每年,互聯(lián)網(wǎng)上都會(huì)出現(xiàn)數(shù)百萬(wàn)種新型惡意軟件,威脅獵人必須隨時(shí)候命,將識(shí)別和打擊惡意軟件列為優(yōu)先事項(xiàng),以確保組織能夠保持安全,并且免受各種網(wǎng)絡(luò)威脅的侵害。
網(wǎng)絡(luò)安全本身就是一個(gè)獨(dú)立且完整的世界,其中分布著不同的領(lǐng)域,各種網(wǎng)絡(luò)安全專家每天在各自不同的領(lǐng)域中處理著紛繁復(fù)雜的安全問題。而近年來(lái),這個(gè)世界中又迎來(lái)了一個(gè)“新人”——威脅獵人(Threat Hunter)。如今,網(wǎng)絡(luò)安全獵人的角色已經(jīng)日趨成熟且至關(guān)重要。
2017年,美國(guó)境內(nèi)發(fā)生的網(wǎng)絡(luò)攻擊事件比前一年高出了近50%。今年也不例外。根據(jù)Crowd Research Partners最近進(jìn)行的一項(xiàng)調(diào)查指出,“網(wǎng)絡(luò)空間中的威脅數(shù)量每年都在持續(xù)增加一倍”。
在數(shù)百萬(wàn)企業(yè)還在被網(wǎng)絡(luò)威脅搞得焦頭爛額的時(shí)候,聰明的企業(yè)已經(jīng)開始忙于招募、培訓(xùn)和配置網(wǎng)絡(luò)安全獵手了,同時(shí)還在其“武器庫(kù)”中添加了用于打擊網(wǎng)絡(luò)攻擊的先進(jìn)工具和設(shè)備。
當(dāng)然,不乏還是有人并不清楚網(wǎng)絡(luò)安全威脅獵人的作用和工作職能,本文將幫助您能夠?qū)ν{獵人有個(gè)基礎(chǔ)認(rèn)知,以及了解他們?cè)诂F(xiàn)代安全環(huán)境中的運(yùn)作方式。
威脅獵人的職位描述,技能和資格
網(wǎng)絡(luò)威脅獵人通常是在假設(shè)網(wǎng)絡(luò)已經(jīng)遭到破壞的情境下,開始他們的研究工作。這種假設(shè)所基于的現(xiàn)實(shí)是,即便VPN(推薦使用PureVPN、PIA & Ivacy)等工具以及其他服務(wù)器保護(hù)措施已經(jīng)部署得當(dāng),仍然無(wú)法排除網(wǎng)絡(luò)中存在安全問題。因?yàn)殡S著技術(shù)的進(jìn)步,很多惡意軟件已經(jīng)足夠成熟,能夠輕易地繞過(guò)VPN和其他防護(hù)措施。
威脅獵人需要采取主動(dòng)的方式,同時(shí)掃描所有網(wǎng)絡(luò)和服務(wù)器以查找可能存在的違規(guī)或入侵行為。此外,他還需要非常富有創(chuàng)造性和警覺性,以明確識(shí)別異常情況以及網(wǎng)絡(luò)上發(fā)生的輕微異常事件或?qū)嵗?/span>
提到技術(shù)知識(shí)方面,威脅獵人必須是該技術(shù)領(lǐng)域的“頂尖高手”。只有當(dāng)他們能夠深度了解網(wǎng)絡(luò)功能,以及數(shù)據(jù)如何流經(jīng)網(wǎng)絡(luò)時(shí),他們才有能力發(fā)現(xiàn)諸如數(shù)據(jù)泄露或更為嚴(yán)重的安全問題。
最后,網(wǎng)絡(luò)威脅獵人還需要了解他所從事的組織規(guī)定的SOP(Standard Operation Procedure,即標(biāo)準(zhǔn)作業(yè)程序),以及網(wǎng)絡(luò)安全行業(yè)的SOP。只有當(dāng)他充分了解這些內(nèi)容后,他才有能力識(shí)別異常情況,并檢測(cè)出前所未見的威脅。
了解現(xiàn)代安全環(huán)境的動(dòng)態(tài)
現(xiàn)代安全環(huán)境所面臨的威脅每天都在發(fā)生變化,這就意味著,現(xiàn)在使用的工具和程序很快就會(huì)過(guò)時(shí),并被新的工具和技術(shù)所取代,這將是符合邏輯的認(rèn)知。因此,想要保持網(wǎng)絡(luò)和數(shù)字環(huán)境安全的組織,必須不斷采取新的工具和技術(shù)。
當(dāng)然,只是保持技術(shù)和工具更新并不能保證最終的安全性,但是它對(duì)于保障企業(yè)安全方面確實(shí)具有重要作用,因?yàn)槿绻狈@一步,企業(yè)所面臨的網(wǎng)絡(luò)威脅將會(huì)越來(lái)越大。
威脅獵人如何在現(xiàn)代安全環(huán)境中運(yùn)作?
