在攻击者发现你之前找出他们是巩固网络防御的关键。如何高效做到这一点并不简单,但只要投入一点时间,你就可以学会威胁追踪,避免公司损失数百万美元。
我们不妨先看看下列令人吃惊的统计数据。Cybersecurity Ventures估计,到2025年,网络犯罪将给全球经济造成10.5万亿美元的损失。如果换算成某个国家的GDP,网络犯罪造成的全球经济损失相当于世界第三大经济体,仅仅落后于美国和中国。但如果能实现有效威胁追踪,你就可以防止恶意黑客给公司造成严重破坏。
本文将详细阐述威胁追踪:威胁追踪是什么?如何深入有效地实施威胁追踪?网络威胁情报(CTI)如何推动威胁追踪工作?
01 威胁追踪是什么?
网络威胁追踪就是收集威胁正在形成的证据。这是个持续的过程,能够帮助企业找出对自己构成最大风险的威胁,助力安全团队在攻击发起前加以阻止。
02 威胁追踪六步走
威胁追踪的整个过程中,谨慎计划和注重细节很关键,确保所有团队成员都按计划执行也很重要。为保证效率,应记录下每一步,方便团队其他成员重复同样的过程。
1、组织追踪
盘点端点、服务器、应用和服务等公司关键资产,确保团队做好准备,井然有序。这一步骤可以帮助你了解自己需要保护哪些资产,以及这些资产最容易受到哪些威胁的侵害。然后,确定每件资产的位置、其访问权限所有者,以及访问权限的提供方式。
最后,根据公司的环境和基础设施提出有关潜在威胁的问题,明确重点情报需求(PIR)。比如说,如果公司存在远程工作模式或者采用混合工作模式,这类问题可能包括:
• 远程设备最容易遭到哪些威胁侵害?
• 这些威胁可能留下何种证据?
• 我们如何确定有员工被入侵了?
2、规划追踪
这一阶段,可通过下列操作设置必要的规范:
• 说明目的 – 包括为什么有必要进行追踪,以及应该关注哪些威胁,这是由公司PIR决定的。(举个例子,远程办公可能比自带设备办公(BYOD)更容易遭受网络钓鱼攻击。)
• 界定范围 – 根据所知内容确定并陈述威胁假设。可以假定如果正在搜寻的威胁发生会浮现出什么证据,通过了解这些证据来收窄范围。
• 了解限制,比如能够访问哪些数据集、必须分析哪些资源、有多少时间等等。
• 设定现实的最后期限。
• 确定要排除哪些环境,找出可能阻碍在特定环境中执行威胁追踪的合约关系。
• 了解必须遵守哪些法律和监管约束。(即使是追踪坏人也不能违法。)
3、用合适的工具追踪
取决于公司的资产清单和威胁假设,可以用来进行威胁追踪的工具有很多。例如,如果要找出潜在的漏洞,安全信息与事件管理(SIEM)和调查工具就有助于审查日志并确定有无泄漏。以下是能够大幅提升威胁追踪效率的一些选项:
• 威胁情报 – 具体而言,从深网和暗网获取威胁情报的自动化馈送源和调查门户
• 搜索引擎和网络爬虫
• 来自网络安全供应商和杀毒软件供应商的信息
• 政府资源
• 公共媒体 – 网络安全博客、在线新闻站点、杂志
• SIEM、 SOAR、调查工具、开源情报(OSINT)工具
4、执行追踪
执行追踪时最好别搞复杂了,就按计划一点一点地推进,始终保持正轨,避免偏离路线和分心。执行分为四个阶段:
• 收集:这是威胁追踪中劳动最密集的部分,尤其是在采用人工方式收集威胁信息的情况下。
• 处理:编译数据并处理成有条理的可读格式,方便其他威胁分析师理解。
• 分析:确定所发现的数据揭示了什么。
• 结论:如果找出了威胁,有数据支持其严重性吗?
5、总结并评估追踪
在下一次追踪开始前评估本次追踪工作有助于持续改善追踪工作。这一阶段可以考虑如下问题:
• 所选择的假设适合本次追踪吗?
• 范围缩得够窄了吗?
• 是否收集到有用情报,或者一些流程能不能换种做法?
• 工具用对了吗?
• 每个人都遵循了计划和流程吗?
• 过程中领导层是否觉得自己有能力解决问题,是否能够获得全部所需信息?
6、报告发现并据此采取行动
追踪结束时,你可以看到所获数据是否支持自己的假设,如果确实支持,那就提醒网络安全团队和事件响应团队。如果没有具体问题的证据,你需要评估资源并确保数据分析没有遗漏。例如,你可能会发现自己为寻找入侵指征而审查了日志,但没有检查暗网泄露数据。
03 用网络威胁情报(CTI)提升威胁追踪
网络威胁情报可以成为威胁追踪计划的有效组成部分,尤其是在威胁情报数据十分全面,且包含业务上下文和公司相关性的情况下。Cybersixgill可消除通往网络威胁情报宝贵来源的障碍,提供深入调查能力,帮助团队找出最重要的潜在网络威胁。
企业可以利用Cybersixgill的调查门户跨深网、暗网和公开网络编译、管理并监测自身全部资产。这一情报可帮助企业识别潜在的风险和暴露,了解潜在攻击路径和攻击者TTP,从而在新兴网络攻击被武器化之前主动揭露并阻止之。
《威胁追踪达成有效网络安全》报告
https://cybersixgill.com/resources/threat-hunting-for-effective-cybersecurity
来源:数世咨询