั้นตอนล่าสุดที่ผู้โจมตีใช้ (TTP)

จากนั้น นักล่าภัยคุกคามจะตรวจสอบเพื่อดูว่าการกระทำเฉพาะของผู้โจมตีมีอยู่ในสภาพแวดล้อมของตนเองหรือไม่ เมื่อตรวจพบ TTP ใหม่

2. การสอบสวนตามตัวบ่งชี้ของการโจมตีหรือตัวบ่งชี้ของการประนีประนอมที่ระบุ

ด้วยการใช้ข้อมูลภัยคุกคามทางยุทธวิธี วิธีการตามล่าภัยคุกคามนี้จะแสดงรายการ IOCs และ IOA ที่รู้จักซึ่งเชื่อมโยงกับภัยคุกคามใหม่ๆ จากนั้นนักล่าภัยคุกคามสามารถใช้สิ่งเหล่านี้เป็นตัวกระตุ้นเพื่อค้นหาการโจมตีที่แอบแฝงหรือกิจกรรมที่เป็นอันตรายที่กำลังดำเนินอยู่

3. การวิเคราะห์ขั้นสูงและการตรวจสอบการเรียนรู้ของเครื่อง

วิธีที่สามขุดค้นข้อมูลจำนวนมหาศาลโดยใช้การเรียนรู้ของเครื่องและการวิเคราะห์ข้อมูลขั้นสูงเพื่อค้นหาความผิดปกติที่อาจชี้ไปที่กิจกรรมที่ไม่เป็นมิตร

ความผิดปกติเหล่านี้กลายเป็นเป้าหมายในการตามล่าที่ได้รับการตรวจสอบโดยนักวิเคราะห์ที่มีความรู้เพื่อค้นหาอันตรายที่ซ่อนอยู่

การล่าภัยคุกคามด้วยผู้รับมอบฉันทะ

นักล่าภัยคุกคามอาจพบข้อมูลมากมายในบันทึกเว็บพร็อกซี พร็อกซีเหล่านี้ทำหน้าที่เป็นท่อเชื่อมต่อระหว่างเซิร์ฟเวอร์หรืออุปกรณ์ที่รับคำขอและอุปกรณ์ที่ส่งคำขอ

ชุดข้อมูลทั่วไปที่สร้างโดยเว็บพรอกซีสามารถใช้เพื่อระบุพฤติกรรมที่ผิดปกติหรือน่าสงสัยได้

ตัวอย่างเช่น นักล่าภัยคุกคามในองค์กรอาจวิเคราะห์ข้อมูลอันตรายที่รวมอยู่ในบันทึกของเว็บพร็อกซี และค้นพบกิจกรรมที่น่าสงสัยกับตัวแทนผู้ใช้ เช่น cURL และไซต์ SharePoint

พวกเขาให้ความสนใจกับปัญหาและพบว่าคำขอนั้นถูกต้องตามกฎหมายและมาจากทีม DevOps

เพื่อตรวจสอบบันทึกเหล่านี้และค้นหาบุคคลที่เป็นอันตรายในกลุ่มนี้ นักล่าภัยคุกคามใช้โปรโตคอลและวิธีการที่หลากหลาย บันทึกของเว็บพร็อกซีมักมีรายละเอียดต่อไปนี้:

URL ปลายทาง (ชื่อโฮสต์)
IP ปลายทาง
สถานะ HTTP
หมวดหมู่โดเมน
มาตรการ
พอร์ตปลายทาง
ตัวแทนผู้ใช้
วิธีการขอ
การกระทำของอุปกรณ์
ชื่อไฟล์ที่ร้องขอ
ระยะเวลา

**และอื่น ๆ!

การตามล่าภัยคุกคามด้วย Proxy Logs ทำงานอย่างไร?

เรามาศึกษากันว่าบันทึกของเว็บพร็อกซีช่วยนักล่าเหล่านี้ได้อย่างไร เมื่อคุณเข้าใจการตามล่าภัยคุกคามแล้ว นักวิเคราะห์ต้องใช้หลายวิธีในการค้นหาช่องโหว่และบุคคลที่เป็นอันตรายที่เกี่ยวข้องกับเครือข่าย เนื่องจากบันทึกของเว็บพร็อกซีประกอบด้วยข้อมูลหลายส่วน

1. ตรวจสอบการเข้าชมที่ถูกบล็อก:

สิ่งสำคัญคือต้องค้นหาว่าอะไรทำให้ผู้ใช้เข้าถึงเว็บไซต์หนึ่งๆ แม้ว่าเว็บไซต์นั้นอาจถูกห้ามสำหรับผู้ใช้ในองค์กรก็ตาม อาจหมายความว่าคอมพิวเตอร์ของพวกเขาติดไวรัส

2. URL ที่มีคำขอ IP:

การกรองนี้สามารถตรวจจับบันทึกที่หลีกเลี่ยงข้อจำกัดด้านความปลอดภัย DNS โดยใช้ที่อยู่ IP แบบฮาร์ดโค้ด

