网络威胁的复杂性、频率和影响正在加剧。2022 年,勒索软件攻击达到2.361 亿次,其中 39% 的英国企业遭受网络攻击。
这些攻击需要工具和资源来识别和纠正漏洞,以在云环境中维护强大的安全框架,从而降低数据泄露和合规违规的风险。
在这里,威胁追踪对于一致的云安全态势管理 ( CSPM ) 策略至关重要,而该策略对于保护组织免受这些持续的网络威胁至关重要。
什么是威胁狩猎?
网络威胁搜寻涉及积极寻找可能使 IT 基础设施遭受攻击的潜在网络威胁或漏洞。
通常,此类基础设施包括硬件(服务器、交换机、路由器、打印机等)、软件(业务应用程序、操作系统、数据库等)、网络基础设施(LAN、WAN、防火墙等)、数据中心等。
威胁搜寻是一种主动的网络安全方法,涉及通过网络和数据集(或类似的 IT 基础设施)进行深思熟虑的系统搜索,以识别和隔离逃避现有安全解决方案的高级威胁。
这意味着威胁搜寻依赖于更主动的方法,而不是等待来自防火墙或入侵检测系统等传统安全工具的警报。
让我们探讨威胁追踪如何帮助加强网络安全态势。
高级威胁识别
高级威胁识别是一组工具和策略,可帮助主动搜索和识别传统网络安全措施(如防火墙、反恶意软件解决方案等)可能无法检测到的复杂威胁。
这些威胁可能包括高级持续性威胁 (APT),即未经授权的用户获得对系统或网络的访问权限并且长时间未被检测到的攻击。
与常见的网络威胁不同,APT 的识别和消除尤其具有挑战性,因为它们运行安静且避免触发典型的安全警报。他们经常采用加密、零日漏洞和定制恶意软件等复杂技术来绕过组织的安全防御。
高级威胁识别的关键活动
行为分析:监视网络内的用户行为和系统以识别异常或可疑模式。例如,如果用户突然开始访问他们通常不使用的数据或系统,这可能是安全漏洞的迹象。
沙盒:这需要在单独的隔离环境(“沙盒”)中运行可疑程序或文件以查看它们的行为。威胁追踪者可以使用网络沙箱工具来测试潜在有害的软件,而不会损坏主系统或网络。
威胁情报:收集、分析和共享威胁情报数据。威胁追踪者利用这些情报来了解网络犯罪分子的策略、技术和程序 (TTP),并制定应对策略。
网络取证:这是数字取证的一个子集,是指捕获、记录和分析网络事件以发现安全事件或其他问题事件的根源。这是监视和分析计算机网络流量以收集信息、法律证据或入侵检测的过程。
端点检测和响应 (EDR): EDR 工具检测、调查和缓解主机和端点上的可疑(和潜在有害)活动。
下面更详细地介绍了威胁搜寻如何识别和减轻威胁:
创建假设:创建可行的假设是威胁追踪的第一步。例如,威胁猎人会假设攻击者会尝试闯入公司的电子邮件系统。威胁环境、事件、行业趋势和威胁情报报告都是该假设的可能起点。
调查:形成假设后,威胁追踪者结合使用SIEM、网络流量分析、渗透测试工具、流量信息、日志和系统行为等工具和技术来深入调查网络。这是为了使用尖端工具和方法寻找可疑威胁的证据。他们可能会在数据中寻找恶意行为的指标,例如服务器日志、网络流量和用户交互。
检测:如果威胁追踪者发现可能存在威胁的迹象,他们将进一步调查以确定其是否真实。这可能包括调查服务器上的系统调用模式、跟踪网络流量的来源或检查特定软件的行为。
事件响应:一旦识别出危险,事件响应者(以及威胁追踪者)将努力消除它。潜在的解决方案包括隔离受影响的系统、根除恶意软件、修复漏洞和加强安全措施。他们还可能聘请数字取证专家和事件响应团队来确保网络的安全。
事件后分析:消除威胁后,威胁追踪人员会进行事件后调查,以了解攻击者如何破坏安全、造成了多大损害以及可以采取哪些措施来避免更多攻击。这项研究提供了有价值的信息,可用于加强公司的云安全并指导未来定位和消除潜在威胁的工作。
采用分层风险缓解方法
威胁狩猎涉及采取战略措施来减少攻击面并推动数据防御。目标是通过采取主动和分层的安全态势来最大限度地减少威胁的影响。
在网络安全中,攻击面是指未经授权的用户(攻击者)可以尝试进入环境或从环境中提取数据的点或“表面积”的总数。
