威胁猎杀解释一下，需要5分钟或更少的时间

在网络安全领域，有一句广为流传的话是，只要时间足够长，任何系统都可能会被攻破。虽然听起来可怕，但这句话强调了网络安全的真实本质。

即使是最好的安全措施也不是绝对安全的。威胁不断演变，新的攻击方式正在制定中。可以肯定的是，系统遭受攻击是不可避免的。

因此，任何一个注重保护其系统安全的组织都需要在攻击发生之前投资于威胁识别。通过早期发现威胁，组织可以迅速采取损害控制措施，以最小化攻击的风险和影响，甚至在攻击者发起全面攻击之前阻止他们。

除了阻止攻击之外，威胁识别还可以揪出可能窃取数据、收集用于未来攻击的信息甚至留下可以在将来利用的漏洞的恶意行为者。

在恶意行为者利用之前发现威胁和漏洞的一个好方法是通过威胁搜寻。

威胁搜寻

每当发生网络攻击，例如链接_0，恶意软件攻击，甚至拒绝服务攻击，通常都是由于网络攻击者在系统中潜伏一段时间的结果。这个时间可以从几天到几个星期甚至几个月。

攻击者在网络中潜伏的时间越长，造成的破坏就越大。因此，有必要在攻击者实际发动攻击之前发现并清除在网络中潜伏的攻击者。这就是威胁搜寻的作用。

威胁搜寻是一种主动的网络安全措施，安全专家在网络中进行全面搜索，以发现和清除可能已逃过现有安全措施的潜在威胁或漏洞。

与自动威胁检测等被动措施不同，威胁搜寻是一种主动过程，涉及对网络端点和存储在网络中的数据进行深入搜索，以发现可能指示网络中潜伏威胁的恶意或可疑活动。

威胁搜寻不仅仅是寻找已知的东西，还要清除网络中的新威胁、未知的威胁或逃避了网络防御尚未得到解决的威胁。

通过实施有效的威胁搜寻，组织可以在恶意行为者发动攻击之前找到并停止他们，从而减少损害并保护其系统。

威胁搜寻的工作原理

为了既成功又有效，威胁搜寻在很大程度上依赖于网络安全专家所拥有的直觉、战略、伦理、批判性思维和问题解决能力。这些独特的人类技能可以补充通过自动安全系统所能实现的工作。

为了进行威胁搜寻，安全专家首先要确定和了解他们将进行威胁搜寻的网络和系统的范围。然后收集和分析所有相关数据，如日志文件和流量数据。

内部安全专家在这些初步步骤中至关重要，因为他们通常对现有的网络和系统有清晰的了解。

收集的安全数据使用各种技术进行分析，以识别异常、隐藏的链接_2或攻击者、可疑或风险活动，以及安全系统可能已标记为已解决但实际上未解决的威胁。

如果检测到威胁，会进行调查和补救，以防止恶意行为者利用。如果发现恶意行为者，会将其从系统中清除，并采取措施进一步保护和防止系统受到损害。

威胁猎杀为组织提供了一个学习其安全措施并改进其系统以更好地保护其并防止未来攻击的机会。

威胁猎杀的重要性

威胁猎杀的一些好处包括：

减少全面网络攻击的损害

威胁猎杀具有检测和阻止入侵系统的网络攻击者的好处，可以阻止他们收集足够的信息以进行更具毁灭性的攻击。

及时阻止攻击者可以减少由数据泄露引起的损害。由于威胁猎杀的积极性质，组织可以更快地响应攻击，从而减少网络攻击的风险和影响。

减少误报

使用自动化的网络安全工具时，这些工具通过一组规则配置来检测和识别威胁，但有时会在没有真正威胁的情况下触发警报。这可能导致针对不存在的威胁部署对策。

威胁猎杀是由人驱动的，可以通过安全专家进行深入分析并对所感知威胁的真实性做出专业判断来消除误报。

帮助安全专家了解公司的系统

在安装安全系统后出现的一个挑战是验证其是否有效。威胁猎杀可以回答这个问题，因为安全专家可以进行深入调查和分析，以检测和消除可能逃脱已安装安全措施的威胁。

这也有助于使内部安全专家更好地了解现有系统的工作原理以及如何更好地保护它们。

使安全团队保持最新状态

进行威胁猎杀活动涉及使用最新可用技术来检测和缓解威胁和漏洞，以防止它们被利用。

这有助于使组织的安全团队了解威胁形势，并积极参与发现未知的可以被利用的漏洞。

这种积极的活动使得安全团队能够做好充分准备，了解新兴威胁，从而避免受到攻击者的意外袭击。

缩短调查时间

定期进行威胁猎杀可以创建一个知识库，可以加快调查攻击的过程。

威胁猎杀涉及对已检测到的系统和漏洞进行深入研究和分析。这反过来会导致系统及其安全方面的知识积累。

因此，在发生攻击时，调查可以利用以前的威胁猎杀收集的数据，使调查过程更快，使组织能够更好、更快地响应攻击。

组织通过定期进行威胁猎杀可以获得巨大的好处。

威胁猎杀与威胁情报

虽然相关并经常一起使用以增强组织的网络安全，威胁情报和威胁猎杀是不同的概念。

威胁情报涉及收集和分析有关新兴和现有网络威胁的数据，以了解网络威胁和攻击背后的威胁行为者的战术、技术、程序、动机、目标和行为。

然后将这些信息与组织共享，以帮助它们检测、预防和缓解威胁。

另一方面，威胁猎捕是一种主动搜索可能存在于系统中的潜在威胁和漏洞的过程，以便在它们被威胁行为者利用之前解决它们。这个过程由安全专家领导。威胁情报信息被安全专家用于进行威胁猎捕。

