“威胁狩猎”是我遇到的少数几个对非工程师的人来说听起来很酷的IT术语之一。但是,网络威胁追踪并不只是一个行业流行语,也不只是一项添加到你简历上的听起来很前卫的技能。这也是一个成熟的重要方面网络安全策略。
“威胁狩猎”指的是寻找网络安全攻击的迹象,以便在攻击发生或造成更大破坏之前加以预防。这是一种通过持续监视和分析来保护组织It资产和数据的前瞻性策略。威胁狩猎通常需要像攻击者一样思考,并在弱点暴露前发现它们。
在这个世界上黑客发射攻击每39秒数据泄露的平均成本将近400万美元,你不会想让你的组织防守的。相反,你应该在攻击发生之前就做好准备。如果保护和监控您的网络是您组织的优先事项,威胁狩猎必须是IT安全流程的一部分。
那么你的组织应该如何开始一项有效的威胁狩猎策略呢?
下面,我概述了威胁捕捉的最佳实践,以及您和您的团队在保护网络安全时应该记住的一些工具。
7个威胁狩猎的最佳实践
威胁猎人应遵循一些基本的最佳实践来检测和防止潜在的攻击。下面,我概述了许多方法,你可以有效地开始狩猎威胁。
1.了解你的环境
如果您不知道IT环境中的“正常”是什么样子的,您将无法检测到发出可疑行为信号的差异和异常。深入了解环境的例程和体系结构将帮助您更快地检测何时出现了问题。这个过程称为基线化。
例如,您知道内部和外部流量之间的基线平衡吗?哪些IP地址应该不应该访问您的网络?您的网络通常在星期天早上与星期三中午相比看起来像什么?可疑流量模式通常是网络事件的第一个指标,但在不知道网络的起点是什么的而无法检测到它们。
2.像攻击者一样思考
当你采取主动的方法检测威胁时——这是成熟的安全策略的标志——你需要进入网络罪犯的头脑。通过像攻击者那样查看系统,您可以更好地了解自己的漏洞和弱点在哪里。
威胁建模练习(可以安全地模拟对系统的攻击,以了解它的行为)是非常有用的工具。选择环境的某些部分作为目标将有助于您从攻击者的角度来查看它。分析你的团队和环境的反应将帮助你:
- 了解您在威胁检测和响应工作中可以改进的地方
- 了解哪里需要修补漏洞
- 为您提供模拟的历史数据,这些数据将提醒您真正的攻击是什么样的。
3.前往源头
是时候去卧底了。爬上暗网,保持对论坛活动的关注,攻击者和网络罪犯在论坛上闲逛,并计划他们的下一步行动(本指南将帮助您安全地做到这一点)。攻丝进入这些非法网络有助于您完成研究以更好地了解攻击者。它还可以帮助您更好地了解这些攻击者是谁以及可能激励他们攻击您的业务的攻击者。它甚至可以让您有机会在实时看到 - 并防止攻击。
4.不要忘记基本的
建立有效的端点安全是保护网络的步骤编号。特别是随着更多员工从家中工作,从各种场所和设备访问您的网络,端点安全对整体网络保护更为关键。
确保这些主要入口点是安全的——并在它们受到攻击时接收即时警报——可以帮助您保持对威胁的检测。
> Download now: Learn how to improve your IT security with better threat detection and prevention tool deployment."}" data-sheets-userformat="{"2":13193,"3":{"1":0},"6":{"1":[{"1":2,"2":0,"5":[null,2,0]},{"1":0,"2":0,"3":3},{"1":1,"2":0,"4":1}]},"10":1,"11":4,"12":0,"15":"Open Sans","16":8}" style="color: #45a142;">下载资讯科技安全[白皮书]
5.建立完整的网络可见性
用你对自己的网络和网络犯罪黑社会的所有知识武装起来,你准备好了抵御攻击。但如果没有网络可见性,你仍然只能在黑暗中射击。通过网络监控和网络安全解决方案。
6.让安全性 - 不攻击 - 内部工作
超过三分之一的数据泄露涉及内部演员。无论这些内部事件是故意的,还是由于粗心或无知造成的,你的同事了解基本的网络安全实践是至关重要的。确保每个员工都知道不要通过电子邮件发送敏感信息或打开他们不希望看到的文档附件,这对防止攻击大有帮助。安装和监控基本的网络安全和威胁检测工具也可以帮助您跟踪可疑的内部行为。
当你通过向你的同事提供基本的网络安全知识,让他们成为威胁猎人,你将更有可能防止、检测和转移攻击,无论他们的目标是什么。
7.实践不断提高警惕
网络罪犯总是在寻找攻击易受攻击的IT环境的下一个最佳方式。你也应该高兴。
要成为一名有效的威胁猎人,你应该时刻掌握攻击趋势,并不断学习现代攻击方法。当您了解了它的起源以及它对您的网络的影响后,您将更好地应对下一个重大威胁。
重要的威胁狩猎工具
在你进入网络荒野之前,穿上合适的威胁狩猎装备。以下是一些基本的工具,每个威胁猎人都应该有,并知道如何使用。
网络可视性套件
上面讨论的大多数最佳做法都涉及您和您的团队亲自投入威胁狩猎的努力。深入了解您的IT环境,进入攻击者的心态,以及教育关于安全风险的同事需要很多时间和精力。
然而,最好的实践之一是不仅仅依靠你自己的努力——一个可以快速实现的努力——就是建立网络可见性。使用正确的套装网络可视化工具如果你知道自己的网络一直都有人关注,你就可以安心了。
数据日志
您需要全面访问您的数据的任何其他工具。挖入日志中的数据可以帮助您开始查看模式。并理解基于您的历史数据的标准表现看起来像是帮助您相比之下地看到什么可疑,恶意或异常活动在您的特定IT环境中可能看起来像。
自动安全警报系统
您可以将这些工具视为适合您的IT环境的防盗警报系统。你可能自己就能看到或察觉到威胁。但是警报系统可以发出警报并阻止安全漏洞,或者至少为潜在的入侵者设置障碍。
以下是一些你应该研究的系统:
- 安全信息事件管理(SIEM)软件
- 入侵检测系统(IDS)
- 端点检测和响应(EDR)
你最好的工具就是你的团队
网络事件发生。当他们这样做时,你的团队的响应时间很重要。
这意味着你需要对收集和分析数据的时间和频率做出预期。建立一个时间表,为预防演习留出时间,如威胁建模,以检测和阻止违规。
想部署一个威胁追踪解决方案,但不确定如何整合网络可见性?我们的团队就是你的团队!加入我们的简短网络设计咨询或演示。没有义务,这是我们喜欢做的。
