网络威胁搜寻的工作原理
网络威胁搜寻利用威胁搜寻者先发制人地搜索系统或网络中的潜在威胁和攻击。这样做可敏捷、高效地响应日益复杂、人为操作的网络攻击。传统的网络安全方法是事后识别安全漏洞,而网络威胁搜寻是在已经发生泄露的假设下进行的,可以在检测到潜在威胁时立即识别、调整和响应这些威胁。
老练的攻击者可能会入侵组织,并在很长一段时间(几天、几周,甚至更长时间)不被检测到。通过将网络威胁搜寻添加到现有的安全工具配置文件(例如终结点检测和响应 (EDR) 和安全信息和事件管理 (SIEM)),可帮助你预防其他自动化安全工具可能没检测到的攻击并进行补救。
自动威胁搜寻
网络威胁搜寻者可以使用机器学习、自动化和 AI 来自动执行该过程的某些方面。利用 SIEM 和 EDR 等解决方案,可通过监视、检测和响应潜在威胁来帮助威胁搜寻者简化搜寻过程。威胁搜寻者可以创建和自动执行不同的 playbook 来响应不同的威胁,从而在出现类似攻击时减轻 IT 团队的负担。
用于网络威胁搜寻的工具和技术
威胁搜寻者有许多可供使用的工具(包括 SIEM 和 XDR 等解决方案),它们旨在协同工作。
三种类型的网络威胁搜寻
网络威胁搜寻通常采用以下三种形式之一:
结构化:在结构化搜寻中,威胁搜寻者寻找暗示潜在威胁的可疑战术、技术和过程 (TTP)。威胁搜寻者不是接近数据或系统并寻找入侵者,而是就潜在攻击者的方法提出一个假设,并有条不紊地识别这种攻击的症状。结构化搜寻是一种更为主动的方法,因此采用这种战术的 IT 专业人员通常可以快速拦截或阻止攻击者。
非结构化:在非结构化搜寻中,网络威胁搜寻者会搜索入侵指标 (IoC),并从该起点开始搜索。 由于威胁搜寻者可以回来搜索历史数据来查找模式和线索,因此非结构化搜寻有时可以识别之前未检测到且可能仍然使组织面临风险的威胁。
情境式:情境式威胁搜寻优先考虑数字生态系统中的特定资源或数据。如果组织评估认为特定员工或资产的风险最高,它可以指示网络威胁搜寻者集中精力来防范或补救针对这些易受攻击人员、数据集或终结点的攻击。
威胁搜寻步骤与实现
网络威胁搜寻者在调查和补救威胁和攻击时通常采用以下基本步骤:
- 创建关于潜在威胁的理论或假设。威胁搜寻者可以从识别攻击者的常见 TTP 开始。
- 进行研究。威胁搜寻者调查组织的数据、系统和活动 - SIEM 解决方案可能是一个有用的工具,并收集和处理相关信息。
- 确定触发器。研究结果和其他安全工具可帮助威胁搜寻者辨别出一个起点进行调查。
- 调查威胁。威胁搜寻者使用其研究和安全工具来确定威胁是否是恶意的。
- 响应和补救。威胁搜寻者采取措施来解决威胁。
搜寻者可检测到的威胁类型
网络威胁搜寻能够识别多种不同的威胁,其中包括:
- 恶意软件和病毒:恶意软件通过获取对终结点设备的未经授权访问来妨碍常规设备的使用。网络钓鱼攻击、间谍软件、广告软件、特洛伊木马、蠕虫病毒和勒索软件都是恶意软件的示例。病毒是一种更常见的恶意软件,其目的是通过记录、损坏或删除设备的数据来干扰设备的正常操作,然后再传播到网络上的其他设备。
- 内部威胁:内部威胁来自获得授权可啊访问组织网络的个人。 无论是通过恶意操作还是无意或疏忽的行为,这些内部人员滥用组织的网络、数据、系统或设施或对其造成损害。
- 高级持续性威胁:如果老练的行动者入侵组织的网络,并在很长一段时间内未被检测到,这就会造成高级持续性威胁。这些攻击者非常熟练,而且通常资源充足。
社会工程攻击:网络攻击者可以进行操纵和欺骗来误导组织的员工,让他们泄露访问权限或敏感信息。常见的社会工程攻击包括网络钓鱼、诱饵欺诈和恐吓软件。
网络威胁搜寻的最佳做法
在组织中实施网络威胁搜寻协议时,请记住以下最佳做法:
- 让威胁搜寻者充分了解你的组织。当威胁搜寻者了解全貌时,他们是最成功的。
- 维护 SIEM、XDR 和 EDR 等配套安全工具。网络威胁搜寻者依靠这些工具提供的自动化和数据来更快地识别威胁,并在更详细的背景信息下更快地解决问题。
- 随时了解最新出现的威胁和战术。攻击者和他们的战术不断在演化,因此请确保威胁搜寻者拥有关于当前趋势的最新资源。
- 培训员工识别和报告可疑行为。让员工了解信息,降低内部威胁的可能性。
- 实施漏洞管理来减少组织的整体风险暴露。
为什么威胁搜寻对组织来说很重要
随着恶意行动者的攻击方法的日益复杂,组织在主动网络威胁搜寻方面进行投入至关重要。网络威胁搜寻与更被动的威胁防护形式相辅相成,消除了安全差距,让组织能够对可能不会被检测到的威胁进行补救。来自复杂攻击者的威胁日益加剧,这意味着企业必须加强防御,以保持人们对其处理敏感数据的能力的信任,并降低与安全漏洞相关的成本。
Microsoft Sentinel 等产品可通过收集、存储和访问云规模的历史数据、简化调查和自动执行常见任务,来帮助你先于威胁行动。这些解决方案可为网络威胁搜寻者提供强大的工具,帮助保护你的组织。
常见问题解答
-
网络威胁搜寻的一个示例是基于假设的搜寻,在这种搜寻中,威胁搜寻者识别攻击者可能采用的可疑战术、技术和过程,然后在组织的网络中搜索它们的证据。
-
威胁检测是一种主动的、通常是自动化的网络安全方法,而威胁搜寻是一种主动的非自动化方法。
-
安全运营中心 (SOC) 是一个集中式功能或团队,可能在现场也可能外包,他们负责改善组织的网络安全状况,还负责防止、检测和响应威胁。网络威胁搜寻是 SOC 用来识别和消除威胁的战术之一。
-
网络威胁搜寻工具是可供 IT 团队和威胁搜寻者使用的软件资源,可帮助检测和消除威胁。威胁搜寻工具的示例包括防病毒和防火墙保护、EDR 软件、SIEM 工具和数据分析等。
-
网络威胁搜寻的主要目的是在复杂威胁和攻击损害组织之前主动检测和消除这些威胁和攻击。
-
网络威胁智能是网络安全软件收集的信息和数据(通常是自动收集的),它是安全协议的一部分,便于更好地防范网络攻击。威胁搜寻涉及到从威胁情报中收集信息,并利用这些信息为假设和行动提供依据,以搜索和消除威胁。
关注 Microsoft 安全