漏洞概要

缺陷编号:
暂无

漏洞标题:
威胁猎手在现代安全环境中运作之道

提交时间:
2018年6月20日发布

危害等级:

相关厂商:

漏洞分类:
安全事件

关注度:
共 16 人关注

漏洞详情

最近,互联网上出现了一个新的术语;威胁猎手。

2017年,美国境内发生的网络攻击事件比前一年高出近50%。今年也不例外。根据Crowd Research Partners最近进行的一项调查,“网络空间中的威胁数量每年都在成倍数的持续增加”。

尽管数百万企业正面临网络犯罪分子的威胁,但聪明的企业正在忙于招募、培训和装备网络安全威胁猎手,并配备打击网络恶意攻击所需的复杂工具和设备。

当然,那些不确定网络安全威胁猎手应该做什么的人,正在寻找获得他们的途径。本文将有助于你了解威胁猎手以及他们如何在现代安全环境中工作。

威胁猎手的职位描述,技能和资质

网络威胁猎手通过假设网络已被破坏开始其研究。这种假设是基于这样一个事实,即即使诸如VPN(推荐的是PureVPNPIA 及Ivacy)以及其他服务器保护等工具已经就位,但已经对网络进行了突破,足够成熟可以绕过VPN和其他安防措施。

威胁猎手需要采取主动的方法,同时扫描所有网络和服务器以查找可能的违规或入侵。他还需要在理解异常情况和在网络上发生的轻微异常事件或实例方面非常有创意。

当涉及到技术知识时,威胁猎手需要成为这个领域的顶尖高手。只有当他们了解网络功能的深度以及数据如何流经网络时,他们才能发现诸如数据泄露或恶化,或被别人劫持等问题。

最后,网络威胁猎手需要知道他所从事的组织规定的SOP以及网络安全行业的SOP。只有当他完全了解时,他才能够创造出惊喜,并检测出前所未见的威胁。

了解现代安全环境的动态

现代安全环境所面临的威胁每天都在发生变化。这说明现在使用的工具和程序很快就会过时并被新的工具和技术所取代,这是符合逻辑的。因此,维持网络和数字环境安全的组织需要不断采取新的工具和技术。

这可能无法保证最终的安全性,但却能在组织的网络空间不断增长的威胁中扮演至关重要的角色。即使不能领先一步,至少也能保持同步。

威胁猎手如何在现代安全环境中运行

据G Data Software报道,2016年,互联网上出现了680万新的恶意软件标本。一年后,这个数字上升到710万。纵观这一趋势,很明显未来几年对威胁猎手来说不会更容易。事实上,它强调了培训威胁猎手的重要性,为意想不到的未来做好准备。

2017年发现的710万新型恶意软件中,显然不是所有这些恶意软件都是危险的。然而,确定少数危险因素是决定数字环境是否安全的原因。这是威胁猎手为保持网络安全做出贡献的地方。

威胁猎手可以识别AI系统可能错过的威胁。他们通过关注其组织安全体系结构的短板来做到这一点,这种体系结构在阻止威胁进入网络环境方面以失败告终。

如何进行威胁追踪

· 外包或DIY

有效进行整个组织威胁追踪的第一步是确定是否可以由内部安全团队执行。对于这种情况,为威胁猎手分配专用资源和设备非常重要。

如果由于某些原因,内部团队缺乏执行任务的敏锐度,或者安全团队的资源或时间被占用,则更安全的选择是将其外包。

· 关注重点领域并制定计划

将威胁追踪视为预先计划的过程至关重要,而不是特别的任务。制定适当的计划并确定在整个威胁追踪过程中应遵循的程序,将在努力带来积极影响方面发挥关键作用。

通过制定计划和时间表,可以确保威胁追踪团队的任务不会干扰其他团队的任务。此外,时间表还可以帮助预先确定要执行任务的顺序。这将使威胁猎手能够顺利有效地运行,同时跟踪已完成的所有任务和需要关注的任务。

· 假设验证

从头到尾都可以轻松的绘制进程,现在可以确定完成任务的时间。在追踪威胁时,团队应该确定它正在寻找什么以及它想要找到什么。例如,在这种情况下,威胁猎手应事先确定他们正在寻找恶意软件或入侵者可能已经入侵系统。

知道要查找的内容可以很容易的找到它,或者知道何时在没有威胁的情况下停止追踪。如果一个假设不存在,对威胁的追踪可能会变得无穷无尽,威胁猎手永远无法确定何时停止。

· 收集关键信息和数据

当涉及到组织所有可用的信息和数据时,需要做很多工作。如果数据没有组织起来,那就没用了,因为在适当的时候找到需要的东西几乎是不可能的。威胁猎手收集和整理的数据可以包括进程名称、命令行文件、DNS、目标IP地址、数字签名等。

如果所有这些信息都可用但未按易于筛选的方式排序,那么威胁猎手可能需要很长时间才能找到正确的信息,并且还需额外的时间来处理这些数据。这种做法可能会增加用于威胁追踪的预算和资源,破坏威胁追踪团队的整体生产力。

· 任务自动化

没有AI的帮助和自动化,就不可能跟上不断增长的网络威胁。即使人眼非常需要,但如果没有自动化,每天在互联网上出现的数千种新威胁和恶意软件都会被忽视。

对于威胁猎手来说,人力资源的组合非常需要人工智能,这些人工智能是为了准确地发现现代安全环境和敏感网络的威胁而建立的。

· 执行力

这就是说,威胁猎手可以遵循的消除现代安全环境威胁的完美工具或完美程序并不存在。在与越来越强的在线威胁进行竞争之间,威胁猎手需要始终比网络攻击领先一步。

AI与网络威胁追踪的未来

近来发展最迅速的工具之一是人工智能和机器学习,它一直在帮助威胁猎手减少他们在检测、预防和解决问题方面所花的时间。这也有助于提高威胁猎手采取措施的效率。但是,有些人认为,随着AI变得更好,它将取代人类威胁猎手。但我们相信,实际情况不会如此。这是由于两个原因:

· 主要原因是,AI是一种发展中的技术,它具备双重特性,善与恶。此外,一些分析人员甚至认为,未来的网络威胁将通过人工智能甚至区块链来创造和传播,从而产生更广泛的影响。

· 另一个原因是,AI是人类创造的工具。尽管在同时分析所有选项并做出最佳决策方面非常有效,但它可能永远无法超越人类思维所能够实现的创造力和创新。人工智能在实现和研究方面可能会非常方便,但现在,人类将以他们自己的创造力和批判性思维引领发展。

本文翻译自:https://securityaffairs.co/wordpress/73274/security/cyber-security-threat-hunters.html如若转载,请注明原文地址: http://www.4hou.com/info/news/12017.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注