網路威脅搜捕的運作方式
網路威脅搜捕利用威脅搜捕者先發制人地搜尋系統或網路內的潜在威脅和攻擊。這樣做可以敏捷、高效地應對日益複雜的人為操作網路攻擊。雖然傳統的網路安全性方法在事後識別安全性缺口,但網路威脅搜捕是在假設已發生缺口的情况下進行的,並且可以在偵測到潜在威脅後立即識別、調整和回應。
複雜的攻擊者可以入侵組織,並在很長一段時間內 (幾天、幾週甚至更長時間) 不被發現。將網路威脅搜捕新增至您現有的安全性工具設定檔中,如端點偵測及回應 (EDR) 以及安全性資訊與事件管理 (SIEM),可以協助您預防和補救自動安全性工具可能無法偵測到的攻擊。
自動化威脅搜捕
網路威脅搜捕者可以透過使用機器學習、自動化和 AI 來自動化流程的某些方面。利用 SIEM 和 EDR 等解決方案可以協助威脅搜捕者透過監視、偵測和回應潜在威脅來簡化搜捕程序。威脅搜捕者可以建立並自動化不同的劇本,以回應不同的威脅,從而在出現類似攻擊時減輕 IT 小組的負擔。
網路威脅搜捕工具和技術
威脅搜捕者有許多工具可供使用,包括 SIEM 和 XDR 等旨在協同工作的解決方案。
三種類型的網路威脅搜捕
網路威脅搜捕通常採取以下三種形式之一:
結構化:在結構化搜捕中,威脅搜捕者會尋找指示潜在威脅的可疑策略、技術和程序 (TTP)。威脅搜捕者不是接近資料或系統並尋找入侵者,而是對潜在攻擊者的方法進行假設,並有條不紊地識別攻擊的徵兆。由於結構化搜捕是更積極主動的方法,使用這種策略的 IT 專業人員通常可以快速攔截或封鎖攻擊者。
非結構化:在非結構化搜捕中,網路威脅搜捕者搜尋入侵指標 (IoC) ,並從此起點進行搜尋。由於威脅搜捕者可以返回並搜尋歷史資料以尋找模式和線索,因此非結構化搜捕有時可以識別先前未發現的威脅,這些威脅仍可能使組織面臨風險。
情境:情境威脅搜捕優先考慮數位生態系統中的特定資源或資料。如果組織評估特定員工或資產具有最高風險,其可以指導網路威脅搜捕者集中精力,或預防或補救針對這些易受攻擊人群、資料集或端點的攻擊。
威脅搜捕步驟和實作
網路威脅搜捕著在調查和補救威脅和攻擊時通常遵循以下基本步驟:
- 建立關於潜在威脅的理論或假設。威脅搜捕者可以從識別攻擊者的常見 TTP 開始。
- 進行研究。威脅搜捕者調查組織的資料、系統和活動 - SIEM 解決方案可能是實用的工具—並收集和處理相關資訊。
- 識別觸發程序。研究結果和其他安全性工具可以協助威脅搜捕者區分調查的起點。
- 調查威脅。威脅搜捕者使用其研究和安全性工具來確定威脅是否是惡意的。
- 回應和補救。威脅搜捕者採取動作以解决威脅。
搜捕者可以偵測到的威脅類型
網路威脅搜捕能够識別各種不同的威脅,包括以下威脅:
- 惡意軟體和病毒:惡意軟體透過未經授權存取端點裝置來阻礙正常裝置的使用。網路釣魚攻擊、間諜軟體、廣告軟體、特洛伊木馬程式、蠕蟲和勒索軟體都是惡意軟體的範例。病毒是更常見的惡意軟體形式,旨在透過在傳播到網路上的其他裝置之前記錄、損毀或删除裝置的資料來干擾裝置的正常運作。
- 內部威脅:內部威脅 源於有權存取組織網路的個人。無論是透過惡意動作還是無意或疏忽行為,這些內部誤用或對組織的網路、資料、系統或設施造成損害。
- 進階持續性威脅:侵入組織網路並在一段時間內未被發現的精密策劃執行者代表進階持續性威脅。這些攻擊者技術嫺熟,而且往往資源充足。
社交工程攻擊:網路攻擊者可以使用操作和欺騙,誤導組織員工洩露存取或敏感性資訊。常見的社交工程攻擊包括網路釣魚、引誘和恐嚇軟體。
網路威脅搜捕最佳做法
在組織中實作網路威脅搜捕通訊協定時,請牢記以下最佳做法:
- 讓威脅搜捕者取得對貴組織的全面可見度。當威脅搜捕者進行全面了解時,其最為成功。
- 維護互補安全性工具,如 SIEM、XDR 和 EDR。網路威脅搜捕者依靠這些工具提供的自動化和資料來更快地識別威脅,並在具備更大內容的情況下更快地解决問題。
- 掌握最新出現之威脅和策略的資訊。攻擊者及其策略不斷發展—確保您的威脅搜捕者掌握目前趨勢的最新資源。
- 訓練員工識別和回報可疑行為。透過讓員工隨時了解情况,减少內部威脅的可能性。
- 實作弱點管理以减少組織的整體風險暴露風險。
為什麼威脅搜捕對組織十分重要
隨著惡意執行者的攻擊方法日益複雜,組織投資於主動網路威脅搜捕至關重要。作為對更被動的威脅防護形式的補充,網路威脅搜捕填補了安全性間隙,使組織能够補救原本未被發現的威脅。複雜攻擊者的威脅加劇表示組織必須加強防禦,以保持對其處理敏感性資料能力的信任,並降低與安全性缺口相關的成本。
像 Microsoft Sentinel 這樣的產品可以透過雲端規模收集、儲存和存取歷史資料、簡化調查和自動化常見工作,協助您領先於威脅。這些解決方案可以為網路威脅搜捕者提供強大的工具,協助保護貴組織。
常見問題集
-
網路威脅搜捕的一個範例是假設型搜捕,其中威脅搜捕者識別出攻擊者可能使用的可疑策略、技術和程序,然後在組織的網路中搜尋其證據。
-
威脅偵測是主動、通常自動化的網路安全性方法,而威脅搜捕是主動式、非自動化的方法。
-
安全性作業中心 (SOC) 是集中式函式或小組,無論是現場還是外包,負責改善組織的網路安全性態勢,預防、偵測和回應威脅。網路威脅搜捕是 SOC 用於識別和補救威脅的策略之一。
-
網路威脅搜捕工具是 IT 小組和威脅搜捕者可用於協助偵測和補救威脅的軟體資源。威脅搜捕工具的範例包括防毒軟體和防火牆防護、EDR 軟體、SIEM 工具和資料分析。
-
網路威脅搜捕的主要目的是在複雜的威脅和攻擊傷害組織之前主動偵測和補救。
-
網路威脅情報是網路安全性軟體收集的資訊和資料,通常是自動收集的,作為其安全性通訊協定的一部分,以更好地抵禦網路攻擊。威脅搜捕包括從威脅情報中收集資訊,並使用其為搜尋和補救威脅的假設和動作提供資訊。
關注 Microsoft 安全性