“威胁搜索”是我遇到的为数不多的IT术语之一,可能对非工程师的人来说听起来很酷。但是,网络威胁搜索不仅仅是一个行业流行语,或者是一项可以添加到你简历上的尖锐技能。这也是成熟的一个重要方面网络安全战略。
威胁狩猎是寻找网络安全攻击迹象的行为,以防止它们发生或做太多损坏。这是一个主动策略,通过持续监测和分析来保护您的组织的IT资产和数据。威胁狩猎往往涉及像攻击者一样思考,并在被妥协之前发现弱点。
在一个黑客发射攻击每39秒一次数据泄露的平均成本将近400万美元,你不会想让你的组织防守的。相反,你会希望在攻击发生之前抢先一步。如果保护和监控您的网络是您组织的优先事项,威胁狩猎必须是IT安全流程的一部分。
那么你的组织应该如何开始有效的威胁狩猎策略?
下面,我概述了威胁狩猎最佳实践以及您和您的团队在保护网络时应记住的几个工具。
7 .威胁搜寻最佳实践
威胁猎人应遵循一些基本的最佳实践来检测和防止潜在的攻击。下面,我概述了许多方法,你可以有效地开始狩猎威胁。
1.了解你的环境
如果您不知道IT环境中的“正常”看起来像什么,您将无法检测到信号可疑行为的差异和异常。获得对环境的常规和架构的深入了解,将帮助您更快地检测到何时关闭。这个过程称为基线。
例如,您知道内部和外部流量之间的基线平衡吗?哪些IP地址应该不应该访问您的网络?您的网络通常在星期天早上与星期三中午相比看起来像什么?可疑流量模式通常是网络事件的第一个指标,但在不知道网络的起点是什么的而无法检测到它们。
2.像攻击者一样思考
当你采取一种主动的方法来检测威胁时——这是一个成熟的安全策略的标志——你需要进入网络罪犯的头脑中。通过像攻击者那样查看您的系统,您可以更好地了解您的弱点和弱点在哪里。
威胁建模练习是非常有用的工具,您可以安全地模拟对系统的攻击,以了解其行为。选择环境中的某些部分作为目标将有助于您通过攻击者的眼睛来查看它。分析你的团队和环境对你的反应会对你有帮助:
- 了解您在威胁检测和响应工作中可以改进的地方
- 了解需要在何处修补漏洞
- 为您提供模拟的历史数据,这些数据将提醒您真正的攻击是什么样的。
3.前往源头
是时候卧底了。蠕动到黑暗的网络上,保持在攻击者和网络犯罪分子闲逛的论坛中的活动之上,并绘制下一个移动(本指南将帮助您安全地这样做)。攻丝进入这些非法网络有助于您完成研究以更好地了解攻击者。它还可以帮助您更好地了解这些攻击者是谁以及可能激励他们攻击您的业务的攻击者。它甚至可以让您有机会在实时看到 - 并防止攻击。
4.不要忘记最基本的
建立有效的端点安全是保护网络的步骤编号。特别是随着更多员工从家中工作,从各种场所和设备访问您的网络,端点安全对整体网络保护更为关键。
确保这些主要入口点是安全的,并在妥协时接收立即警报 - 可以帮助您留在威胁检测之上。
> Download now: Learn how to improve your IT security with better threat detection and prevention tool deployment."}" data-sheets-userformat="{"2":13193,"3":{"1":0},"6":{"1":[{"1":2,"2":0,"5":[null,2,0]},{"1":0,"2":0,"3":3},{"1":1,"2":0,"4":1}]},"10":1,"11":4,"12":0,"15":"Open Sans","16":8}" style="color: #45a142;">>>下载IT安全[白皮书]
5.建立完整的网络可见性
有了对自己的网络和网络黑社会的所有知识武装起来,你就做好了抵御攻击的准备。但是没有网络可见性,你仍然只是在黑暗中射击。通过网络监控和网络监控来了解网络中正在发生的事情网络安全解决方案。
6.让安全性 - 不攻击 - 内部工作
超过三分之一的数据泄露涉及内部演员。无论这些内部事件是故意的,还是由于粗心或无知引起的,重要的是你的同事了解基本的网络安全实践。确保每个员工都知道不要通过电子邮件或打开的文件附件发送敏感信息,这对防止攻击大有帮助。安装和监控基本的网络安全和威胁检测工具还可以帮助您跟踪可疑的内部行为。
当您通过为他们提供基本的网络安全知识时将同事们作为威胁猎人作为威胁猎人,在他们瞄准的地方,您将更有可能预防,检测和偏转攻击。
7.实践不断提高警惕
网络犯罪分子将始终在寻找下一个攻击脆弱IT环境的最佳方式。你也应该是。
要成为一个有效的威胁猎人,您应该保持攻击趋势,并不断了解现代攻击方法。当您了解其起源以及它可以对您的网络可以做的事情时,您将更好地为下一个大威胁做好准备。
基本的威胁搜索工具
在你进入网络荒野之前,穿上合适的威胁狩猎装备。下面是一些每个威胁猎人都应该掌握并知道如何使用的基本工具。
网络可视性套件
上面讨论的大多数最佳做法都涉及您和您的团队亲自投入威胁狩猎的努力。深入了解您的IT环境,进入攻击者的心态,以及教育关于安全风险的同事需要很多时间和精力。
但是,最好的做法之一不仅仅依靠你的努力——一个相对容易实现的努力——就是建立网络可见性。使用正确的套件网络可视化工具,你可以让你在你的网络上睁大眼睛。
数据日志
您需要全面访问您的数据的任何其他工具。挖入日志中的数据可以帮助您开始查看模式。并理解基于您的历史数据的标准表现看起来像是帮助您相比之下地看到什么可疑,恶意或异常活动在您的特定IT环境中可能看起来像。
自动安全警报系统
您可以考虑这些工具,如窃贼警报系统的IT环境。您可以自己看到或检测自己的威胁。但警报系统可以发出警报和阻止安全漏洞 - 或者至少将障碍妨碍潜在入侵者。
以下是一些您应该调查的系统:
- 安全信息事件管理(SIEM)软件
- 入侵检测系统(IDS)
- 端点检测和响应(EDR)
你最好的工具是你的团队
网络事件发生。当他们这样做时,你的团队的回应时间很重要。
这意味着你需要对收集和分析数据的时间和频率有所期待。建立一个时间表,为预防性练习留出时间,如威胁建模,以检测和阻止违规行为。
希望部署一个威胁查找解决方案,但不确定如何集成网络可见性?我们的团队就是你们的团队!加入我们一个简短的网络设计 - IT咨询或演示。没有义务 - 这就是我们喜欢做的事情。