换句话说,它是未经授权的攻击者可以访问设备或网络的所有不同点的总和。这些问题包括软件漏洞、系统配置错误、不必要的服务和不受保护的用户凭据。
推动数据防御意味着采取积极措施来保护数据的完整性、可用性和机密性。
这些措施的一些例子如下:
加密:加密是将信息转换为只有有权访问秘密密钥的人才能解密的代码的过程。例如,使用 AES 加密静态数据或在传输过程中使用传输层安全性 (TLS)。
访问控制:用户的权限和身份验证属于“访问控制”的范畴。根据最小权限原则 (PoLP),仅应向用户授予完成其工作所需的最少量权限或访问权限。
防火墙和 IDS/IPS:防火墙和入侵检测系统/入侵防御系统通过监视和阻止恶意活动来保护网络。
数据备份和恢复:强大的灾难恢复策略和定期数据备份可以在发生数据泄露或系统故障时确保您的信息可访问。
如何采取主动、分层的安全态势
采用主动和分层的安全态势涉及采取多方面的安全方法、预测潜在威胁并采取措施预防威胁,而不仅仅是在攻击或违规发生时做出反应。
实现此目标的方法如下:
●识别数据并对其进行分类:确定您的数据、数据所在的位置、谁有权访问这些数据以及当前采取了哪些保护措施。
●实施多层防御:也称为深度防御,这可能涉及防火墙、IDS/IPS、网络分段、加密、安全密码和多重身份验证。如果一层失败,其他层仍会留在原地以阻止威胁。
●持续监控和威胁情报:使用可对应用程序和网络硬件生成的安全警报进行实时分析的工具和服务。订阅威胁情报源以跟上最新趋势和漏洞。
●定期审核和测试:定期安全审核可确保您的防御功能按预期运行。此外,执行渗透测试和漏洞扫描以查找并修复任何潜在的弱点。
●事件响应计划:制定一份记录完善且经过实践的事件响应计划。确切地知道在安全漏洞期间该怎么做可以最大限度地减少停机时间和损失。
●培训和意识:让您的团队了解最新的威胁以及如何识别和预防这些威胁。消息灵通的团队是抵御网络安全威胁的最有效防御措施之一。
增强安全协议
可以借助威胁搜寻来评估当前安全措施的有效性。它可以揭示当前防御中的潜在弱点,并提供加强防御的机会。此外,该程序有助于检测策略和协议缺陷,这可能有助于加强整体安全系统。
当安全流程得到改进时,针对网络攻击的防御就会得到加强,从而降低安全漏洞的可能性。
以下是一些改进安全协议及其使用实例的建议:
例行审核和更新:定期检查您的系统,以确保所有应用程序均更新至最新版本。过时的软件可以为黑客提供切入点,因为它们通常具有已在新版本中修补的已知漏洞。
示例:消费者信用报告机构 Equifax在 2017 年遭受数据泄露,原因是其一个 Web 应用程序中存在未修补的漏洞。定期的软件审核可能有助于防止这种违规行为。
分层安全措施:结合分层安全协议来提供深度保护。这种方法也称为深度防御,可确保如果一种防御失败,其他防御仍将到位以阻止或减轻攻击。
示例:Google 采用分层安全方法。假设尝试从无法识别的设备访问用户的帐户。在这种情况下,它会触发额外的安全层,例如提示输入第二个密码或向用户的手机发送验证码。
加密:始终对敏感数据进行加密。它确保即使数据被拦截或未经授权访问,窃贼仍然无法读取且无用。
示例:WhatsApp 使用端到端加密来保护用户消息的隐私。即使这些消息被拦截,除预期收件人之外的任何人都无法阅读。
使用强密码和双因素身份验证 (2FA):实施严格的密码策略并鼓励或强制使用2FA。它增加了一层保护,使未经授权的用户更难访问敏感信息。
示例:2012 年,Dropbox 遭遇数据泄露,超过 6800 万用户的密码被泄露。此后,该公司鼓励使用 2FA 为用户帐户添加额外的安全层。
考虑到上述策略,组织可以有效增强其安全协议,并更好地抵御潜在的网络威胁。
威胁追踪使组织能够更深入的研究其网络,识别传统安全措施可能遗漏的隐藏威胁。这种方法会寻找妥协的迹象,从而能够在威胁造成重大损害之前对其做出快速响应。
这不仅仅是等待安全系统发出的警报并采取积极的立场来识别和补救风险。它需要定期进行威胁搜寻演习,以确保安全团队随时了解不断变化的威胁形势,从而为保护组织的资产做好更好的准备。