據(jù)G Data Software報(bào)道稱,2016年,互聯(lián)網(wǎng)上出現(xiàn)了680萬(wàn)種新型惡意軟件樣本。一年后,這一數(shù)字上升到了710萬(wàn)。縱觀這一趨勢(shì),我們不難發(fā)現(xiàn)未來(lái)幾年對(duì)于威脅獵人來(lái)說(shuō)將會(huì)異常艱難。事實(shí)上,這種趨勢(shì)也強(qiáng)調(diào)了培訓(xùn)威脅獵人的重要性,為最令人意想不到的威脅環(huán)境做好迎戰(zhàn)準(zhǔn)備。
雖然,事實(shí)證明,2017年發(fā)現(xiàn)的710萬(wàn)新型惡意軟件并非都是危險(xiǎn)的,但是,識(shí)別出的少數(shù)威脅因素可能就是決定數(shù)字環(huán)境是否安全的根源。而如何識(shí)別出這些少數(shù)威脅,就是威脅獵人能夠?yàn)楸U暇W(wǎng)絡(luò)安全做出的貢獻(xiàn)。
威脅獵人能夠識(shí)別出AI系統(tǒng)可能錯(cuò)過(guò)的威脅。他們通過(guò)關(guān)注其組織安全體系機(jī)構(gòu)的缺陷來(lái)實(shí)現(xiàn)這一點(diǎn),這種體系機(jī)構(gòu)無(wú)法阻止威脅進(jìn)入數(shù)字環(huán)境。
如何實(shí)現(xiàn)威脅捕獲
1. 外包或DIY
有效進(jìn)行“全組織范圍”威脅搜索的第一步,是確定它是否能夠由內(nèi)部安全團(tuán)隊(duì)執(zhí)行。對(duì)于這種情況,為威脅獵人分配專門的資源和設(shè)備非常重要。
如果出于任何原因,內(nèi)部安全團(tuán)隊(duì)缺乏這種任務(wù)敏感度,或者缺乏足夠的資源和時(shí)間可以配置給安全團(tuán)隊(duì),那么更安全的選擇是將其外包出去。
2. 關(guān)注重點(diǎn)領(lǐng)域并制定計(jì)劃
制定適當(dāng)?shù)挠?jì)劃,并確定在整個(gè)威脅搜尋過(guò)程中應(yīng)當(dāng)遵循的程序,將對(duì)威脅捕獲工作起到非常積極的關(guān)鍵作用。通過(guò)制定計(jì)劃和時(shí)間表,可以確保威脅捕獲團(tuán)隊(duì)的任務(wù)不會(huì)干擾到其他團(tuán)隊(duì)。此外,時(shí)間表還可以幫助預(yù)先確定任務(wù)優(yōu)先級(jí),這將有助于威脅獵人有效地執(zhí)行操作,同時(shí)追蹤已經(jīng)完成的所有任務(wù),以及需要關(guān)注的優(yōu)先級(jí)任務(wù)。
3. 生成一個(gè)假設(shè)
從頭到尾在你的腦海中構(gòu)建一個(gè)假設(shè)場(chǎng)景,可以幫助你輕松地繪制任務(wù)路線圖,以及確定任務(wù)完成的時(shí)間。在捕獲威脅的過(guò)程中,團(tuán)隊(duì)?wèi)?yīng)該確定好需要尋找的內(nèi)容,以及期待找到什么。例如,就本文而言,威脅獵人應(yīng)該事先確定他們正在尋找惡意軟件,或入侵者可能已經(jīng)入侵了系統(tǒng)。
知道要查找的內(nèi)容,就可以輕松地找到它,或者在明確沒有威脅的情況下停止搜索。如果缺乏假設(shè),那么對(duì)威脅的搜索過(guò)程將變得無(wú)邊無(wú)際、無(wú)從著手,同時(shí),威脅獵人也永遠(yuǎn)無(wú)法明確何時(shí)停止搜索任務(wù)。
4. 整合關(guān)鍵信息和數(shù)據(jù)
有效地組織所有可用信息和數(shù)據(jù)是一項(xiàng)任務(wù)量很大的工作。但是,如果這些數(shù)據(jù)和信息沒有組織起來(lái),就無(wú)法發(fā)揮效用,因?yàn)槟銓o(wú)法在適當(dāng)?shù)臅r(shí)候找到所需的內(nèi)容。威脅獵人收集和整理的數(shù)據(jù)可以包括進(jìn)程名稱、命令行文件、DNS查詢、目標(biāo)IP地址以及數(shù)字簽名等。
如果所有這些信息都可用,但卻未按易于篩選的方式排序的話,那么威脅獵人可能仍然需要很長(zhǎng)時(shí)間才能找到正確的信息,然后才能利用額外的時(shí)間來(lái)利用這些數(shù)據(jù)完成操作。此外,這種做法還會(huì)過(guò)度消耗用于威脅搜索的預(yù)算和資源,破壞威脅獵人的整體生產(chǎn)力。
5. 任務(wù)自動(dòng)化
沒有AI和任務(wù)自動(dòng)化的幫助,就無(wú)法跟上不斷增長(zhǎng)的網(wǎng)絡(luò)威脅的步伐。即便人力搜索必不可少,但是沒有自動(dòng)化的話,每天出現(xiàn)在互聯(lián)網(wǎng)上的數(shù)千種新型威脅和惡意軟件都可能會(huì)被忽略和漏掉。對(duì)于威脅獵人來(lái)說(shuō),人力和AI的組合能夠有效地針對(duì)現(xiàn)代安全環(huán)境和敏感網(wǎng)絡(luò)進(jìn)行精確的威脅捕獲。
| 
