什麼是威脅搜尋?

威脅搜尋可透過分析攻擊者行為並識別潛在威脅,協助組織避免攻擊。

學習目標

閱讀本文後,您將能夠:

  • 定義「威脅搜尋」
  • 比較常見的威脅搜尋模型
  • 對比威脅搜尋與威脅情報

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是威脅搜尋?

威脅搜尋是組織用來識別網路威脅的技術和工具的總稱。雖然傳統的威脅搜尋是一項手動調查程序,仰賴安全分析師的專業知識,而非自動化工具,但現代威脅搜尋卻依賴兩者的組合。

通常,「威脅搜尋」是指主動式威脅偵測,在此期間,組織會先發制人評估其網路中是否有內部惡意活動的跡象,或調查外部的攻擊者基礎結構。該術語較少見地描述了反應式威脅偵測,在此期間,組織會在發生資料外洩或類似攻擊之後分析自己的基礎結構的弱點。

什麼是攻擊指標 (IoA)?

在威脅搜尋過程中,組織會尋找攻擊指標 (IoA)*,以判斷潛在攻擊者的意圖和行為。IoA 是攻擊者必須執行的一個動作或一系列動作,以成功完成攻擊 — 例如,誘騙目標開啟網路釣魚電子郵件,讓他們點選惡意連結,執行惡意程式碼下載等。瞭解攻擊者的特定策略和程序可協助組織制定更主動的威脅防禦方案。

入侵指標 (IoC) 是惡意活動的證據:網路流量異常、可疑登入、系統管理員層級帳戶或檔案的意外更新,或組織遭到破壞的其他跡象。IOC 是反應式威脅搜尋程序的有用元件,因為它們通常表示組織已遭到入侵。

*這也被稱為攻擊者的策略、技術和程序 (TTP)

威脅搜尋如何運作?

威脅搜尋程序會根據組織的需求及其安全團隊的能力而有所不同,但通常屬於以下三種類別之一:結構化搜尋、非結構化搜尋或情境搜尋。

  1. 結構化搜尋可識別並分析特定攻擊者行為和策略或 IoA。它使用基於假設的搜尋模型,其中根據威脅搜尋手冊(例如 MITRE ATT&CK 框架)建立一個假設。結構化搜尋的主要目標是在針對組織實施攻擊之前,主動找出攻擊者的行為。
  2. 非結構化搜尋由發現 IoC(換言之,惡意活動的證據)觸發,這可能表明最近或過去的攻擊,其中組織的某些部分受到了入侵。非結構化搜尋使用反應式、以 Intel 為基礎的搜尋模型,檢查智慧共用平台所提供的 IP 位址、網域名稱、雜湊值,以及其他資料。其主要目標是調查組織基礎結構和系統中存在的弱點。
  3. 情境搜尋(亦稱為實體導向搜尋)著重於有入侵風險的特定系統、資產、帳戶或資料。例如,與權限較低的帳戶相比,具有管理員權限的帳戶可能會面臨更高的網路攻擊風險,因為具有管理員權限的帳戶可能可以存取更敏感的資料和系統。情境搜尋使用可根據組織需求量身打造的自訂威脅搜尋模型,因為其主要目標是保護高風險目標並瞭解它們可能面臨的威脅,而不是檢查整個組織中的 IOA 或 IOC。

為了可視化這些過程之間的差異,想像一下 Bob 正在嘗試使用三種不同的觀鳥技術來識別鳥類。一種方法可能需要大量的規劃:分析鳥類的遷徙模式、交配儀式、餵養時間表以及任何其他行為因素,這些因素可能有助於縮小鳥類可能被發現的地點和時間。這類似於結構化搜尋,重點是揭露攻擊者的已知戰術和行為。

使用另一種方法,Bob 可能會訪問森林並尋找鳥巢、糞便或鳥類存在的其他物理證據。這類似於非結構化的搜尋,通常在偵測到 IoC 時觸發。

第三種方法可能要求 Bob 優先追蹤瀕臨絕種的鳥類,而不是更常見的物種,然後根據他試圖識別的特定鳥類量身定制方法。這類似於情境搜尋,該方法使用自訂策略來識別對高風險目標的威脅。

威脅搜尋工具的類型

傳統的威脅搜尋程序依賴安全分析師手動檢查組織的網路、基礎結構和系統,然後建立並測試假設,以偵測外部和內部威脅(例如資料外洩或惡意橫向移動)。

相較之下,現代威脅搜尋使用網路安全工具來協助自動化並簡化調查流程。一些最常見的工具包括以下內容:

  • 安全性資訊與事件管理 (SIEM) 是一種安全解決方案,可提供記錄資料彙總、警示監控、安全事件分析、合規性報告等功能。
  • 受管理偵測與回應 (MDR) 是一種受管理的安全作業中心 (SOC),可追蹤網路活動、建立警示、調查潛在威脅、從警示中移除誤判、提供進階分析,並協助修正安全事件。
  • 使用者和實體行為分析 (UEBA) 是一種安全服務,可彙總使用者和端點資料、建立正常行為的基準,以及偵測和分析組織系統中的異常情況。

威脅搜尋與威脅情報

威脅搜尋是探索和分析攻擊者行為、網路攻擊證據或組織面臨的其他潛在威脅的程序。威脅搜尋的目的不僅在於發現組織基礎結構內的漏洞,還要發現尚未進行的威脅和攻擊。

相比之下,威脅情報是一組有關網路攻擊的資料,包括潛在威脅和已經發生的攻擊。通常,這些資料會編譯成威脅情報摘要,組織可用來更新其威脅搜尋程序和安全程序。

簡而言之,威脅搜尋類似於進行犯罪現場調查,而威脅情報則是現場收集的證據。

若要深入瞭解威脅情報的類別和用途,請參閱什麼是威脅情報?

Cloudflare 是否提供威脅搜尋服務?

Cloudflare 安全中心提供威脅調查功能,旨在協助安全團隊透過單一統一介面識別、追蹤和緩解潛在攻擊。在威脅調查入口網站中,使用者可以查詢特定 IP 位址、主機名稱和自發系統 (AS),以精確找出新興威脅的來源。

進一步瞭解 Cloudflare 安全中心