3. URL ที่มีนามสกุลไฟล์:

ตัวกรองนี้ทำให้มองเห็น URL ที่อาจเป็นอันตรายซึ่งมีนามสกุลไฟล์ เช่น .doc, .pdf และ .exe ผู้โจมตีมักใช้ไฟล์ doc หรือ pdf ที่มีฟังก์ชันมาโครเพื่อฝังมัลแวร์ลงในเครื่องหรือเครือข่าย

4. URL ผู้อ้างอิงที่รู้จักซึ่งมี URL ที่ไม่ธรรมดา:

การระบุลิงก์ฟิชชิ่งอาจทำได้ง่ายขึ้นโดยการกรองบันทึกที่มีโดเมนอ้างอิงยอดนิยมและ URL เฉพาะออก

ความแตกต่างระหว่างการตามล่าภัยคุกคามและข่าวกรองภัยคุกคาม

ข่าวกรองภัยคุกคามคือชุดของข้อมูลเกี่ยวกับความพยายามหรือการโจมตีที่ประสบความสำเร็จ ซึ่งโดยทั่วไปจะรวบรวมและตรวจสอบโดยระบบรักษาความปลอดภัยอัตโนมัติโดยใช้การเรียนรู้ของเครื่องและปัญญาประดิษฐ์

ข้อมูลนี้จะใช้ในการตามล่าภัยคุกคามเพื่อทำการค้นหาผู้ใช้ที่ประสงค์ร้ายทั่วทั้งระบบอย่างละเอียดถี่ถ้วน

กล่าวอีกนัยหนึ่งการตามล่าภัยคุกคามเริ่มต้นเมื่อข่าวกรองภัยคุกคามสิ้นสุดลง การล่าภัยคุกคามอย่างมีประสิทธิผลสามารถค้นหาอันตรายที่ยังไม่เคยเห็นมาก่อนในป่า

ตัวบ่งชี้ภัยคุกคามบางครั้งใช้เป็นตัวนำหรือสมมติฐานในการตามล่าภัยคุกคาม ลายนิ้วมือเสมือนที่มัลแวร์หรือผู้โจมตีทิ้งไว้ ที่อยู่ IP แปลก อีเมลฟิชชิ่ง หรือทราฟฟิกเครือข่ายที่ผิดปกติอื่นๆ คือตัวอย่างทั้งหมดของตัวบ่งชี้ภัยคุกคาม

ลิงค์ด่วน:

รีวิวไซเบอร์แลป
ทบทวนผลกระทบทางไซเบอร์
รีวิวการฝึกอบรม CyberVista IT
สุดยอดโปรแกรมพันธมิตรความปลอดภัยทางไซเบอร์

สรุป: Threat Hunting 2023 คืออะไร?

ขั้นตอนตามปกติของการตรวจจับเหตุการณ์ การตอบสนอง และการแก้ไขจะเสริมอย่างมากด้วยการตามล่าภัยคุกคาม กลยุทธ์ที่ใช้ได้จริงและใช้งานได้จริงสำหรับธุรกิจคือการป้องกันตนเองจากภัยคุกคามที่คาดไม่ถึง

อย่างไรก็ตาม การตรวจสอบบันทึกของพร็อกซียังทำให้สามารถระบุผู้ใช้ที่อาจทำการคัดลอกเว็บไซต์ได้ ผู้ที่พยายามทำงานที่ถูกต้องตามกฎหมายเท่านั้นที่ประสบปัญหาในสถานการณ์เช่นนี้

ด้วยการใช้พร็อกซีหลายตัว โดยเฉพาะอย่างยิ่งพร็อกซีที่ช่วยปกปิดที่อยู่ IP ที่แท้จริง ผู้ใช้สามารถหลีกเลี่ยงไม่ให้นักล่าภัยคุกคามตรวจจับกิจกรรมของพวกเขาได้

นอกจากนี้ บันทึกของพวกเขาไม่ได้สร้างธงแดงให้กับนักล่าเหล่านี้ เนื่องจากไม่มีที่อยู่ IP เดียวสำหรับกิจกรรมทั้งหมดของพวกเขา

ในการทำเช่นนี้ คุณต้องมีพร็อกซีคุณภาพสูงที่ดูเหมือนถูกต้องตามกฎหมายสำหรับซอฟต์แวร์การล่าภัยคุกคาม เพื่อตอบคำถามของคุณ ซอฟต์แวร์การล่าภัยคุกคามโดยพื้นฐานแล้วเป็นโปรแกรมที่ดำเนินโปรโตคอลและการวิเคราะห์การตามล่าภัยคุกคาม

ลิงค์ด่วน

ผู้รับมอบฉันทะที่ดีที่สุดสำหรับการรวมค่าโดยสาร
พร็อกซีฝรั่งเศสที่ดีที่สุด
ผู้รับมอบฉันทะของ Tripadvisor ที่ดีที่สุด
พร็อกซี Etsy ที่ดีที่สุด
รหัสคูปอง IPRoyal
พร็อกซี่ TikTok ที่ดีที่สุด
พร็อกซี่ที่ใช้ร่วมกันที่ดีที่สุด