威脅搜尋可透過分析攻擊者行為並識別潛在威脅,協助組織避免攻擊。
閱讀本文後,您將能夠:
複製文章連結
威脅搜尋是組織用來識別網路威脅的技術和工具的總稱。雖然傳統的威脅搜尋是一項手動調查程序,仰賴安全分析師的專業知識,而非自動化工具,但現代威脅搜尋卻依賴兩者的組合。
通常,「威脅搜尋」是指主動式威脅偵測,在此期間,組織會先發制人評估其網路中是否有內部惡意活動的跡象,或調查外部的攻擊者基礎結構。該術語較少見地描述了反應式威脅偵測,在此期間,組織會在發生資料外洩或類似攻擊之後分析自己的基礎結構的弱點。
在威脅搜尋過程中,組織會尋找攻擊指標 (IoA)*,以判斷潛在攻擊者的意圖和行為。IoA 是攻擊者必須執行的一個動作或一系列動作,以成功完成攻擊 — 例如,誘騙目標開啟網路釣魚電子郵件,讓他們點選惡意連結,執行惡意程式碼下載等。瞭解攻擊者的特定策略和程序可協助組織制定更主動的威脅防禦方案。
入侵指標 (IoC) 是惡意活動的證據:網路流量異常、可疑登入、系統管理員層級帳戶或檔案的意外更新,或組織遭到破壞的其他跡象。IOC 是反應式威脅搜尋程序的有用元件,因為它們通常表示組織已遭到入侵。
*這也被稱為攻擊者的策略、技術和程序 (TTP)。
威脅搜尋程序會根據組織的需求及其安全團隊的能力而有所不同,但通常屬於以下三種類別之一:結構化搜尋、非結構化搜尋或情境搜尋。
為了可視化這些過程之間的差異,想像一下 Bob 正在嘗試使用三種不同的觀鳥技術來識別鳥類。一種方法可能需要大量的規劃:分析鳥類的遷徙模式、交配儀式、餵養時間表以及任何其他行為因素,這些因素可能有助於縮小鳥類可能被發現的地點和時間。這類似於結構化搜尋,重點是揭露攻擊者的已知戰術和行為。
使用另一種方法,Bob 可能會訪問森林並尋找鳥巢、糞便或鳥類存在的其他物理證據。這類似於非結構化的搜尋,通常在偵測到 IoC 時觸發。
第三種方法可能要求 Bob 優先追蹤瀕臨絕種的鳥類,而不是更常見的物種,然後根據他試圖識別的特定鳥類量身定制方法。這類似於情境搜尋,該方法使用自訂策略來識別對高風險目標的威脅。
傳統的威脅搜尋程序依賴安全分析師手動檢查組織的網路、基礎結構和系統,然後建立並測試假設,以偵測外部和內部威脅(例如資料外洩或惡意橫向移動)。
相較之下,現代威脅搜尋使用網路安全工具來協助自動化並簡化調查流程。一些最常見的工具包括以下內容:
威脅搜尋是探索和分析攻擊者行為、網路攻擊證據或組織面臨的其他潛在威脅的程序。威脅搜尋的目的不僅在於發現組織基礎結構內的漏洞,還要發現尚未進行的威脅和攻擊。
相比之下,威脅情報是一組有關網路攻擊的資料,包括潛在威脅和已經發生的攻擊。通常,這些資料會編譯成威脅情報摘要,組織可用來更新其威脅搜尋程序和安全程序。
簡而言之,威脅搜尋類似於進行犯罪現場調查,而威脅情報則是現場收集的證據。
若要深入瞭解威脅情報的類別和用途,請參閱什麼是威脅情報?
Cloudflare 安全中心提供威脅調查功能,旨在協助安全團隊透過單一統一介面識別、追蹤和緩解潛在攻擊。在威脅調查入口網站中,使用者可以查詢特定 IP 位址、主機名稱和自發系統 (AS),以精確找出新興威脅的來源。
進一步瞭解 Cloudflare 安全中心。