2018年6月7日
2018年6月7日
贡献者:Jill Beadle
准备在威胁检测工具和方法方面采取下一步措施的组织应该探索新兴的威胁搜索实践,以提高其安全性和监控操作。
IT安全团队一直在寻找下一个黑客或漏洞。随着攻击变得越来越先进和普遍,威胁搜索的概念和实践已经出现。
寻找安全威胁意味着在IT环境中寻找过去和现在的攻击者的痕迹。采用威胁搜索的组织使用以分析师为中心的过程来发现被自动化、预防性和侦探控制遗漏的隐藏的高级威胁。这种做法与严重依赖规则和算法的威胁检测不同。
“如果你能简单地写一条规则,那就写一条,”他说安东Chuvakin他是Gartner公司的副总裁兼杰出分析师2018高德纳安全与风险管理峰会“但这样你就不需要打猎了。”
虽然威胁搜索包括使用各种工具和流程,但人是核心。这些罕见的IT安全专业人士他们是高度和独特的技能,被称为威胁猎人,最好的人拥有系统、安全、数据分析和创造性思维技能的组合。
要了解威胁狩猎是什么以及它是如何工作的,请熟悉这种实践的核心特征。
威胁搜索适用于资源充足的情况安全组织面对持续和隐秘的威胁。那些雇佣威胁猎人或猎人团队的公司通常已经最大化了他们的警报分类和检测内容开发流程,并成熟了他们的安全事件响应功能。
以下问题将帮助你决定是否需要雇佣一个威胁猎人或一队猎人:
如果你的回答表明你应该进行威胁搜索:
组织可以从顾问、供应商或现有员工开始——这些人偶尔会进行特别的狩猎活动,但还没有正式成为猎人。
Chuvakin指出,虽然存在外包选项,但很少有供应商具备所需的能力。许多是托管安全服务提供商(msps),而不是托管威胁搜索(MTH)提供商。
加入您的同行,在高德纳会议上揭开最新的见解。
为Gartner客户推荐的资源*:
如何查找安全威胁作者:Anton Chuvakin。
*请注意,有些文档可能不是所有Gartner客户都能获得。