威脅狩獵行動失敗的三大原因及建議
責編:gltian |2023-09-04 15:03:37隨著網絡攻擊技術和方法不斷升級換代,攻擊者的攻擊能力正在快速提高。為了應對日益嚴峻的網絡安全挑戰,現代企業需要將自身安全建設從被動防御轉換到主動防御、反制等主動安全的方向上來,威脅狩獵技術應運而生。
企業希望通過威脅狩獵發現被忽視的已知威脅和新的未知威脅。但遺憾的是,要想真正落地一項威脅狩獵計劃并不容易,據《威脅獵人之聲》網站的最新調查報告發現,超過半數的受訪者認為當前實施的威脅狩獵計劃只取得非常有限的安全效果,甚至部分受訪者表示其威脅狩獵計劃根本無效。研究人員發現,企業在實施威脅狩獵計劃時普遍面臨數據質量、工具性能、可見性以及專業人員等方面的限制,而導致企業威脅狩獵行動失敗的主要原因包括以下三個方面:
原因1:缺乏先進的狩獵工具
威脅狩獵分析師需要各種工具和技術的支持,才能有效地發現惡意活動、修補漏洞,并擁有應對攻擊的情報。報告研究人員發現,阻礙企業搜尋威脅的最大因素是沒有使用先進的狩獵工具。
企業實施威脅狩獵計劃的核心目標就是要縮短出現危險和完成攻擊之間的時間差,即所謂的“停留時間”。因此,威脅狩獵需要能夠發現傳統安全工具未檢測到的風險,并幫助企業分析和提高現有威脅檢測機制和流程的有效性,提出合理的安全性優化建議。此外,它們還需要能夠識別新的攻擊手法、戰術、技術和程序 (TTP),從而發起全新的威脅處置任務。
建議:
盡管安全分析師可以人工方式完成以上各種任務,但是在效率和時間上很難滿足企業的實際應用需求。更有效的威脅狩獵工作應該是在高度自動化的流程中完成,充分利用UEBA、機器學習等技術手段為分析師提供幫助。企業在選型威脅狩獵工具時,應該重點關注以下功能:
- 是否能夠為安全分析師提供各種安全事件的信息收集服務;
- 是否可以聚合數據,形成統一的事件記錄情報;
- 是否支持多樣化的威脅檢測策略;
- 是否具有人工分析的選項;
- 自動響應設置能力是否強大;
- 是否可以在正式購買前提供試用。
原因2:未深入了解企業的安全基線
威脅狩獵行動失敗的另一個主要原因是,狩獵團隊沒有完全了解企業自身的安全基線。如果深入了解安全基線,需要擁有完備的文檔,并知道什么是“正常的活動”,在這之外的任何“異常活動”都需要予以調查。
如果不了解企業的安全基線,狩獵團隊對企業的數字化環境就會缺乏足夠的可見性,或者難以收集足夠準確的情報來深入分析當前的威脅態勢。此外,如果狩獵團隊不知道正常的安全基線,也意味著分析師無法衡量哪些行為可以接受、哪些不可接受,從而使組織面臨各種惡意活動的威脅。
建議:
為了保證威脅狩獵計劃的效果,企業需要擁有一套標準化的威脅狩獵流程和程序,在此背景下,深入了解企業的安全基線就變得尤為重要。要了解企業的安全基線是什么,企業需要通過一段時間的數據積累,總結出企業正常數字化活動的特征與指標參數。為此需要部署適當的監控技術和工具,實現全面的數字化環境可見性,并能夠從各類型的端點上收集所需要的運行數據,這些數據可以讓組織更深入地了解誰在訪問系統。
只有在知道“正常活動”的基礎上,威脅狩獵團隊才可以實施標準化的威脅誘捕策略和規程,這些策略和規程會在考慮整個組織的數字化應用環境基礎上,定義出對可疑活動的識別和響應。
原因3:計劃未獲得管理層的支持
報告研究發現,近六成(56%)的受訪者表示,他們在實施威脅狩獵計劃難以獲得公司領導層的支持,這也是導致狩獵行動難以取得真正成功的重要原因。盡管企業的高層都希望組織的數字化發展能夠受到保護、安全開展,但他們很難理解實施威脅狩獵計劃的本質及其必要性。
而對安全團隊而言,盡管他們非常清楚采取威脅狩獵行動的必要性,但對于管理層提出的各種問題,他們往往難以給出滿意的答案,或者拿出表明其工作價值的數據證明。在此情況下,威脅狩獵的計劃和行動之間就會存在脫節,并影響安全團隊獲得組織資源和財務上的支持。
建議:
為了取得企業管理層對威脅狩獵計劃的認同和支持。安全管理者應該加強和公司的溝通,并學習以簡化的術語表述狩獵計劃和取得的收益,尤其要擯棄安全專業術語。同時,狩獵團隊還應該準備一個全面、清晰的案例,讓管理者和其他業務部門充分了解威脅狩獵計劃能夠有效幫助公司各部門實現他們的數字化發展目標。
參考鏈接: