0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

虹科分享丨网络安全知识专栏:关于“威胁狩猎”你需要知道的一些事

虹科网络可视化技术 2023-07-21 11:45 次阅读

什么是威胁狩猎

网络威胁狩猎是指一种主动寻找和识别网络中潜在威胁的活动。它是一种针对已知和未知威胁的持续监测和调查过程,旨在发现那些可能

已经逃避传统安全防御措施的威胁行为。

SANS研究所将威胁狩猎定义为:

从本质上讲,威胁狩猎是一种主动识别攻击迹象的方法,与之相反,安全运营中心(SOC)的分析师则采取了更加被动的方法。具有完善狩猎团队的组织更有可能在攻击早期就抓住攻击者。威胁狩猎人员利用工具和丰富的经验来主动“过滤”网络和终端数据,持续寻找可疑的异常值或正在进行的攻击的痕迹。他们利用威胁情报来更好地了解攻击者的战术、技术和过程(TTP)。最重要的是,威胁狩猎人员会就可能发生的攻击如何建立假设,并搜索数据以证明该假设

网络威胁狩猎通常涉及以下活动:

1、数据分析

对网络和系统的日志、事件和流量数据进行深入分析,寻找异常模式、异常行为或其他异常迹象。

2、威胁情报利用

利用外部威胁情报(如公开的漏洞信息、恶意IP地址、恶意软件样本等)来指导狩猎活动,并与内部数据进行对比。

3、指标定义

定义潜在的威胁指标(Threat Indicators),例如特定的网络活动、行为模式或异常事件,以帮助识别威胁。

4、线索追踪

通过跟踪和分析各种线索,如异常登录、异常网络通信、不寻常的文件操作等,来寻找潜在的攻击行为或恶意活动。

5、威胁模型开发

根据已知的攻击模式、技术和威胁行为,构建威胁模型,以指导狩猎活动,并发现类似的威胁行为。

6、响应和修复

如果发现潜在的威胁或恶意活动,及时采取措施进行响应、调查和修复。

威胁狩猎的核心思想

威胁狩猎的关键是观念的转变,从关注攻击者转向关注自身。企业的业务通常是有规律可循的,即使大量数据产生,如果安全人员持续观察自身业务,也能发现微妙的变化。

无论攻击者采用何种入侵方式,入侵后必然会破坏系统或窃取数据,这将打乱业务规律或产生异常。若安全人员将精力集中在自身上,深入了解自身,找到自身的规律,任何攻击者的行动都能得到反映。这即是威胁狩猎的核心思想,通过采集自身的精细数据,深度分析并总结出的规律和运转状态,以发现异常情况。

为什么狩猎威胁很重要

在当今复杂的数字环境中,网络威胁在不断发展,仅靠传统的防御机制是不够的。威胁狩猎提供了额外的安全层,以下是它至关重要的几个原因:

• 主动防御

威胁狩猎不是等待警报,而是主动搜索潜在威胁,从而加快检测和响应速度。

• 高级威胁检测

威胁狩猎可以检测传统方法经常遗漏的高级和持续威胁。

• 降低风险

威胁狩猎可以通过更早地识别威胁来减轻损害并降低风险。

• 更好地了解威胁

威胁狩猎可以帮助您的组织了解其面临的威胁类型,从而改进未来的防御和策略。

威胁狩猎技术能用到的工具

您使用的工具取决于您的组织的攻击面以及您希望保护的程度。有几种工具可以帮助进行网络威胁搜索,例如SIEM系统、EDR系统、人工智能机器学习以及威胁情报平台。

安全信息和事件管理 (SIEM) 系统

安全信息和事件管理 (SIEM) 系统是网络安全中不可或缺的工具,可对组织网络中生成的安全警报进行实时分析。这些系统收集和聚合跨网络硬件和软件基础架构(从主机系统和应用程序到网络和安全设备)生成的日志数据。通过识别可能暗示安全威胁的模式和异常,SIEM 工具有助于检测和响应事件,为合规性报告提供有价值的数据并改善整体安全状况。

端点检测和响应 (EDR) 系统

端点检测和响应 (EDR) 系统是监控和分析端点设备活动的网络安全工具,以识别、预防和响应潜在威胁。这些系统从端点收集和存储数据,采用高级分析来检测可疑行为或入侵指标。在发生安全事件时,EDR 系统提供全面的洞察和响应功能,使安全团队能够快速调查和缓解威胁。

