什么是威胁狩猎 2023? [完整指南]

已发表: 2023-03-22

网络威胁搜寻是一种主动的互联网安全方法,威胁搜寻者可以在其中寻找可能隐藏在公司网络中的安全隐患

与自动化威胁检测系统等更被动的网络安全搜索技术相比,网络搜索主动寻找以前未检测到、未识别或未补救的威胁,这些威胁可能已经躲过了您的网络的自动防御机制。

目录

什么是威胁搜寻?

主动寻找潜伏在网络上未被发现的网络威胁的行为称为威胁搜寻。 网络威胁搜寻会在您的环境中搜索已经通过初始端点安全措施的恶意行为者。

有些危险更加复杂和先进,而大多数危险无法通过安全系统。 几周以来,攻击者可以在系统和文件中保持未被发现,同时通过网络缓慢前进以收集更多数据。

在此过程中可能会过去数周甚至数月。 它可以很容易地逃避安全工具和人员的检测,而无需主动搜寻。

Threat Hunting

为什么威胁搜寻很重要?

由于复杂的威胁可以逃避自动化网络安全,因此威胁搜寻至关重要。

即使自动化安全工具和第 1 层和第 2 层安全运营中心 (SOC) 分析师应该能够处理大约80%的威胁,您仍然需要关注其余 20% 的威胁。

其余 20% 的威胁更可能是复杂的并且能够造成重大伤害。

攻击者可以秘密进入网络并在那里停留数月,因为他们会默默地收集信息、搜索敏感文档或获取允许他们在环境中漫游的登录凭据。

许多企业缺乏先进的检测技能,无法在对手成功逃避检测并且攻击突破了组织的防御措施后阻止高级持续性威胁在网络中徘徊。

因此,威胁搜寻是任何防御策略的关键要素。

威胁搜寻的类型

IBM 官网对威胁搜寻的三种主要类型进行了相当恰当的解释。 根据他们的博客,威胁狩猎有以下几种类型:

1.结构化猎杀

攻击指示 (IoA)和攻击者的战术、方法和程序(TTP)是系统搜索的基础。

每一次追捕都是根据威胁行为者的 TTP 计划好的。 正因为如此,猎人经常在攻击者有机会破坏环境之前识别出威胁者。

2.非结构化狩猎

临时搜索是基于触发器发起的,触发器是许多妥协指标(IoC)之一。 此触发器通常用于促使猎手寻找检测前和检测后的模式

在数据保留和先前相关犯罪允许的范围内,猎人可以进行研究以制定他们的计划。

3. 情境或实体驱动

情境假设可以通过组织的内部风险评估或对其 IT 基础设施独有的趋势和弱点的调查来产生。

从公众收集的攻击数据,在审查时显示持续网络威胁的最新 TTP,是创建面向实体的线索的地方。 然后,威胁猎手可以扫描周围环境以查找这些特定行为。

威胁搜寻如何工作?

软件解决方案的人性化方面和海量数据处理能力相结合,可以有效地追捕网络威胁。

人类威胁猎手依靠来自复杂安全监控和分析工具的数据来帮助他们主动发现和消除威胁。

他们的目标是利用解决方案和情报/数据来寻找可能通过使用诸如在陆地上生活等策略来躲避正常防御的对手。

直觉、道德和战略思维以及创造性的问题解决都是网络狩猎过程的重要组成部分。

通过利用“网络威胁猎手”带来的这些人类特征,而不是仅仅依靠自动威胁检测系统,组织能够更快、更准确地解决威胁。

网络威胁猎手

谁是网络威胁猎手?

Cyber​​ Threat Hunters 为企业安全增添了人情味,增强了自动化措施。 他们是技术娴熟的 IT 安全专业人员,可以在威胁有机会成为严重问题之前识别、记录、监视和消除威胁。

尽管他们偶尔是外部分析师,但理想情况下他们是了解公司 IT 部门运作的安全分析师。

威胁猎手搜索安全信息。 他们寻找计算机可能遗漏或认为已处理但未处理的可疑行为模式,以及隐藏的恶意软件或攻击者。

它们还有助于修补企业的安全系统,以防止将来发生同类入侵。

什么是威胁狩猎

威胁搜寻的先决条件

威胁搜寻者必须首先建立预期或批准事件的基线,以便更好地发现异常情况,使网络威胁搜寻有效。

然后,威胁猎手可以使用此基线和最新的威胁情报来浏览威胁检测技术收集的安全数据和信息。

这些技术可能包括托管检测和响应 (MDR)安全分析工具安全信息和事件管理 (SIEM) 解决方案。

威胁猎手在获得来自各种来源(包括端点、网络和云数据)的数据后,可以在您的系统中搜索潜在危险、可疑活动或偏离常态的触发器。

如果发现威胁或已知威胁情报指向新的可能威胁,威胁猎手可以创建假设并进行广泛的网络调查。

威胁猎手在这些调查期间寻找信息,以确定威胁是有害的还是良性的,或者网络是否得到适当保护以免受新出现的网络威胁。

威胁搜寻方法

威胁猎手开始调查时假设对手已经存在于系统中,并寻找可能表明存在敌对活动的奇怪行为。

这种调查的开始通常属于主动威胁搜寻的三个类别之一。

为了主动保护组织的系统和信息,所有这三种策略都涉及将威胁情报资源与尖端安全技术相结合的人力努力。

1.假设驱动的调查

通过庞大的众包攻击数据数据库发现的新危险经常引发假设驱动的调查,提供有关攻击者使用的最新策略、技术和程序 (TTP) 的信息。

一旦检测到新的 TTP,威胁猎手将检查攻击者的独特行为是否存在于他们自己的环境中。

2. 基于已识别的攻击指标或妥协指标的调查

使用战术威胁情报,这种威胁搜寻方法列出了与新威胁相关的已知 IOC 和 IOA。 然后威胁猎手可以利用这些作为触发器来发现潜在的隐蔽攻击或正在进行的有害活动。

3. 高级分析和机器学习调查

第三种方法使用机器学习和高级数据分析来挖掘大量数据,以寻找可能指向可能的敌对活动的异常情况。

这些异常成为狩猎线索,由知识渊博的分析师检查以发现隐蔽的危险。

使用代理进行威胁搜寻

威胁猎手可能会在 Web 代理记录中找到大量信息。 这些代理充当接收请求的服务器或设备与发送请求的设备之间的管道。

Web 代理生成的一组通用数据可用于发现异常或可疑行为。

例如,组织中的威胁猎手可能会分析 Web 代理日志中包含的危险信息,并发现cURL 和 SharePoint 站点等用户代理的可疑活动。

他们提请注意问题并发现请求是合法的并且来​​自 DevOps 团队。

为了检查这些日志并找出其中的任何恶意个体,威胁猎手采用了各种协议和方法。 Web 代理日志经常提供以下详细信息:

  • 目标 URL(主机名)
  • 目的IP
  • HTTP 状态
  • 域类别
  • 协议
  • 目的端口
  • 用户代理
  • 请求方法
  • 设备操作
  • 请求的文件名
  • 期间

**和更多!

使用代理日志进行威胁搜寻是如何工作的?

了解威胁搜寻后,让我们研究 Web 代理日志如何帮助这些猎手。 分析人员必须采用多种方法来查找漏洞和参与网络的恶意方,因为 Web 代理日志包含多个数据片段。

1.查看阻塞流量:

重要的是找出导致用户访问特定网站的原因,即使该网站可能已被组织的用户禁止访问。 这可能意味着他们的计算机已被感染。

2、带IP请求的URL:

这种过滤可以通过使用硬编码 IP 地址来发现绕过 DNS 安全限制的日志。

3. 带有文件扩展名的网址:

此过滤器使带有 .doc、.pdf 和 .exe 等文件扩展名的潜在危险 URL 可见。 攻击者经常利用具有宏功能的 doc 或 pdf 文件将恶意软件植入机器或网络。

4. 已知引荐来源网址与不常见网址:

通过过滤掉包含流行推荐域和独特 URL 的日志,可以更容易地识别网络钓鱼链接。

威胁搜寻与威胁情报之间的区别

威胁情报是关于尝试或成功入侵的数据集合,通常由使用机器学习和人工智能的自动化安全系统收集和检查。

此信息用于威胁搜寻,以对恶意用户进行全面的系统范围搜索。

换句话说,威胁搜寻从威胁情报结束的地方开始。 富有成效的威胁追捕还可以发现野外尚未发现的危险。

威胁指标有时被用作威胁搜寻中的线索或假设。 恶意软件或攻击者留下的虚拟指纹、奇怪的 IP 地址、网络钓鱼电子邮件或其他异常网络流量都是威胁指标的示例。

快速链接:

  • 网络实验室评论
  • Cyber​​Impact 评论
  • Cyber​​Vista IT 培训回顾
  • 最佳网络安全联盟计划

结论:什么是威胁追踪 2023?

事件检测、反应和补救的通常程序得到威胁搜寻的有力补充。 对企业来说,一个现实可行的策略是加强自身抵御不可预见的威胁。

尽管如此,监控代理日志也可以识别可能正在抓取网站的用户。 那些仅仅试图完成合法任务的人在这种情况下会遇到问题。

通过使用多个代理,特别是那些有助于隐藏其真实 IP 地址的代理,用户可以避免威胁猎手发现他们的活动。

此外,他们的日志不会对这些猎手发出危险信号,因为他们的所有活动都没有一个单一的 IP 地址。

为此,您需要对威胁搜寻软件而言合法的高质量代理。 要回答您的问题,威胁搜寻软件基本上是一个执行威胁搜寻协议和分析的程序。

快速链接

  • 旅行费用汇总的最佳代理
  • 最佳法国代理人
  • 最佳 Tripadvisor 代理
  • 最佳 Etsy 代理
  • IPRoyal 优惠券代码
  • 最佳 TikTok 代理
  • 最佳共享代理