對于全世界的組織來說，互聯(lián)網已成為與水和電一樣重要的公用事業(yè)。但這也是無與倫比的安全威脅，是全球犯罪網絡的誘人大門。

即使在網絡安全上花費了數十億美元，并且對不斷增長的危險也有了高度的了解，惡意黑客仍然占據了上風?！? 2019年Hiscox網絡就緒報告》發(fā)現(xiàn)，有61%的公司報告了“網絡事件”，與上一年的45%相比有所增加。損失中位數也從229,000美元增加到369,000美元，這還不包括品牌損失。

不斷引入新的防御措施，但是這些防御措施只有在發(fā)現(xiàn)和利用下一個弱點之前才能發(fā)揮作用。

對IT網絡和系統(tǒng)的無情攻擊使組織必須找到識別和追捕網絡威脅的新方法。網絡犯罪分子已經開發(fā)出了無數種避免傳統(tǒng)防御措施的方法，因此標準方法還不夠。

在來回戰(zhàn)斗中，一種有效的新武器是“威脅搜尋”。這是跟蹤任何異?；蚩梢苫顒硬⒉粩鄴呙杈W絡以識別現(xiàn)有安全解決方案(例如基于簽名的防病毒軟件)所遺漏的復雜威脅的過程。威脅搜尋的目的是檢查端點和服務器上的活動，這些活動顯示出入侵，滲漏或數據損壞的跡象。

使該概念與傳統(tǒng)措施(防火墻，防病毒軟件，入侵檢測系統(tǒng)，沙箱等)不同的原因在于，它是主動的。這種方法試圖跟蹤所有可能的威脅并將其扼殺在萌芽狀態(tài)，從而確保業(yè)務運營不受影響。

[[316904]]

威脅搜尋實施

網絡攻擊者經常竊取機密帳戶的登錄憑據，然后轉移或刪除關鍵數據。結果可能會由于丟失敏感數據甚至勒索軟件而癱瘓業(yè)務運營。

為了有效避免這些危險，必須連續(xù)不斷地進行威脅搜尋。它是由一組分析人員(“獵人”)執(zhí)行的，他們是網絡安全專家，他們對數據和惡意軟件分析，模式識別和數據取證有深入的了解。

收集大量數據后，獵人便研究網絡和現(xiàn)有設備上的模式和行為異常。然后通過遙測源對數據進行詳細處理和分析。然后，獵人手動創(chuàng)建一個假設和行動計劃。

另外一個好處是，安全分析師可以全面了解要保護的環(huán)境。這使他們能夠直觀地應用創(chuàng)新方法。

盡管需要人工操作，但在沒有技術幫助的情況下分析大量網絡安全數據是不可能的。這就是為什么威脅搜尋平臺(尤其是基于高級算法和機器學習的威脅搜尋平臺)對于檢測網絡或端點異常至關重要。

為了提供理想的解決方案，威脅獵人應始終具備以下條件：

• 了解操作系統(tǒng)和網絡協(xié)議。
• 出色的分析和報告能力。

SANS研究所的2019年威脅搜尋調查發(fā)現(xiàn)，很少有組織成立專門的威脅搜尋團隊并將大部分精力集中在獲取技術上。

這組作者寫道：“我們懷疑這種工具在沒有技能的獵人手中有多有用，特別是如果培訓不被認為是建立一支狩獵隊的關鍵領域。” 

但是，找到那些熟練的獵人變得越來越困難。根據Gartner的數據，空缺的網絡安全職位數量預計將從2018年的100萬增加到2020年的150萬。

跟蹤威脅

威脅獵人必須對所保護的環(huán)境，其系統(tǒng)和網絡，安全原因，危險因素以及獵人的優(yōu)勢和局限有深刻的了解。最后，您必須決定什么是理想的結果。

保密

如果攻擊者獲悉企業(yè)的安全證書，他們將僅修改或更改其攻擊策略以避免被發(fā)現(xiàn)。理想情況下，威脅搜尋程序應與攻擊一樣私有，以使敵方認為它們未被發(fā)現(xiàn)。這為獵人提供了實施深思熟慮的措施的機會，以最大程度地減少損害并迅速消除威脅。

早期陷阱

保護公司IT基礎架構的一種創(chuàng)新方法是創(chuàng)建偽造的憑證并跟蹤其使用情況。一旦使用了這些憑據，威脅搜尋者就可以提醒利益相關者可能的攻擊，并從該特定方向保護企業(yè)。

可擴展性

隨著新技術的引入，威脅場景和安全要求必須發(fā)展。這對于系統(tǒng)靈活地擴展并采用和支持這些數字工具至關重要。所有企業(yè)的威脅搜尋解決方案都必須具有高度的敏捷性和響應能力。

模擬攻擊

自我測試是重要的實踐，威脅搜尋者應定期使用。要評估系統(tǒng)的健壯性，創(chuàng)建模擬攻擊并記錄系統(tǒng)滲透的速率和方式始終是一個好主意。威脅搜尋者可以使用這些結果來保護其組織。

威脅搜尋的可行性

基于舊的心態(tài)和過時的威脅的現(xiàn)有安全解決方案已不再足夠。但是威脅搜尋也不會替代所有其他網絡安全方法。取而代之的是，它有望成為對抗高級，持續(xù)性威脅并填補其他技術所無法彌補的空白的領先工具。

通過快速檢測，更快的響應以及成功拒絕可能破壞業(yè)務運營的漏洞，可以提前抵御安全威脅的回報。畢竟，今天的企業(yè)只具有安全性。