人工智能和机器学习工具

人工智能 (AI) 和机器学习 (ML)工具是用于创建能够从数据中学习、进行预测和自动化决策过程的系统。人工智能是机器执行通常需要人类智能的任务的更广泛概念,而 ML 是人工智能的一个子集,涉及使用算法解析数据、从中学习,然后做出决定或预测。这些工具广泛应用于从医疗保健到金融的各个行业,推动了图像识别、自然语言处理和预测分析等领域的进步。

威胁情报平台

威胁情报平台 (TIP) 是一种安全工具,可帮助组织收集、关联和分析来自各种来源的威胁数据,以支持针对网络安全威胁的防御措施。它们收集有关潜在威胁的数据,例如攻击者使用的入侵指标 (IOC)、策略、技术和程序 (TTP),并提供可操作的见解,以主动防御未来的攻击。TIP 有助于实时威胁检测,并通过更好地了解威胁形势来促进战略决策、事件响应和风险管理。

威胁狩猎和ATT&CK框架的联系

ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)框架是由MITRE组织开发的一个知识库,旨在描述和分类对手(攻击者)在网络攻击中使用的战术、技术和常见知识。

ATT&CK框架的主要目标是提供一个结构化的参考,以帮助安全专业人员了解和对抗不同类型的攻击者。它详细记录了攻击者在执行攻击时可能使用的各种战术、技术和过程。

威胁狩猎团队可以利用ATT&CK框架作为指南来规划和执行威胁狩猎活动。他们可以根据ATT&CK框架中的攻击技术和战术,模拟和测试组织的防御机制。这有助于发现防御漏洞和弱点,并改进安全策略和控制措施。同时ATT&CK框架通过提供对手行为的共享知识,促进了安全社区之间的情报共享和合作。威胁狩猎团队可以参与到这种共享中,从其他组织的经验和发现中获益,并将自己的发现与社区分享,以提高整个行业的安全水平。

v2-6ec7bf0302ca1eb196f8be0903272842_1440w.webp

您可以使用我们的虹科网络安全评级产品来查看网站是否存在上述说到的这些威胁,从而能够与您的安全团队进行进一步的安全评估以及安全方案的实行。如果您需要EDR和MTD结合的终端保护方案也可以联系我们了解这种终端保护方案。

//网络安全评级//

虹科网络安全评级是一个安全评级平台,使企业能够以非侵入性和由外而内的方式,对全球任何公司的安全风险进行即时评级、了解和持续监测。获得C、D或F评级的公司被入侵或面临合规处罚的可能性比获得A或B评级的公司高5倍。虹科网络安全评级对企业的安全状况以及任何组织的安全系统中所有供应商和合作伙伴的网络健康状况提供即时可见性。

该平台使用可信的商业开源威胁源以及非侵入性的数据收集方法,对全球成千上万的组织的安全态势进行定量评估和持续监测。网络安全评级提供十个不同风险因素评分的详细报告:

v2-3165611f339d2588159b6d1bf2f087fc_1440w.webp

虹科网络安全评级为各行各业的大小型企业提供最准确、最透明、最全面的安全风险评级。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 网络
    +关注

    关注

    14

    文章

    7557

    浏览量

    88737
  • 网络安全
    +关注

    关注

    10

    文章

    3156

    浏览量

    59708
收藏 人收藏

    评论

    相关推荐

    随着全球网络安全威胁日益升级,3只网络安全美股值得投资者关注

    在科技和人工智能迅速发展的今天,科技虽然给我们带来了很多便利,但也让我们更容易受到网络安全威胁和隐私泄露的影响。而且这些危险并不局限于个国家,而是具有全球影响,这就使得网络安全解决方
    的头像 发表于 09-23 17:18 298次阅读
    随着全球<b class='flag-5'>网络安全</b><b class='flag-5'>威胁</b>日益升级,3只<b class='flag-5'>网络安全</b>美股值得投资者关注

    如何利用IP查询技术保护网络安全

    在数字化时代,企业网络面临着复杂多变的威胁与挑战。因此,构建个稳固的网络安全体系至关重要。而IP查询技术,作为网络安全防御体系中的
    的头像 发表于 09-09 10:10 286次阅读