威胁猎捕的类型

威胁猎捕有三种主要类型，包括：

#1. 结构化猎捕

这是一种基于攻击指标（IoA）的威胁猎捕。攻击指标是系统当前正在被未经授权的行为者访问的证据。IoA发生在数据泄露之前。

因此，结构化猎捕与攻击者采用的战术、技术和程序（TTPs）保持一致，旨在识别攻击者、他们试图实现什么以及在他们造成任何损害之前做出反应。

#2. 非结构化猎捕

这是一种基于妥协指标（IoC）的威胁猎捕。妥协指标是安全漏洞发生和系统在过去被未经授权的行为者访问的证据。在这种类型的威胁猎捕中，安全专家在确定妥协指标之前和之后寻找网络中的模式。

#3. 情境或实体驱动

这些是基于组织对其系统和发现的漏洞的内部风险评估的威胁猎捕。安全专家使用外部可用的最新攻击数据来寻找系统中类似的攻击模式和行为。

威胁猎捕的关键要素

有效的威胁猎捕涉及深入的数据收集和分析，以识别系统中可能存在的可疑行为和模式，这些行为和模式可能表明潜在的威胁。

一旦在系统中检测到这些活动，就需要通过使用先进的安全调查工具彻底调查和了解它们。

然后，调查应该产生可执行的策略，可以在攻击者利用之前解决发现的漏洞和缓解威胁。

该过程的最后一个关键组成部分是报告威胁猎捕的发现并提供可以实施以更好保护组织系统的建议。

威胁猎捕的步骤

有效的威胁猎捕包括以下步骤：

#1. 制定假设

威胁猎捕旨在揭示可能被攻击利用的未知威胁或漏洞。由于威胁猎捕旨在寻找未知的内容，因此第一步是根据组织系统的安全状况和漏洞知识制定一个假设。

这个假设给威胁猎捕提供了一个方向和基础，可以在整个过程中制定策略。

#2. 数据收集和分析

一旦假设形成，下一步是从网络日志、威胁情报报告到历史攻击数据中收集数据和威胁情报，目的是证明或否定假设。可以使用专业工具进行数据收集和分析。

#3. 识别触发器

触发器是需要进一步深入调查的可疑案例。从数据收集和分析中获取的信息可能会证明最初的假设，例如网络中存在未经授权的行为者。

在分析收集到的数据时，可能会发现系统中的可疑行为。这些可疑活动是需要进一步调查的触发器。

#4. 调查

一旦系统中的触发器被发现，就会对其进行调查，以了解现有风险的全貌，事件可能发生的方式，攻击者的动机以及攻击的潜在影响。这一调查阶段的结果将决定采取哪些措施来解决已发现的风险。

#5. 解决方案

一旦威胁被完全调查和了解，就会实施解决风险的策略，预防未来的攻击，并改善现有系统的安全性，以解决攻击者可能利用的新发现的漏洞或技术。

完成所有步骤后，将重复这个过程，寻找更多的漏洞并更好地保护系统。

威胁狩猎中的挑战

在威胁狩猎中出现的一些主要挑战包括：

缺乏熟练人员

威胁狩猎是一项人为驱动的安全活动，因此其有效性严重依赖于进行活动的威胁猎人的技能和经验。

有了更多的经验和技能，威胁猎人可以识别传统安全系统或其他安全人员遗漏的漏洞或威胁。获取和留住专业威胁猎人对组织来说既耗费成本又具有挑战性。

难以识别未知威胁

威胁狩猎非常难以进行，因为它要求识别逃避传统安全系统的威胁。因此，这些威胁没有已知的签名或模式可以轻松识别，使整个过程变得非常困难。

收集全面的数据

威胁狩猎在很大程度上依赖于对系统和威胁进行大量数据收集，以指导假设测试和触发器的调查。

这种数据收集可能会带来挑战，因为可能需要使用先进的第三方工具，并且还存在与法规的符合性不符的风险。此外，专家们将不得不处理大量的数据，这可能是具有挑战性的。

及时了解威胁情报

为了使威胁狩猎既成功又有效，进行该活动的专家需要及时了解威胁情报，并了解攻击者使用的战术、技术和过程。

没有获取关于攻击者使用的最新战术、技术和程序的信息，整个威胁搜寻过程可能会受到阻碍并变得无效。

结论

威胁搜寻是一种积极主动的过程，组织应考虑实施以更好地保护其系统。

由于攻击者不分昼夜地寻找系统中的漏洞利用方式，对组织来说，积极主动地寻找漏洞和新威胁，以防止攻击者发现并利用它们对组织造成损害是有益的。

您还可以探索一些免费的forensic investigation tools供IT安全专家使用。