解析網路威脅「狩獵」新範式

E安全5月3日文 專家談及網路威脅的細分時，通常會提及二八定律（又名80/20定律、帕累托法則（定律）也叫巴萊特定律、最省力的法則、不平衡原則等，被廣泛應用於社會學及企業管理學等。）。二八定律的概念為：80%的網路威脅攻擊者通常比較「低能」，而剩下20%則非常先進，如果給定的時間和資源充足，這20%的攻擊者可以入侵任何網路。

本文來自於E安全官網

網路「狩獵」新範式

從歷史上來看，國防和情報界主要關注那20%的網路攻擊者。然而，如今商業化惡意軟體的興起讓傳統 「菜鳥級」攻擊者也能使用先進技術。

例如，2006年，WebAttacker漏洞利用工具提供了一套任何威脅攻擊者都能操作的工具套件。在這種新範式下，我們要認清三大真相：

1. 不可能防止所有的攻擊。

2. 企業網路難免會遭遇攻擊。

3. 不存在100%的安全

大多數安全從業人員都明白，良好的網路習慣和邊界網路安全將緩解底層80%的攻擊者。在安全運維中心（SOC），阻止和處理技術可以應對超過90%的攻擊者。而那剩下的10%，就屬於威脅狩獵的領域。

人工分析師可以調查數據源找到單靠機器無法檢測到的威脅證據。例如，尋找異常的分析師可以發現對手的指示器（Indicator），以及執行攻擊者的部分殺傷鏈，並在對方採取行動前加以阻止。

威脅狩獵新手需了解的注意事項

當創建威脅狩獵計劃時，組織機構應牢記三件事：

1. 需求是什麼？

威脅狩獵的基礎是安全信息和事件管理（SIEM）解決方案，該解決方案在網路內適當聚合內部結構化數據。威脅情報信息允許組織機構對比外部威脅指示器（Indicator），並理解威脅格局。

此外，還要增加統計分析引擎和情報分析工具。分析師可通過統計分析根據數學模型發現異常，而不是規則引擎。情報分析工具可以使相關數據可視化，以便分析師圍繞實體、聯繫和財產進行關聯。

2. 需要哪些人才？

威脅分析師是威脅狩獵從業人員。威脅分析師通常被稱為「三級分析師」，他們具有信息安全、取證科學和情報分析相關的技能。因為具備這些技能，三級分析師能主動根據情報需求積極發現威脅，並直接展開調查。

3.怎麼做？

執行威脅狩獵最重要的起點是建立優先情報需求（PIR）。PIR需求基本上都是領導層尋求的高層次問題。

你可能想知道，自己是否遺漏了隱藏的威脅。若是如此，具體信息需求（SIR）可以幫助回答以下問題：

• 眾多低級警報何時連接到同一指示器（Indicator）？

• 30天至90天之前，新威脅情報指示器（Indicator）在哪裡與日誌匹配？

• 通過以前從未見過的命令執行的遠程訪問會話在哪裡？

威脅狩獵者通過這些問題可以了解重要情報，以解決高層次的問題，並破壞先前未知的複雜威脅。

奠定基礎

剛開始涉足威脅狩獵的公司應了解上述基本概念，並在成熟時增加更多功能。使用正確的工具和配備有技能的員工至關重要。通過適當的技術、人員和可操作的威脅情報，組織機構可以填補安全空缺，並保護網路免於遭受「藏在暗處」的惡意攻擊。

E安全註：本文系E安全官網獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。