    网络安全技术商CrowdStrike与英伟达合作

    网络安全技术商CrowdStrike与英伟达合作共同研发更先进的网络防御解决方案;提升CrowdStrike Falcon平台的威胁检测速度和准确性。将通过人工智能原生平台CrowdStrike
    的头像 发表于 08-28 16:30 1361次阅读

    软科技获ISO/SAE 21434 网络安全管理体系认证

    近日,软正式通过ISO/SAE 21434 网络安全管理体系认证,获得国际知名认证机构DNV颁发的证书。ISO/SAE 21434是目前汽车网络安全领域最具权威性、认可度最高的国际标准,取得该认证
    的头像 发表于 08-23 18:33 1154次阅读

    搭建光学相干断层扫描(OCT)系统您需要知道

    搭建光学相干断层扫描(OCT)系统您需要知道!光学相干断层扫描(OCT)系统的搭建需要光学和机械、信号和图像处理等背景知识定的编程能力、以及大量的时间投入。使用现成的OCT光谱仪作
    的头像 发表于 07-18 08:16 583次阅读
    搭建光学相干断层扫描(OCT)系统您<b class='flag-5'>需要知道</b>

    工业控制系统面临的网络安全威胁有哪些

    ,随着技术的发展,工业控制系统也面临着越来越多的网络安全威胁。本文将详细介绍工业控制系统面临的网络安全威胁,并提出相应的防护措施。 恶意软件攻击 恶意软件攻击是工业控制系统面临的最常见
    的头像 发表于 06-16 11:43 1470次阅读

    Palo Alto Networks与IBM携手,深化网络安全合作

    网络安全领域的两大巨头Palo Alto Networks和IBM近日宣布建立全面合作伙伴关系,共同推动网络安全领域的创新发展。根据协议,Palo Alto Networks将收购IBM的QRadar SaaS资产及相关知识产权
    的头像 发表于 05-22 09:40 596次阅读

    揭秘!家用路由器如何保障网络安全

    家用路由器保障网络安全需选知名品牌和型号,设置复杂密码并开启防火墙,定期更新固件,使用安全协议,合理规划网络布局,及时发现并处理异常。提高家庭成员网络安全意识共同维护
    的头像 发表于 05-10 10:50 657次阅读

    专家解读 | NIST网络安全框架(1):框架概览

    本文主要探讨NIST CSF框架的起源目标、内容组成,及其在网络安全风险管理中的关键作用,通过采用该框架,组织能够更有效地实施风险识别、安全保护、威胁检测和事件响应,从而构建更加坚固和弹性的
    的头像 发表于 05-06 10:30 1356次阅读
    专家解读 | NIST<b class='flag-5'>网络安全</b>框架(1):框架概览

    家用路由器如何保护网络安全

    家用路由器通过内置防火墙、数据加密、访问控制和固件更新等功能,保护家庭网络安全。用户应定期检查并更新路由器固件,并合理设置访问权限,以应对网络安全威胁
    的头像 发表于 03-25 20:04 882次阅读

    工业发展不可忽视的安全问题——OT网络安全

    在数字化时代,工业运营技术(OT)的网络安全比以往任何时候都更加重要。DataLocker,作为OT网络安全的守护者,提供了全面的加密和数据管理解决方案,确保关键基础设施免受网络威胁
    的头像 发表于 03-09 08:04 2129次阅读
    工业发展不可忽视的<b class='flag-5'>安全</b>问题——OT<b class='flag-5'>网络安全</b>

    Secureworks 威胁评分迎来网络安全 AI 新时代

    现在,安全分析师可以确信其正在优先处理并响应对其组织构成最大风险的警报 亚特兰大2024年2月2日 /美通社/ -- 网络安全领域全球领导者 Secureworks® (纳斯达克股票代码: SCWX
    的头像 发表于 02-04 10:46 576次阅读

    FCA汽车网络安全风险管理

    汽车工业继续在车辆上增加连接,以满足顾客对技术的贪得无厌的需求,但汽车不仅仅是某些计算机网络上的不安全端点--一些人所描绘的--汽车网络安全正在打造
    发表于 12-29 10:48 466次阅读
    FCA汽车<b class='flag-5'>网络安全</b>风险管理

    网络安全测试工具有哪些类型

    网络安全测试工具是指用于评估和检测系统、网络和应用程序的安全性的类软件工具。这些工具可以帮助组织和企业发现潜在的安全漏洞和
    的头像 发表于 12-25 15:00 1282次阅读