威胁搜寻通过分析攻击者的行为并识别潜在威胁,帮助组织避免攻击。
阅读本文后,您将能够:
复制文章链接
威胁搜寻是指组织用来识别网络威胁的技术和工具的涵盖性术语。传统的威胁搜寻是一个人工调查过程,依赖于安全分析师的专业知识,而不是自动化工具,而现代威胁搜寻则依赖于两者的结合。
通常情况下,“威胁搜寻”指的是主动的威胁检测,即组织会提前评估其网络是否有内部恶意活动的迹象,或调查外部的攻击者基础结构。该术语还可以表示反应性威胁检测,即组织在遭到数据泄露或类似攻击之后分析其自身基础结构的弱点,但这个含义没有上述含义常见。
在威胁搜寻过程中,企业会寻找攻击指标 (IoA)*,确定潜在攻击者的意图和行为。IoA 是指攻击者为成功实施攻击而必须执行的一个或一系列操作,例如,诱使目标打开网络钓鱼电子邮件、让他们点击恶意链接、下载恶意软件,等等。了解攻击者的具体伎俩和程序,有助于企业制定一个更主动的威胁防御流程。
入侵指标 (IoC) 是恶意活动的证据:网络流量异常、可疑登录、管理员级账户或文件意外更新,或其他表明组织已被入侵的迹象。IoC 是反应式威胁搜寻过程中的有用组成部分,因为它们通常表明一个组织已经被入侵。
*这也被称为攻击者的战术、技术和程序 (TTP)。
威胁搜寻程序因组织的需求和安全团队的能力而异,但通常分为三类:结构化搜寻、非结构化搜寻或情景搜寻。
为了直观地了解这些过程之间的差异,可以想象一下鲍勃正试图用三种不同的观鸟技术来识别鸟类。有一种方法可能需要做大量的计划:分析鸟类的迁徙模式、交配仪式、喂养时间表,以及任何有助于缩小可能发现鸟类的地点和时间范围的其他行为因素。这种方法类似于结构化搜寻,其重点是发现攻击者的已知战术和行为。
如果使用另一种方法,鲍勃可能会前往森林并寻找鸟巢、粪便或其他鸟类存在的实物证据。这与非结构化搜寻类似,非结构化搜寻通常在检测到 IoC 时被触发。
第三种方法可能需要鲍勃优先追踪濒危鸟类,而不是更常见的物种,然后根据他试图识别的具体鸟类调整他的方法。这类似于情境搜寻,这种方法使用定制的策略来识别对高风险目标的威胁。
传统的威胁搜寻过程依赖于安全分析师手动检查一个组织的网络、基础结构和系统,然后提出并测试假设,以检测外部和内部威胁(如数据泄露或恶意横向移动)。
相比之下,现代威胁搜寻使用网络安全工具来帮助实现调查过程的自动化和简化。一些最常见的工具包括:
威胁搜寻是发现和分析攻击者行为、网络攻击证据或组织面临的其他潜在威胁的过程。威胁搜寻的目的不仅是为了发现一个组织的基础结构内的漏洞,而且是为了发现尚未实施的威胁和攻击。
相比之下,威胁情报是一组关于网络攻击的数据,包括潜在威胁和已经发生的攻击。通常情况下,这组数据将被编入威胁情报资料,企业可以利用这些资料来更新他们的威胁搜寻过程和安全程序。
简而言之,威胁搜寻类似于进行犯罪现场调查,而威胁情报则是在现场收集到的证据。
如要了解更多关于威胁情报的类别和目的,请参阅什么是威胁情报?
Cloudflare 安全性中心提供威胁调查功能,旨在协助安全团队从一个统一的界面识别、跟踪和缓解潜在的攻击。在威胁调查门户内,用户可以查询特定的 IP 地址、主机名和自治系统 (AS),以确定新出现的威胁的来源。
进一步了解 Cloudflare 安全性中心。