有效追踪威胁6个步骤：保护关键资产并打击网络犯罪

在威胁行为者发现之前找到他们是加强网络防御的关键。如何高效且有效地做到这一点并非易事——但只需投入少量时间，就可以掌握威胁追踪并为组织节省数百万美元。

考虑一下这个惊人的统计数据。据国外网络安全机构Cybersecurity Ventures 估计，到 2025 年，网络犯罪将给全球经济造成 10.5 万亿美元的损失。以一个国家来衡量这一数额，网络犯罪的成本相当于仅次于美国和中国的世界第三大经济体。但是通过有效的威胁追踪，可以防止不良行为者对您的组织造成严重破坏。

本文详细解释了威胁搜寻——它是什么、如何彻底有效地进行以及网络威胁情报 (CTI) 如何加强威胁搜寻工作。

什么是威胁狩猎？#

网络威胁搜寻正在收集威胁正在实现的证据。这是一个持续的过程，可找到对组织构成最大风险的威胁，并使团队能够在攻击发起之前阻止它们。

通过题为“有效网络安全的威胁搜寻”的最新综合报告，保护组织免受代价高昂的网络犯罪。立即下载以了解如何高效地规划、执行和评估威胁搜寻，确保系统得到强化以抵御不断变化的网络威胁。

威胁狩猎分六部分#

在整个狩猎过程中，周密的计划和对细节的关注是必不可少的，同时确保所有团队成员都遵循相同的计划。为了保持效率，请记录每个步骤，以便团队中的其他人可以轻松地重复相同的过程。

1 —组织狩猎。#

通过盘点关键资产（包括端点、服务器、应用程序和服务）确保团队做好准备和组织。此步骤可了解要保护的内容以及它们最容易受到的威胁。接下来，确定每项资产的位置、有权访问的人员以及如何提供访问权限。

最后，通过根据组织的环境和基础设施询问有关潜在威胁的问题来定义优先情报要求 (PIR)。例如，如果有远程或混合劳动力，此类问题可能包括：

• 远程设备最容易受到哪些威胁？

• 这些威胁会留下什么样的证据？

• 我们将如何确定员工是否受到损害？

2 —计划狩猎。#

在此阶段，将通过以下方式设置必要的参数：

• 说明目的——包括为什么必须进行追捕以及应该关注哪些威胁，这由 PIR 确定。（例如，远程工作人员在 BYOD 模式下可能更容易受到网络钓鱼攻击。）

• 定义范围——确定假设并根据所知道的陈述假设。如果正在寻找的威胁启动，可以通过了解会出现哪些证据来缩小范围。

• 了解局限性，例如可以访问哪些数据集、必须分析哪些资源以及有多少时间。

• 设置具有现实截止日期的时间框架。

• 确定要排除的环境，并寻找可能会阻止在特定环境中进行狩猎的合同关系。

• 了解必须遵守的法律和法规限制。（你不能违法，即使是在追捕坏人的时候。）

3 —为工作使用正确的工具。#

根据资产清单和假设，有很多用于威胁搜寻的工具。例如，如果正在寻找潜在的危害，SIEM 和调查工具可以帮助组织查看日志并确定是否存在任何泄漏。以下是可以显着提高威胁搜寻效率的选项示例列表：

• 威胁情报——特别是从深网和暗网获取威胁情报的自动提要和调查门户

• 搜索引擎和网络蜘蛛

• 来自网络安全和防病毒供应商的信息

• 政府资源

• 公共媒体——网络安全博客、在线新闻网站和杂志

• SIEM、SOAR、调查工具和 OSINT 工具

4 —执行狩猎。#

执行狩猎时，最好保持简单。一点一点地按照计划进行，以保持在正轨上并避免转移注意力和分心。执行分四个阶段进行：

• 收集：这是威胁搜寻中最耗费人力的部分，尤其是使用手动方法收集威胁信息时。

• 处理：编译数据并以有组织和可读的格式处理它，以供其他威胁分析师理解。

• 分析：确定发现揭示了什么。

• 结论：如果发现威胁，是否有数据支持其严重性？

5 —结束并评估狩猎。#

在开始下一次狩猎之前评估工作对于帮助不断改进是必不可少的。以下是此阶段需要考虑的一些问题：

• 所选择的假设是否适合狩猎？

• 范围够窄吗？

• 是否收集了有用的情报，或者是否可以以不同的方式完成某些流程？

• 有合适的工具吗？

• 每个人都遵循计划和流程了吗？

• 领导层是否觉得自己有能力在整个过程中解决问题，他们是否可以访问所有需要的信息？

6 —报告并根据发现采取行动。#

在结束搜索时，可以查看数据是否支持假设——如果支持，将提醒网络安全和事件响应团队。如果没有特定问题的证据，将需要评估资源并确保数据分析中没有漏洞。例如，可能会意识到查看了日志以寻找妥协，但没有检查暗网上的泄露数据。

调查门户能够在深度、黑暗和清晰的网络中编译、管理和监控完整资产清单。这种情报可帮助识别潜在的风险和风险，了解潜在的攻击路径和威胁行为者 TTP，以便在新出现的网络攻击被武器化之前主动揭露和阻止它们。