網(wǎng)絡攻擊每天都在增加，其頻率和復雜程度也在增加; 更糟糕的是，它們經(jīng)常繞過組織現(xiàn)有的保護控制。因此，除了其他安全層(如防病毒程序和防火墻)之外，組織還必須部署主動的威脅搜索活動，以便盡早檢測并修復威脅，以減輕損害。開始攻擊威脅計劃的公司在成功時會有所成功，但他們是否能夠實現(xiàn)這一目標?

不幸的是，沒有任何組織可以要求100%的安全性，許多人不得不承受臭名昭著的數(shù)據(jù)泄露和數(shù)百萬美元的損失。根據(jù)2018年的威脅狩獵報告，44%的受訪者估計未被發(fā)現(xiàn)的數(shù)據(jù)泄露的財務影響超過50萬美元。

在本文中，我們將向您介紹有效威脅搜尋的10個技巧，這些技巧將幫助您的組織更好地應對麻煩的網(wǎng)絡攻擊并避免合規(guī)性問題和財務損失。

[[250770]]

1. 了解你的環(huán)境

威脅搜尋旨在發(fā)現(xiàn)異常活動，否則可能會對您的公司造成嚴重損害。了解您環(huán)境中的正?；顒邮抢斫夥钦；顒拥南葲Q條件。如果您了解正常的操作活動，那么任何異常都應該突出并注意到。

因此，獵人應該花費大量時間來了解他們環(huán)境中的正常和日常事件。此外，分析師必須了解包括系統(tǒng)，應用程序和網(wǎng)絡在內(nèi)的完整體系結構，以便他們能夠發(fā)現(xiàn)可能為攻擊者提供機會的弱點和漏洞。

此外，與IT內(nèi)外的關鍵人員建立關系至關重要。事實上，這些人可以幫助威脅獵人區(qū)分異常活動和正?；顒?。例如，威脅獵手發(fā)現(xiàn)的每個問題并不總是攻擊。相反，它可能只是一種不安全的做法。為了改善組織的安全態(tài)勢，威脅獵人必須充當有效的“變革推動者”，如果沒有與他人的信任關系，這是不可能的。

2. 想象一下你是一個攻擊者

一個好的威脅搜尋練習要求威脅獵人像攻擊者一樣思考。通常情況下，威脅獵手的任務是主動追擊對手，并結束入侵的可能性。但是，如果發(fā)生了攻擊，他們需要減輕其影響以減少傷害。但是，總是尋找入侵的跡象并不是一個很好的方法。相反，威脅獵手應該努力預測攻擊者的下一步行動。

一旦威脅獵人知道攻擊者可能會做什么，他們應該設置一些觸發(fā)器，一旦攻擊者執(zhí)行此移動就應該觸發(fā)。CB Response等工具可用于確定攻擊者的行動。

請記住：沒有任何組織總是擁有完美且難以理解的安全措施，而且攻擊者現(xiàn)在使用非常復雜的技術來繞過公司的監(jiān)控工具和大多數(shù)安全措施。因此，威脅獵人應該超越對手的期望，以防止攻擊成為主要的噩夢。

3. 制定OODA戰(zhàn)略

OODA是Observe，Orient，Decide和Act的縮寫。軍事人員在進行戰(zhàn)斗行動時應用OODA。同樣，威脅獵人在網(wǎng)絡戰(zhàn)期間使用OODA。在威脅搜尋的背景下，OODA的工作原理如下：

• 觀察：第一階段涉及從端點進行常規(guī)數(shù)據(jù)收集
• Orient：徹底了解收集的數(shù)據(jù)，并將此信息與其他收集的信息相結合，以幫助理解其含義。之后，分析是否發(fā)生了對流量的命令和控制(C&C)的標志或檢測到任何攻擊跡象
• 決定：一旦分析了信息，就需要確定行動方案。如果事件發(fā)生，威脅獵手將執(zhí)行事件響應策略
• 行動：最后階段涉及執(zhí)行計劃以結束入侵并增強公司的安全態(tài)勢。采取進一步措施以防止將來發(fā)生同類型的攻擊

4. 使用足夠的資源

威脅狩獵被認為是當今最好的安全解決方案之一。但是，投入足夠的資源，包括人員，系統(tǒng)和工具，對于有效地進行威脅搜尋是不可或缺的。

人員是指威脅獵手，他們必須具備操作系統(tǒng)(OS)和子系統(tǒng)的深入知識，例如應用程序服務器，Web服務器，數(shù)據(jù)庫服務器，數(shù)據(jù)庫管理系統(tǒng)，更重要的是網(wǎng)絡，Wi-Fi系統(tǒng)和Internet共。了解CB響應工具也很有幫助。

