實現主動威脅搜索的最佳實踐與熱門工具
隨著攻擊技術的演進,網絡安全防御者也需要不斷升級企業的防御方案,將網絡安全建設從被動防御轉換到主動防御、積極反制的方向上來,主動威脅搜索技術應運而生,并逐漸成為現代企業網絡安全防護計劃的重要組成部分。
主動威脅搜索有別于目前企業中常見的SOC、IDS、滲透測試和安全掃描等安全防護方案,其主要由安全分析師利用多種威脅分析工具、威脅情報和實踐經驗來排查和尋找可疑的攻擊痕跡。主動威脅搜索是一種更加積極的新一代安全防護策略,通過主動尋找和調查網絡中的任何可疑行為,可以幫助安全人員比網絡攻擊者搶先一步采取行動。
主動威脅搜索的最佳實踐
如果能夠有效實現主動威脅搜索,企業組織將會受益匪淺。以下是關于主動威脅搜索的六個最佳實踐經驗,可以幫助企業更好地實現主動威脅搜索。
充分了解企業的數字環境
如果要及時發現網絡中的威脅,一個基本的要求是要了解網絡正常時的狀態是什么樣子。安全分析師只有非常熟悉網絡的運行情況,才能充分獲得這方面信息。例如,如果企業充分了解不同時間段進入網絡的流量情況,就可以準確識別出流量異常的情況,并對此展開進一步調查,這樣就很可能會發現威脅。安全分析師還有必要了解各種網絡流量的來源和IP地址。如果突然發現從陌生來源的流量,應及時驗證這些來源的真實性和安全性。
緊密跟隨攻擊技術發展趨勢
今天的網絡攻擊者不會是孤軍奮戰,他們會經常利用暗網平臺,相互交流探討最新的攻擊技術,并不斷設計出新的手法來實施網絡攻擊。對于安全防護者而言,如果能夠獲得攻擊者的第一手信息,將對防護新型攻擊大有助益。安全分析師需要尋找機會與這些黑客打交道,這樣就有機會了解他們的手法,并利用這些信息來加強防御。
從攻擊者的角度思考
身處企業網絡內部的安全人員往往看不到外部黑客能看到的東西,特別是網絡系統中的漏洞和不足。從攻擊者的角度思考可以更快速了解企業在網絡防御方面的缺陷。企業如果要有效地開展威脅搜索活動,需要定期開展網絡攻擊演練活動,梳理企業的IT資產、尋找漏洞和攻擊路徑,以便更好地發現和應對風險。通過實戰化的攻防演練,可以幫助企業積累寶貴的攻擊技能,其作用不僅僅在于主動發現安全問題,對系統開發人員深入了解計算機系統也會大有幫助。
獲取全面的可見性
可見性是指對企業內部及所覆蓋的整個網絡流量進行收集、監控、分析,發現惡意訪問、影子資產、異常流量。對網絡安全防護人員而言,網絡的可見性是安全防護的前提,因為他們無法保護不知道的東西。這通常意味著需要了解所有設備、用戶和應用程序的行為和活動,還包括它們之間發生的交互。部署應用有效的網絡監控工具可以全面地洞察網絡中的各種活動,還可以提供反映系統安全運營情況的實時性報告。
利用新一代AI工具
如今,網絡犯罪分子正在積極使用機器學習、人工智能等新技術,更深入地了解其攻擊目標的行為,并發動更精準的攻擊。因此,企業組織有必要利用同樣的技術,實施安全防護和威脅檢測,做到比網絡犯罪分子領先一步。基于AI的工具可以對海量數據進行自動化檢測,快速識別異常情況,并從錯誤中學習。通過有效部署人工智能和機器學習工具,企業可以優化現有的威脅搜索策略,提升主動威脅搜索能力。
永遠保持警惕
主動威脅搜索并非一蹴而就的活動。網絡犯罪分子在不斷尋找網絡中的漏洞,所以企業的威脅獵手須時刻保持警惕,才能及時發現并捕獲他們。網絡攻擊者會采取不同的策略來躲避檢測。網絡威脅分析師必須對所有活動保持警惕,留意微小的細節,以識別可疑或惡意的攻擊途徑,忽略任何一些小細節都可能會導致企業遭受嚴重的網絡安全攻擊。
5個熱門威脅搜索工具
目前,市面上有一些熱門工具有助于企業主動搜索威脅。這些工具提供了自動化功能,可以減少安全人員的手動工作,用戶只需要正確配置就可以快速使用。
Phishing Catcher
攻擊者通過網絡釣魚手段,誘騙疏于防范的受害者泄露敏感信息。這是一種常見的攻擊,這些黑客將他們偽造的網站、電子郵件和文本信息冒充為合法內容。反釣魚威脅搜索工具Phishing Catcher可以近乎實時地將使用惡意傳輸層安全(TLS)證書的域名標注出來,它使用了一種標記語言(YAML)配置文件,為TLS證書域名中的字符串分配數字。
CyberChef
CyberChef是一種可靠的安全威脅搜索軟件,可用于數據編碼、解碼、加密、解密和格式化。這個工具通過Web應用部署,便于用戶使用,可以處理Base64或XOR之類的基本編碼,也可以處理高級加密標準(AES)和數據加密標準(DES)之類的復雜編碼。
DNSTwist
DNSTwist主要監控試圖訪問網絡域名的可疑行為細節,以識別惡意活動或網絡攻擊,其算法能夠檢測異常,比如域名欺騙、品牌假冒和釣魚攻擊。一旦用戶在系統中輸入要訪問的域名,它會創建一個監測列表,列出可能的域名變體,并檢查列表中是否有相關域名是活躍的。
YARA
YARA是一個針對惡意軟件的威脅搜索工具,可以對各個惡意軟件家族進行分類。用戶只需編寫一組字符串以執行指定的函數,就可以使用它。YARA可以與多種操作系統兼容。它還提供了一個Python擴展,以便用戶創建自定義Python腳本。
AttackerKB
AttackerKB是一個威脅搜索工具,可以用來檢測系統中的各種類型安全漏洞,并根據它生成的數據構建主動安全防御系統。AttackerKB的主要能力包括利用漏洞、技術分析和防御建議。用戶可以根據漏洞的影響來確定漏洞修補優先級,以收到最大成效。
