黑料不打烊

什麼是威胁搜捕?

威脅搜寻是搜寻網路威脅的做法,否則這些威脅可能在您的網路中未被侦测到。據 絡威脅狩猎可能與現實世界狩猎非常相似。 它需要一位技術獨特的專業人員,具備相當大的耐心、批判性思維、創造力和發現獵物的敏銳眼光,通常以網絡行為異常的形式出現。”

什麼是威胁搜捕?

最好假设你已经被入侵

威脅追捕是必要的,因為沒有任何網絡安全保護始終是 100% 有效的。 需要主動防禦,而不是依靠「設置並忘記」的安全工具。

?

某些威胁(例如“”)涉及攻擊者試圖在您的應用程式中獲得更長期的持久性。保持未被發現對此攻擊的成功至關重要。 不幸的是,大多數攻擊都會成功保持未被發現。 一項研究發現,識別和控制漏洞所需的平均時間為 280 天。

威脅狩猎定義

威脅狩猎涉及使用手動和軟體輔助技術來侦测遠離其他安全系統的可能威脅。 更具體地說,威脅狩猎任務包括:

?

  1. 寻找组织内存在的威胁,以及攻击者可以植入的任何内容以擷取资讯并造成损害
  2. 主动寻找全球任何地方出现的威胁
  3. 设置陷阱,基本上等待威胁追捕你

威脅狩猎過程

若要寻找威胁,您需要执行下列作业:

?

  • 收集品质数据
  • 使用工具来分析它
  • 具有理解所有内容的技能

?

該過程始於收集足夠數量的高質量數據,因為質量不佳的數據輸入將導致無效的威脅搜索。 收集的資料可以包括日誌檔案、伺服器、網路裝置(即防火墙、交換器、路由器)、資料庫和端点。

?

接下來,威脅獵人必須搜索模式和潛在的入侵指標(IOC)。 如果您正在監控,則必須有人查看日誌。 通常,組織沒有足夠的资源和人力來專注於持續的入侵侦测監控。 最後一步是相應的回应。

你在寻找什麼?

入侵指標 (IOC):可協助识别已发生的潜在恶意活动包括鑑识资料和记录档等因素

?

攻擊指標 (IOA):雖然與 IOC 相似,但 IOA 可以幫助您了解進行中的攻擊

?

网路為基础的工件:使用會話記錄、封包擷取和網路狀態監控等工具搜寻惡意軟體通訊

?

基於主机的工件:搜寻端点並在註冊表、檔案系統和其他地方尋找惡意軟體交互

尋找和调查妥協和攻擊的指標

威胁追捕需要寻找的范围,以及识别不适合的东西的方法,例如:

?

  • 不规则交通
  • 帐户异常活动
  • 登录和档案系统变更
  • 远端工作阶段中使用之前未见的命令

?

為了找到异常情况,首先对定期活动有基本了解很重要。 檢測到指示器後,請遵循軌跡。 這通常是通過建立假設,然後確定每個國際奧委會是否是威脅來完成的。 某些物聯網可能會使用粗糙的方法,並提供明顯的證據。 例如,前往組織不與其進行任何業務的國家/地區的流量增加。 调查 IOC 也可能涉及在實驗室中進行工作,以重現某些類型的流量,以檢查其在虛擬環境中的行為。

?

在受控的環境中,例如 SCADA,檢測出異常的東西更容易。 而企業環境通常具有多樣化的流量,因此侦测更為一個挑戰。 安全解决方案(例如反惡意軟體)對於已經映射和分析的惡意程式碼最有效,而全新的程式碼更難以侦测。

?

雖然過多的工具可能會使威脅搜寻變得複雜,但安全資訊和事件管理(安全性資訊與事件管理)以及事件關聯工具會有所幫助。另一方面,它們也可能阻礙您查看細節的能力。 云端資安的统一方法是理想的。

威脅狩猎技巧

YARA 規則可讓您建立規則集來協助配對和識別惡意軟體。“您可以根据文字或二进位模式创建恶意软体系列(或您想要描述的任何内容)的描述。”

?

複雜的惡意軟體通常隱藏在其他東西中以滲透服务主機,例如係統始終運行的 Windows 進程。如果他們設法注入惡意程式碼,則可以以無法侦测到的方式執行惡意操作。 Windows 登錄是惡意軟體可能隱藏的另一個關鍵位置。與預設系統登錄進行比较,並调查任何變更。

?

您介绍的详细等级取决於组织的优先顺序和每個系統擁有的自由度。 檢查始終處於活動狀態的關鍵系統程序的完整性是威脅搜寻的鑑識方面的重要部分。

有效的团队

「狩猎可以涉及機器和手動技術。 與安全性資訊與事件管理等其他自動化系統不同,狩猎涉及人類以更複雜的方式狩猎威脅的能力。”

?

有效的威脅狩猎團隊的一個重要屬性是溝通。 威胁猎人还必须熟练撰写报告,并教育他人有关威胁和风险。 為了協助管理層根據自己的發現做出良好的決策,團隊必須能夠以外行的方式來談論他們發現的內容。 總體而言,狩猎更是一個分析師,而不是工程師的角色。

威脅狩猎必須成為云端資安統一方法的一部分

黑料不打烊 Intelligence and Threat Hunting, part of the 黑料不打烊 Cloud Native Security platform, provides cloud native threat security forensics through rich, machine learning visualization, giving real-time context of threats and anomalies across your multi-cloud environment.

?

黑料不打烊 ingests cloud native log and event data, delivering contextualized visualizations of your entire public cloud infrastructure and cloud security analytics, helping to enhance:

?

  • 事件回应(云端鑑識):有關網路活動和帳戶行為的警示通知
  • 網路故障排除:VPC 和 VNET 中的即時配置和流量監控機能,舉凡臨時狀況與 Amazon AWS、Microsoft Azure 和 Google Cloud Platform 中的云端原生平台組件。
  • 合规性:有關違規和的即時通知,助您漂亮通過稽核