在剛剛結(jié)束不久的RSA會(huì)議上，研究人員表示如果實(shí)施得當(dāng)，威脅追蹤可以幫助企業(yè)保持對威脅的領(lǐng)先。

許多已經(jīng)實(shí)施了網(wǎng)絡(luò)威脅追蹤能力的組織并沒有從中獲得充分的好處，原因是他們?nèi)狈Ρ匾募寄芙M合，或者是因?yàn)樗麄儧]有完全將其作為網(wǎng)絡(luò)安全計(jì)劃的一部分。

Digital Guardian公司的CISO和管理安全服務(wù)副總裁Tim Bandos說，公司常犯的錯(cuò)誤包括低估了所需的時(shí)間和沒有得到自上而下的支持。

Bandos說："不管是在內(nèi)部還是通過管理服務(wù)提供商進(jìn)行威脅搜索，都是整體網(wǎng)絡(luò)安全戰(zhàn)略的一個(gè)重要組成部分。威脅追蹤不是等待事件發(fā)生，而是為企業(yè)提供一種方法，通過設(shè)置陷阱和尋找環(huán)境中暗示可疑活動(dòng)的行為來主動(dòng)尋找潛在問題。"他說："但是，除非它是你的計(jì)劃的一個(gè)正式部分，否則你不可能在這方面取得成功。

近年來，人們對主動(dòng)獵取威脅以保持對新的和正在出現(xiàn)的威脅的興趣越來越大。安全研究人員將其描述為給企業(yè)提供了一種方法，試圖發(fā)現(xiàn)可能已經(jīng)溜走或繞過入侵檢測和預(yù)防控制的威脅。威脅搜索的想法是假設(shè)一個(gè)漏洞已經(jīng)發(fā)生，然后使用攻擊者可能會(huì)使用的相同技術(shù)追蹤它可能發(fā)生的所有不同方式。重點(diǎn)不在于單獨(dú)追捕已知的威脅，而在于發(fā)現(xiàn)新的威脅。

Gartner以前曾描述過網(wǎng)絡(luò)威脅搜索的作用，特別是對于那些已經(jīng)最大限度地提高了他們的警報(bào)分流、檢測和響應(yīng)過程，并正在尋求進(jìn)一步改善其安全狀況的組織。

Bandos說，威脅搜索是企業(yè)需要持續(xù)進(jìn)行的工作，以MITRE的ATT&CK框架等資源為起點(diǎn)。該框架提供了不同的技術(shù)和子技術(shù)，威脅者通常采用這些技術(shù)作為攻擊鏈的一部分。安全團(tuán)隊(duì)可以通過搜索他們的環(huán)境，尋找任何這些技術(shù)被用來啟用或混淆惡意活動(dòng)的跡象，從而學(xué)到很多。他說：“你可以在整個(gè)星期內(nèi)通過你的環(huán)境搜索這些技術(shù)中的任何一個(gè)，潛心研究。”

同樣，企業(yè)可以從他們的端點(diǎn)環(huán)境的日志中了解到很多，或者通過對過去一周可能創(chuàng)建的所有賬戶進(jìn)行分析，將合法的賬戶與可能更可疑的賬戶區(qū)分開來。

成功的威脅獵殺需要對新的和正在出現(xiàn)的攻擊者戰(zhàn)術(shù)、技術(shù)和程序有所了解。同樣，它也需要有不斷回頭看老技術(shù)的意愿，因?yàn)楣粽咄鶅A向于堅(jiān)持使用他們熟悉的、以前對他們有用的戰(zhàn)術(shù)。

為了進(jìn)行有效的威脅追蹤，安全團(tuán)隊(duì)需要有一個(gè)可靠的數(shù)據(jù)源，如安全信息和事件管理系統(tǒng)，該系統(tǒng)具有來自多個(gè)來源的集中式日志。即使是來自個(gè)別環(huán)境的日志--如端點(diǎn)檢測和響應(yīng)、防病毒工具、網(wǎng)絡(luò)和數(shù)據(jù)丟失預(yù)防(DLP)系統(tǒng)，也足以用于威脅追蹤。一旦定義了數(shù)據(jù)源，威脅獵手就需要使用不同的技術(shù)對其進(jìn)行搜索。

例如，目標(biāo)可能是獵取環(huán)境中的憑證傾銷跡象。他說：“你要匯總所有你知道的關(guān)于憑證轉(zhuǎn)儲(chǔ)程序和命令的威脅情報(bào)，并圍繞你要圍繞這些日志積極尋找的東西建立一個(gè)游戲手冊。同樣的方法可以應(yīng)用于MITRE ATT&CK等框架中列出的每一種不同的攻擊技術(shù)。”

他說："我將從關(guān)注一個(gè)特定的技術(shù)開始，然后從那里爆發(fā)出一個(gè)點(diǎn)，你可以從你的環(huán)境中的每一個(gè)端點(diǎn)收集一個(gè)特定的工件，并通過這些數(shù)據(jù)進(jìn)行搜索。"這就是你開始提高你在威脅追蹤領(lǐng)域的能力的時(shí)候。作為一個(gè)例子，他指出了存儲(chǔ)在所有機(jī)器上的應(yīng)用程序兼容性緩存。緩存包含在特定機(jī)器上運(yùn)行的所有進(jìn)程的記錄。僅僅圍繞這一數(shù)據(jù)源，企業(yè)就可以開展整個(gè)獵殺活動(dòng)。

正確的技能組合

要想做好這個(gè)工作，威脅獵手需要對安全架構(gòu)、資產(chǎn)安全、應(yīng)用安全和其他基礎(chǔ)知識(shí)有堅(jiān)實(shí)的了解。他們還需要一定程度的事件響應(yīng)技能，包括日志分析、惡意軟件分析、取證和威脅情報(bào)處理。此外，威脅獵手需要有分析能力、耐心和不懈的努力，Bandos說。這項(xiàng)工作可能很乏味，那些沒有正確態(tài)度的人可能很快就會(huì)感到沮喪。

獵取威脅的一個(gè)挑戰(zhàn)是衡量成功。有時(shí)可能不清楚，威脅獵取演習(xí)一無所獲是因?yàn)檠萘?xí)本身沒有正確進(jìn)行，還是因?yàn)榇_實(shí)沒有什么可發(fā)現(xiàn)的。特別是在較小的環(huán)境中，威脅獵手可能經(jīng)常沒有發(fā)現(xiàn)任何新的或隱藏的威脅。