什麼是威脅狩獵 2023? [完整指南]

已發表: 2023-03-22

網絡威脅搜尋是一種主動的互聯網安全方法,威脅搜尋者可以在其中尋找可能隱藏在公司網絡中的安全隱患

與自動化威脅檢測系統等更被動的網絡安全搜索技術相比,網絡搜索主動尋找以前未檢測到、未識別或未補救的威脅,這些威脅可能已經躲過了您的網絡的自動防禦機制。

目錄

什麼是威脅搜尋?

主動尋找潛伏在網絡上未被發現的網絡威脅的行為稱為威脅搜尋。 網絡威脅搜尋會在您的環境中搜索已經通過初始端點安全措施的惡意行為者。

有些危險更加複雜和先進,而大多數危險無法通過安全系統。 幾週以來,攻擊者可以在系統和文件中保持未被發現,同時通過網絡緩慢前進以收集更多數據。

在此過程中可能會過去數週甚至數月。 它可以很容易地逃避安全工具和人員的檢測,而無需主動搜尋。

Threat Hunting

為什麼威脅搜尋很重要?

由於復雜的威脅可以逃避自動化網絡安全,因此威脅搜尋至關重要。

即使自動化安全工具和第 1 層和第 2 層安全運營中心 (SOC) 分析師應該能夠處理大約80%的威脅,您仍然需要關注其餘 20% 的威脅。

其餘 20% 的威脅更可能是複雜的並且能夠造成重大傷害。

攻擊者可以秘密進入網絡並在那裡停留數月,因為他們會默默地收集信息、搜索敏感文檔或獲取允許他們在環境中漫遊的登錄憑據。

許多企業缺乏先進的檢測技能,無法在對手成功逃避檢測並且攻擊突破了組織的防禦措施後阻止高級持續性威脅在網絡中徘徊。

因此,威脅搜尋是任何防禦策略的關鍵要素。

威脅搜尋的類型

IBM 官網對威脅搜尋的三種主要類型進行了相當恰當的解釋。 根據他們的博客,威脅狩獵有以下幾種類型:

1.結構化獵殺

攻擊指示 (IoA)和攻擊者的戰術、方法和程序(TTP)是系統搜索的基礎。

每一次追捕都是根據威脅行為者的 TTP 計劃好的。 正因為如此,獵人經常在攻擊者有機會破壞環境之前識別出威脅者。

2.非結構化狩獵

臨時搜索是基於觸發器發起的,觸發器是許多妥協指標(IoC)之一。 此觸發器通常用於促使獵手尋找檢測前和檢測後的模式

在數據保留和先前相關犯罪允許的範圍內,獵人可以進行研究以製定他們的計劃。

3. 情境或實體驅動

情境假設可以通過組織的內部風險評估或對其 IT 基礎設施獨有的趨勢和弱點的調查來產生。

從公眾收集的攻擊數據,在審查時顯示持續網絡威脅的最新 TTP,是創建面向實體的線索的地方。 然後,威脅獵手可以掃描周圍環境以查找這些特定行為。

威脅搜尋如何工作?

軟件解決方案的人性化方面和海量數據處理能力相結合,可以有效地追捕網絡威脅。

人類威脅獵手依靠來自複雜安全監控和分析工具的數據來幫助他們主動發現和消除威脅。

他們的目標是利用解決方案和情報/數據來尋找可能通過使用諸如在陸地上生活等策略來躲避正常防禦的對手。

直覺、道德和戰略思維以及創造性的問題解決都是網絡狩獵過程的重要組成部分。

通過利用“網絡威脅獵手”帶來的這些人類特徵,而不是僅僅依靠自動威脅檢測系統,組織能夠更快、更準確地解決威脅。

網絡威脅獵手

誰是網絡威脅獵手?

Cyber​​ Threat Hunters 為企業安全增添了人情味,增強了自動化措施。 他們是技術嫻熟的 IT 安全專業人員,可以在威脅有機會成為嚴重問題之前識別、記錄、監視和消除威脅。