5. 保護所有端點

端點安全是客戶端/服務器信息安全方法，用于通過監(jiān)視端點(網(wǎng)絡設備)，其活動，軟件，身份驗證和授權來保護公司的網(wǎng)絡。保護所有端點至關重要，因為疏忽可能會給對手留下空白點。通常，除了位于每個端點上的客戶端安全軟件之外，還通過安裝在網(wǎng)絡中集中管理的服務器或網(wǎng)關上的安全軟件來確保端點安全性。

僅使用防病毒程序無法阻止高級持久性威脅(APT)。因此，組織也應該部署端點保護解決方案，例如CB Response或Comodo端點保護軟件。

6. 網(wǎng)絡可見性是關鍵

除了在所有端點上部署威脅搜索工具之外，還必須深入了解網(wǎng)絡環(huán)境中的攻擊模式和活動。您可以通過使用允許您具有網(wǎng)絡可見性的其他工具來實現(xiàn)此目的。

在您設置高級端點工具時，還應使用入侵檢測系統(tǒng)(IDS)，入侵防御系統(tǒng)(IPS)，NetFlow，Web過濾器，防火墻和數(shù)據(jù)丟失防護系統(tǒng)(DLP)等工具。通過這種方式，您可以驗證攻擊并收集有關可能表示違規(guī)的異常流量模式的寶貴知識。

7. 注意威脅狩獵的人性

威脅搜尋的一個關鍵部分是與公司的主要IT人員進行有效和高效的溝通。這意味著威脅獵人應該以不同的方式與端點工程師，應用程序開發(fā)人員，服務臺和系統(tǒng)工程師協(xié)同工作。威脅獵人實際上需要與他們進行有效溝通，以便了解關鍵系統(tǒng)和應用程序的操作。在搜索敵人時，獵人會發(fā)現(xiàn)網(wǎng)絡，系統(tǒng)和應用程序的設計和實施中的漏洞。

威脅獵手和關鍵IT人員之間的信任關系是不可或缺的。最重要的是，在響應事件時，您需要他們的協(xié)作。只有通過確保相互信任，您才能夠在環(huán)境中的弱點和漏洞面前一起正確診斷惡意活動并執(zhí)行補救。

8. 記錄你的狩獵記錄

優(yōu)秀的威脅獵手不僅試圖遏制或消除惡意入侵，還記錄他們在IT環(huán)境中執(zhí)行的每一次威脅搜索。您不僅需要詳細說明每個案例的技術信息，更重要的是，您需要記錄與公司相關的業(yè)務知識，例如，尋找原因。

但如果沒有合理收集數(shù)據(jù)，好的文檔就不值得。必須選擇一種可以幫助您組織威脅搜尋活動的工具，以便在您懷疑反復入侵并與其他方分享知識時重新審視您的步驟。可用于組織數(shù)據(jù)的工具可能包括報告工具，分析工具甚至Microsoft Excel。

9. 保持刀鋒鋒利

即使最好的武器也會生銹，除非它得到照顧。為了有效地開展工作，威脅獵人需要做好準備，并始終對可疑活動保持警惕。由于網(wǎng)絡犯罪分子正在尋找數(shù)十種新方法來滲透安全系統(tǒng)，因此威脅獵手需要不斷學習和發(fā)展他們的技能，以便讓自己能夠應對挑戰(zhàn)。

每個職業(yè)威脅獵人都必須花時間接受技術培訓

10. 及時了解現(xiàn)代攻擊趨勢

在不斷發(fā)展的技術世界中，威脅行為者每天都在開發(fā)新的攻擊。網(wǎng)絡犯罪分子具有創(chuàng)造性，他們正在利用這種創(chuàng)造力不斷發(fā)明新的犯罪方法。威脅獵人需要跟上不斷變化的網(wǎng)絡攻擊格局。

在不久的將來，他們將會為他們做很多工作。根據(jù)Alert Logic 2018年的威脅搜索報告，安全專家將55%的高級威脅檢測作為其安全運營中心(SOC)的首要挑戰(zhàn)。此外，43%的安保人員缺乏足夠的技能來緩解這些威脅。此外，36%的自動化工具嚴重缺乏威脅性能力。為了防止入侵，威脅獵人必須自己掌握現(xiàn)代威脅形勢和犯罪分子發(fā)現(xiàn)進行攻擊的復雜技術。