如何查找安全威胁

IT安全团队一直在寻找下一个黑客或漏洞。随着攻击变得越来越先进和普遍，威胁搜索的概念和实践已经出现。

寻找安全威胁意味着在IT环境中寻找过去和现在的攻击者的痕迹。采用威胁搜索的组织使用以分析师为中心的过程来发现被自动化、预防性和侦探控制遗漏的隐藏的高级威胁。这种做法与严重依赖规则和算法的威胁检测不同。

“如果你能简单地写一条规则，那就写一条，”他说安东Chuvakin他是Gartner公司的副总裁兼杰出分析师2018高德纳安全与风险管理峰会“但这样你就不需要打猎了。”

虽然威胁搜索包括使用各种工具和流程，但人是核心。这些罕见的IT安全专业人士他们是高度和独特的技能，被称为威胁猎人，最好的人拥有系统、安全、数据分析和创造性思维技能的组合。

狩猎的主要特征

要了解威胁狩猎是什么以及它是如何工作的，请熟悉这种实践的核心特征。

• 积极主动。狩猎是指在警报产生之前寻找入侵者。在这种情况下，主动是指在入侵警报出现之前采取行动，而不是在入侵发生之前采取行动。

• 线索和假设。搜索的重点是追踪线索和想法，而不是工具和基于规则的检测的“熟”结论警报。然而，搜索通知的输出后来可以成为规则。

• Analyst-centric．实践是以分析师为中心的。猎人使用的工具在帮助他们发现隐藏的威胁方面起着辅助作用。

• 违反假设．猎者假定攻击者在您的IT环境中留下了漏洞或痕迹，无论多么细微。

• 交互和迭代。虽然狩猎包括一个追踪最初线索或线索的过程，但很可能会有许多支点和“支线任务”——所有这些都是为了寻找入侵者的证据。

• 特设和创造性的方法。大多数专家都认为，狩猎不是遵循规则，而是一个创造性的过程和一种松散的方法，专注于智胜熟练的人类攻击者。

• Knowledge-reliant．威胁查找依赖于高级威胁知识和组织IT环境的深入知识。然后，组织会更多地了解他们的IT环境，并找到攻击者隐藏的地方。

你需要威胁猎人吗?

威胁搜索适用于资源充足的情况安全组织面对持续和隐秘的威胁。那些雇佣威胁猎人或猎人团队的公司通常已经最大化了他们的警报分类和检测内容开发流程，并成熟了他们的安全事件响应功能。

以下问题将帮助你决定是否需要雇佣一个威胁猎人或一队猎人:

• 你是隐形高级威胁的目标吗?
• 您是否有合理的需要将威胁响应时间推迟到第一个警报时间之前?
• 您是否担心安全控制部署和成熟后的残留风险?
• 难道事故不是由警报引起的吗?

如果你的回答表明你应该进行威胁搜索:

• 你能雇佣和留住一流的保安人员吗?
• 您是否已经改进和优化了检测和响应控制和流程?
• 你有成熟的吗安全操作中心吗?
• 您对环境有足够的可视性吗?

组织可以从顾问、供应商或现有员工开始——这些人偶尔会进行特别的狩猎活动，但还没有正式成为猎人。

Chuvakin指出，虽然存在外包选项，但很少有供应商具备所需的能力。许多是托管安全服务提供商(msps)，而不是托管威胁搜索(MTH)提供商。