對于全世界的組織來說，互聯(lián)網(wǎng)已成為與水和電一樣重要的公用事業(yè)。但這也是無與倫比的安全威脅，是全球犯罪網(wǎng)絡(luò)的誘人大門。

[[319967]]

即使在網(wǎng)絡(luò)安全上花費了數(shù)十億美元，并且對不斷增長的危險也有了高度的了解，惡意黑客仍然占據(jù)了上風(fēng)。《 2019年Hiscox網(wǎng)絡(luò)就緒報告》發(fā)現(xiàn)，有61%的公司報告了“網(wǎng)絡(luò)事件”，與上一年的45%相比有所增加。損失中位數(shù)也從229,000美元增加到369,000美元，這還不包括品牌損失。

不斷引入新的防御措施，但是這些防御措施只有在發(fā)現(xiàn)和利用下一個弱點之前才能發(fā)揮作用。

對IT網(wǎng)絡(luò)和系統(tǒng)的無情攻擊使組織必須找到識別和追捕網(wǎng)絡(luò)威脅的新方法。網(wǎng)絡(luò)犯罪分子已經(jīng)開發(fā)出了無數(shù)種避免傳統(tǒng)防御措施的方法，因此標準方法還不夠。

在來回戰(zhàn)斗中，一種有效的新武器是“威脅搜尋”。這是跟蹤任何異?；蚩梢苫顒硬⒉粩鄴呙杈W(wǎng)絡(luò)以識別現(xiàn)有安全解決方案(例如基于簽名的防病毒軟件)所遺漏的復(fù)雜威脅的過程。威脅搜尋的目的是檢查端點和服務(wù)器上的活動，這些活動顯示出入侵，滲漏或數(shù)據(jù)損壞的跡象。

使該概念與傳統(tǒng)措施(防火墻，防病毒軟件，入侵檢測系統(tǒng)，沙箱等)不同的原因在于，它是主動的。這種方法試圖跟蹤所有可能的威脅并將其扼殺在萌芽狀態(tài)，從而確保業(yè)務(wù)運營不受影響。

威脅搜尋實施

網(wǎng)絡(luò)攻擊者經(jīng)常竊取機密帳戶的登錄憑據(jù)，然后轉(zhuǎn)移或刪除關(guān)鍵數(shù)據(jù)。結(jié)果可能會由于丟失敏感數(shù)據(jù)甚至勒索軟件而癱瘓業(yè)務(wù)運營。

為了有效避免這些危險，必須連續(xù)不斷地進行威脅搜尋。它是由一組分析人員(“獵人”)執(zhí)行的，他們是網(wǎng)絡(luò)安全專家，他們對數(shù)據(jù)和惡意軟件分析，模式識別和數(shù)據(jù)取證有深入的了解。

收集大量數(shù)據(jù)后，獵人便研究網(wǎng)絡(luò)和現(xiàn)有設(shè)備上的模式和行為異常。然后通過遙測源對數(shù)據(jù)進行詳細處理和分析。然后，獵人手動創(chuàng)建一個假設(shè)和行動計劃。

另外一個好處是，安全分析師可以全面了解要保護的環(huán)境。這使他們能夠直觀地應(yīng)用創(chuàng)新方法。

盡管需要人工操作，但在沒有技術(shù)幫助的情況下分析大量網(wǎng)絡(luò)安全數(shù)據(jù)是不可能的。這就是為什么威脅搜尋平臺(尤其是基于高級算法和機器學(xué)習(xí)的威脅搜尋平臺)對于檢測網(wǎng)絡(luò)或端點異常至關(guān)重要。

為了提供理想的解決方案，威脅獵人應(yīng)始終具備以下條件：

• 了解操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議。
• 出色的分析和報告能力。

SANS研究所的2019年威脅搜尋調(diào)查發(fā)現(xiàn)，很少有組織成立專門的威脅搜尋團隊并將大部分精力集中在獲取技術(shù)上。

這組作者寫道：“我們懷疑這種工具在沒有技能的獵人手中有多有用，特別是如果培訓(xùn)不被認為是建立一支狩獵隊的關(guān)鍵領(lǐng)域。”

但是，找到那些熟練的獵人變得越來越困難。根據(jù)Gartner的數(shù)據(jù)，空缺的網(wǎng)絡(luò)安全職位數(shù)量預(yù)計將從2018年的100萬增加到2020年的150萬。

跟蹤威脅

威脅獵人必須對所保護的環(huán)境，其系統(tǒng)和網(wǎng)絡(luò)，安全原因，危險因素以及獵人的優(yōu)勢和局限有深刻的了解。最后，您必須決定什么是理想的結(jié)果。

保密

如果攻擊者獲悉企業(yè)的安全證書，他們將僅修改或更改其攻擊策略以避免被發(fā)現(xiàn)。理想情況下，威脅搜尋程序應(yīng)與攻擊一樣私有，以使敵方認為它們未被發(fā)現(xiàn)。這為獵人提供了實施深思熟慮的措施的機會，以很大程度地減少損害并迅速消除威脅。

早期陷阱

保護公司IT基礎(chǔ)架構(gòu)的一種創(chuàng)新方法是創(chuàng)建偽造的憑證并跟蹤其使用情況。一旦使用了這些憑據(jù)，威脅搜尋者就可以提醒利益相關(guān)者可能的攻擊，并從該特定方向保護企業(yè)。

可擴展性

隨著新技術(shù)的引入，威脅場景和安全要求必須發(fā)展。這對于系統(tǒng)靈活地擴展并采用和支持這些數(shù)字工具至關(guān)重要。所有企業(yè)的威脅搜尋解決方案都必須具有高度的敏捷性和響應(yīng)能力。

模擬攻擊

自我測試是重要的實踐，威脅搜尋者應(yīng)定期使用。要評估系統(tǒng)的健壯性，創(chuàng)建模擬攻擊并記錄系統(tǒng)滲透的速率和方式始終是一個好主意。威脅搜尋者可以使用這些結(jié)果來保護其組織。

威脅搜尋的可行性

基于舊的心態(tài)和過時的威脅的現(xiàn)有安全解決方案已不再足夠。但是威脅搜尋也不會替代所有其他網(wǎng)絡(luò)安全方法。取而代之的是，它有望成為對抗高級，持續(xù)性威脅并填補其他技術(shù)所無法彌補的空白的領(lǐng)先工具。

通過快速檢測，更快的響應(yīng)以及成功拒絕可能破壞業(yè)務(wù)運營的漏洞，可以提前抵御安全威脅的回報。畢竟，今天的企業(yè)只具有安全性。