威脅狩獵行動失敗的三大原因及建議
責編:gltian |2023-09-04 15:03:37隨著網(wǎng)絡(luò)攻擊技術(shù)和方法不斷升級換代,攻擊者的攻擊能力正在快速提高。為了應(yīng)對日益嚴峻的網(wǎng)絡(luò)安全挑戰(zhàn),現(xiàn)代企業(yè)需要將自身安全建設(shè)從被動防御轉(zhuǎn)換到主動防御、反制等主動安全的方向上來,威脅狩獵技術(shù)應(yīng)運而生。
企業(yè)希望通過威脅狩獵發(fā)現(xiàn)被忽視的已知威脅和新的未知威脅。但遺憾的是,要想真正落地一項威脅狩獵計劃并不容易,據(jù)《威脅獵人之聲》網(wǎng)站的最新調(diào)查報告發(fā)現(xiàn),超過半數(shù)的受訪者認為當前實施的威脅狩獵計劃只取得非常有限的安全效果,甚至部分受訪者表示其威脅狩獵計劃根本無效。研究人員發(fā)現(xiàn),企業(yè)在實施威脅狩獵計劃時普遍面臨數(shù)據(jù)質(zhì)量、工具性能、可見性以及專業(yè)人員等方面的限制,而導致企業(yè)威脅狩獵行動失敗的主要原因包括以下三個方面:
原因1:缺乏先進的狩獵工具
威脅狩獵分析師需要各種工具和技術(shù)的支持,才能有效地發(fā)現(xiàn)惡意活動、修補漏洞,并擁有應(yīng)對攻擊的情報。報告研究人員發(fā)現(xiàn),阻礙企業(yè)搜尋威脅的最大因素是沒有使用先進的狩獵工具。
企業(yè)實施威脅狩獵計劃的核心目標就是要縮短出現(xiàn)危險和完成攻擊之間的時間差,即所謂的“停留時間”。因此,威脅狩獵需要能夠發(fā)現(xiàn)傳統(tǒng)安全工具未檢測到的風險,并幫助企業(yè)分析和提高現(xiàn)有威脅檢測機制和流程的有效性,提出合理的安全性優(yōu)化建議。此外,它們還需要能夠識別新的攻擊手法、戰(zhàn)術(shù)、技術(shù)和程序 (TTP),從而發(fā)起全新的威脅處置任務(wù)。
建議:
盡管安全分析師可以人工方式完成以上各種任務(wù),但是在效率和時間上很難滿足企業(yè)的實際應(yīng)用需求。更有效的威脅狩獵工作應(yīng)該是在高度自動化的流程中完成,充分利用UEBA、機器學習等技術(shù)手段為分析師提供幫助。企業(yè)在選型威脅狩獵工具時,應(yīng)該重點關(guān)注以下功能:
- 是否能夠為安全分析師提供各種安全事件的信息收集服務(wù);
- 是否可以聚合數(shù)據(jù),形成統(tǒng)一的事件記錄情報;
- 是否支持多樣化的威脅檢測策略;
- 是否具有人工分析的選項;
- 自動響應(yīng)設(shè)置能力是否強大;
- 是否可以在正式購買前提供試用。
原因2:未深入了解企業(yè)的安全基線
威脅狩獵行動失敗的另一個主要原因是,狩獵團隊沒有完全了解企業(yè)自身的安全基線。如果深入了解安全基線,需要擁有完備的文檔,并知道什么是“正常的活動”,在這之外的任何“異常活動”都需要予以調(diào)查。
如果不了解企業(yè)的安全基線,狩獵團隊對企業(yè)的數(shù)字化環(huán)境就會缺乏足夠的可見性,或者難以收集足夠準確的情報來深入分析當前的威脅態(tài)勢。此外,如果狩獵團隊不知道正常的安全基線,也意味著分析師無法衡量哪些行為可以接受、哪些不可接受,從而使組織面臨各種惡意活動的威脅。
建議:
為了保證威脅狩獵計劃的效果,企業(yè)需要擁有一套標準化的威脅狩獵流程和程序,在此背景下,深入了解企業(yè)的安全基線就變得尤為重要。要了解企業(yè)的安全基線是什么,企業(yè)需要通過一段時間的數(shù)據(jù)積累,總結(jié)出企業(yè)正常數(shù)字化活動的特征與指標參數(shù)。為此需要部署適當?shù)谋O(jiān)控技術(shù)和工具,實現(xiàn)全面的數(shù)字化環(huán)境可見性,并能夠從各類型的端點上收集所需要的運行數(shù)據(jù),這些數(shù)據(jù)可以讓組織更深入地了解誰在訪問系統(tǒng)。
只有在知道“正常活動”的基礎(chǔ)上,威脅狩獵團隊才可以實施標準化的威脅誘捕策略和規(guī)程,這些策略和規(guī)程會在考慮整個組織的數(shù)字化應(yīng)用環(huán)境基礎(chǔ)上,定義出對可疑活動的識別和響應(yīng)。
原因3:計劃未獲得管理層的支持
報告研究發(fā)現(xiàn),近六成(56%)的受訪者表示,他們在實施威脅狩獵計劃難以獲得公司領(lǐng)導層的支持,這也是導致狩獵行動難以取得真正成功的重要原因。盡管企業(yè)的高層都希望組織的數(shù)字化發(fā)展能夠受到保護、安全開展,但他們很難理解實施威脅狩獵計劃的本質(zhì)及其必要性。
而對安全團隊而言,盡管他們非常清楚采取威脅狩獵行動的必要性,但對于管理層提出的各種問題,他們往往難以給出滿意的答案,或者拿出表明其工作價值的數(shù)據(jù)證明。在此情況下,威脅狩獵的計劃和行動之間就會存在脫節(jié),并影響安全團隊獲得組織資源和財務(wù)上的支持。
建議:
為了取得企業(yè)管理層對威脅狩獵計劃的認同和支持。安全管理者應(yīng)該加強和公司的溝通,并學習以簡化的術(shù)語表述狩獵計劃和取得的收益,尤其要擯棄安全專業(yè)術(shù)語。同時,狩獵團隊還應(yīng)該準備一個全面、清晰的案例,讓管理者和其他業(yè)務(wù)部門充分了解威脅狩獵計劃能夠有效幫助公司各部門實現(xiàn)他們的數(shù)字化發(fā)展目標。
參考鏈接:
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