儘管他們偶爾是外部分析師,但理想情況下他們是了解公司 IT 部門運作的安全分析師。

威脅獵手搜索安全信息。 他們尋找計算機可能遺漏或認為已處理但未處理的可疑行為模式,以及隱藏的惡意軟件或攻擊者。

它們還有助於修補企業的安全系統,以防止將來發生同類入侵。

什麼是威脅狩獵

威脅搜尋的先決條件

威脅搜尋者必須首先建立預期或批准事件的基線,以便更好地發現異常情況,使網絡威脅搜尋有效。

然後,威脅獵手可以使用此基線和最新的威脅情報來瀏覽威脅檢測技術收集的安全數據和信息。

這些技術可能包括託管檢測和響應 (MDR)安全分析工具安全信息和事件管理 (SIEM) 解決方案。

威脅獵手在獲得來自各種來源(包括端點、網絡和雲數據)的數據後,可以在您的系統中搜索潛在危險、可疑活動或偏離常態的觸發器。

如果發現威脅或已知威脅情報指向新的可能威脅,威脅獵手可以創建假設並進行廣泛的網絡調查。

威脅獵手在這些調查期間尋找信息,以確定威脅是有害的還是良性的,或者網絡是否得到適當保護以免受新出現的網絡威脅。

威脅搜尋方法

威脅獵手開始調查時假設對手已經存在於系統中,並尋找可能表明存在敵對活動的奇怪行為。

這種調查的開始通常屬於主動威脅搜尋的三個類別之一。

為了主動保護組織的系統和信息,所有這三種策略都涉及將威脅情報資源與尖端安全技術相結合的人力努力。

1.假設驅動的調查

通過龐大的眾包攻擊數據數據庫發現的新危險經常引發假設驅動的調查,提供有關攻擊者使用的最新策略、技術和程序 (TTP) 的信息。

一旦檢測到新的 TTP,威脅獵手將檢查攻擊者的獨特行為是否存在於他們自己的環境中。

2. 基於已識別的攻擊指標或妥協指標的調查

使用戰術威脅情報,這種威脅搜尋方法列出了與新威脅相關的已知 IOC 和 IOA。 然後威脅獵手可以利用這些作為觸發器來發現潛在的隱蔽攻擊或正在進行的有害活動。

3. 高級分析和機器學習調查

第三種方法使用機器學習和高級數據分析來挖掘大量數據,以尋找可能指向可能的敵對活動的異常情況。

這些異常成為狩獵線索,由知識淵博的分析師檢查以發現隱蔽的危險。

使用代理進行威脅搜尋

威脅獵手可能會在 Web 代理記錄中找到大量信息。 這些代理充當接收請求的服務器或設備與發送請求的設備之間的管道。

Web 代理生成的一組通用數據可用於發現異常或可疑行為。

例如,組織中的威脅獵手可能會分析 Web 代理日誌中包含的危險信息,並發現cURL 和 SharePoint 站點等用戶代理的可疑活動。

他們提請注意問題並發現請求是合法的並且來自 DevOps 團隊。

為了檢查這些日誌並找出其中的任何惡意個體,威脅獵手採用了各種協議和方法。 Web 代理日誌經常提供以下詳細信息:

  • 目標 URL(主機名)
  • 目的IP
  • HTTP 狀態
  • 域類別
  • 協議
  • 目的端口
  • 用戶代理
  • 請求方法
  • 設備操作
  • 請求的文件名
  • 期間

**和更多!

使用代理日誌進行威脅搜尋是如何工作的?

了解威脅搜尋後,讓我們研究 Web 代理日誌如何幫助這些獵手。 分析人員必須採用多種方法來查找漏洞和參與網絡的惡意方,因為 Web 代理日誌包含多個數據片段。

1.查看阻塞流量:

重要的是找出導致用戶訪問特定網站的原因,即使該網站可能已被組織的用戶禁止訪問。 這可能意味著他們的計算機已被感染。

2、帶IP請求的URL:

這種過濾可以通過使用硬編碼 IP 地址來發現繞過 DNS 安全限制的日誌。

3. 帶有文件擴展名的網址:

此過濾器使帶有 .doc、.pdf 和 .exe 等文件擴展名的潛在危險 URL 可見。 攻擊者經常利用具有宏功能的 doc 或 pdf 文件將惡意軟件植入機器或網絡。

4. 已知引薦來源網址與不常見網址:

通過過濾掉包含流行推薦域和獨特 URL 的日誌,可以更容易地識別網絡釣魚鏈接。

威脅搜尋與威脅情報之間的區別

威脅情報是關於嘗試或成功入侵的數據集合,通常由使用機器學習和人工智能的自動化安全系統收集和檢查。

此信息用於威脅搜尋,以對惡意用戶進行全面的系統範圍搜索。

換句話說,威脅搜尋從威脅情報結束的地方開始。 富有成效的威脅追捕還可以發現野外尚未發現的危險。

威脅指標有時被用作威脅搜尋中的線索或假設。 惡意軟件或攻擊者留下的虛擬指紋、奇怪的 IP 地址、網絡釣魚電子郵件或其他異常網絡流量都是威脅指標的示例。

快速鏈接:

  • 網絡實驗室評論
  • Cyber​​Impact 評論
  • Cyber​​Vista IT 培訓回顧
  • 最佳網絡安全聯盟計劃

結論:什麼是威脅追踪 2023?

事件檢測、反應和補救的通常程序得到威脅搜尋的有力補充。 對企業來說,一個現實可行的策略是加強自身抵禦不可預見的威脅。

儘管如此,監控代理日誌也可以識別可能正在抓取網站的用戶。 那些僅僅試圖完成合法任務的人在這種情況下會遇到問題。

通過使用多個代理,特別是那些有助於隱藏其真實 IP 地址的代理,用戶可以避免威脅獵手發現他們的活動。

此外,他們的日誌不會對這些獵手發出危險信號,因為他們的所有活動都沒有一個單一的 IP 地址。

為此,您需要對威脅搜尋軟件而言合法的高質量代理。 要回答您的問題,威脅搜尋軟件基本上是一個執行威脅搜尋協議和分析的程序。

快速鏈接

  • 旅行費用匯總的最佳代理
  • 最佳法國代理人
  • 最佳 Tripadvisor 代理
  • 最佳 Etsy 代理
  • IPRoyal 優惠券代碼
  • 最佳 TikTok 代理
  • 最佳共享代理