每年,互聯網上都會出現數百萬種新型惡意軟件,威脅獵人必須隨時候命,將識別和打擊惡意軟件列為優先事項,以確保組織能夠保持安全,并且免受各種網絡威脅的侵害。
網絡安全本身就是一個獨立且完整的世界,其中分布著不同的領域,各種網絡安全專家每天在各自不同的領域中處理著紛繁復雜的安全問題。而近年來,這個世界中又迎來了一個“新人”——威脅獵人(Threat Hunter)。如今,網絡安全獵人的角色已經日趨成熟且至關重要。
2017年,美國境內發生的網絡攻擊事件比前一年高出了近50%。今年也不例外。根據Crowd Research Partners最近進行的一項調查指出,“網絡空間中的威脅數量每年都在持續增加一倍”。
在數百萬企業還在被網絡威脅搞得焦頭爛額的時候,聰明的企業已經開始忙于招募、培訓和配置網絡安全獵手了,同時還在其“武器庫”中添加了用于打擊網絡攻擊的先進工具和設備。
當然,不乏還是有人并不清楚網絡安全威脅獵人的作用和工作職能,本文將幫助您能夠對威脅獵人有個基礎認知,以及了解他們在現代安全環境中的運作方式。
威脅獵人的職位描述,技能和資格
網絡威脅獵人通常是在假設網絡已經遭到破壞的情境下,開始他們的研究工作。這種假設所基于的現實是,即便VPN(推薦使用PureVPN、PIA & Ivacy)等工具以及其他服務器保護措施已經部署得當,仍然無法排除網絡中存在安全問題。因為隨著技術的進步,很多惡意軟件已經足夠成熟,能夠輕易地繞過VPN和其他防護措施。
威脅獵人需要采取主動的方式,同時掃描所有網絡和服務器以查找可能存在的違規或入侵行為。此外,他還需要非常富有創造性和警覺性,以明確識別異常情況以及網絡上發生的輕微異常事件或實例。
提到技術知識方面,威脅獵人必須是該技術領域的“頂尖高手”。只有當他們能夠深度了解網絡功能,以及數據如何流經網絡時,他們才有能力發現諸如數據泄露或更為嚴重的安全問題。
最后,網絡威脅獵人還需要了解他所從事的組織規定的SOP(Standard Operation Procedure,即標準作業程序),以及網絡安全行業的SOP。只有當他充分了解這些內容后,他才有能力識別異常情況,并檢測出前所未見的威脅。
了解現代安全環境的動態
現代安全環境所面臨的威脅每天都在發生變化,這就意味著,現在使用的工具和程序很快就會過時,并被新的工具和技術所取代,這將是符合邏輯的認知。因此,想要保持網絡和數字環境安全的組織,必須不斷采取新的工具和技術。
當然,只是保持技術和工具更新并不能保證最終的安全性,但是它對于保障企業安全方面確實具有重要作用,因為如果缺乏這一步,企業所面臨的網絡威脅將會越來越大。
威脅獵人如何在現代安全環境中運作?
據G Data Software報道稱,2016年,互聯網上出現了680萬種新型惡意軟件樣本。一年后,這一數字上升到了710萬。縱觀這一趨勢,我們不難發現未來幾年對于威脅獵人來說將會異常艱難。事實上,這種趨勢也強調了培訓威脅獵人的重要性,為最令人意想不到的威脅環境做好迎戰準備。
雖然,事實證明,2017年發現的710萬新型惡意軟件并非都是危險的,但是,識別出的少數威脅因素可能就是決定數字環境是否安全的根源。而如何識別出這些少數威脅,就是威脅獵人能夠為保障網絡安全做出的貢獻。
威脅獵人能夠識別出AI系統可能錯過的威脅。他們通過關注其組織安全體系機構的缺陷來實現這一點,這種體系機構無法阻止威脅進入數字環境。
如何實現威脅捕獲
1. 外包或DIY
有效進行“全組織范圍”威脅搜索的第一步,是確定它是否能夠由內部安全團隊執行。對于這種情況,為威脅獵人分配專門的資源和設備非常重要。
如果出于任何原因,內部安全團隊缺乏這種任務敏感度,或者缺乏足夠的資源和時間可以配置給安全團隊,那么更安全的選擇是將其外包出去。
2. 關注重點領域并制定計劃
制定適當的計劃,并確定在整個威脅搜尋過程中應當遵循的程序,將對威脅捕獲工作起到非常積極的關鍵作用。通過制定計劃和時間表,可以確保威脅捕獲團隊的任務不會干擾到其他團隊。此外,時間表還可以幫助預先確定任務優先級,這將有助于威脅獵人有效地執行操作,同時追蹤已經完成的所有任務,以及需要關注的優先級任務。
3. 生成一個假設
從頭到尾在你的腦海中構建一個假設場景,可以幫助你輕松地繪制任務路線圖,以及確定任務完成的時間。在捕獲威脅的過程中,團隊應該確定好需要尋找的內容,以及期待找到什么。例如,就本文而言,威脅獵人應該事先確定他們正在尋找惡意軟件,或入侵者可能已經入侵了系統。
知道要查找的內容,就可以輕松地找到它,或者在明確沒有威脅的情況下停止搜索。如果缺乏假設,那么對威脅的搜索過程將變得無邊無際、無從著手,同時,威脅獵人也永遠無法明確何時停止搜索任務。
4. 整合關鍵信息和數據
有效地組織所有可用信息和數據是一項任務量很大的工作。但是,如果這些數據和信息沒有組織起來,就無法發揮效用,因為你將無法在適當的時候找到所需的內容。威脅獵人收集和整理的數據可以包括進程名稱、命令行文件、DNS查詢、目標IP地址以及數字簽名等。
如果所有這些信息都可用,但卻未按易于篩選的方式排序的話,那么威脅獵人可能仍然需要很長時間才能找到正確的信息,然后才能利用額外的時間來利用這些數據完成操作。此外,這種做法還會過度消耗用于威脅搜索的預算和資源,破壞威脅獵人的整體生產力。
5. 任務自動化
沒有AI和任務自動化的幫助,就無法跟上不斷增長的網絡威脅的步伐。即便人力搜索必不可少,但是沒有自動化的話,每天出現在互聯網上的數千種新型威脅和惡意軟件都可能會被忽略和漏掉。對于威脅獵人來說,人力和AI的組合能夠有效地針對現代安全環境和敏感網絡進行精確的威脅捕獲。
| 
