有效威脅追蹤六步走:保護關鍵資產和對抗網絡犯罪
在攻擊者發現你之前找出他們是鞏固網絡防御的關鍵。如何高效做到這一點并不簡單,但只要投入一點時間,你就可以學會威脅追蹤,避免公司損失數百萬美元。
我們不妨先看看下列令人吃驚的統計數據。Cybersecurity Ventures估計,到2025年,網絡犯罪將給全球經濟造成10.5萬億美元的損失。如果換算成某個國家的GDP,網絡犯罪造成的全球經濟損失相當于世界第三大經濟體,僅僅落后于美國和中國。但如果能實現有效威脅追蹤,你就可以防止惡意黑客給公司造成嚴重破壞。
本文將詳細闡述威脅追蹤:威脅追蹤是什么?如何深入有效地實施威脅追蹤?網絡威脅情報(CTI)如何推動威脅追蹤工作?
一、威脅追蹤是什么?
網絡威脅追蹤就是收集威脅正在形成的證據。這是個持續的過程,能夠幫助企業找出對自己構成最大風險的威脅,助力安全團隊在攻擊發起前加以阻止。
二、威脅追蹤六步走
威脅追蹤的整個過程中,謹慎計劃和注重細節很關鍵,確保所有團隊成員都按計劃執行也很重要。為保證效率,應記錄下每一步,方便團隊其他成員重復同樣的過程。
1、組織追蹤
盤點端點、服務器、應用和服務等公司關鍵資產,確保團隊做好準備,井然有序。這一步驟可以幫助你了解自己需要保護哪些資產,以及這些資產最容易受到哪些威脅的侵害。然后,確定每件資產的位置、其訪問權限所有者,以及訪問權限的提供方式。
最后,根據公司的環境和基礎設施提出有關潛在威脅的問題,明確重點情報需求(PIR)。比如說,如果公司存在遠程工作模式或者采用混合工作模式,這類問題可能包括:
? 遠程設備最容易遭到哪些威脅侵害?
? 這些威脅可能留下何種證據?
? 我們如何確定有員工被入侵了?
2、規劃追蹤
這一階段,可通過下列操作設置必要的規范:
? 說明目的 - 包括為什么有必要進行追蹤,以及應該關注哪些威脅,這是由公司PIR決定的。(舉個例子,遠程辦公可能比自帶設備辦公(BYOD)更容易遭受網絡釣魚攻擊。)
? 界定范圍 - 根據所知內容確定并陳述威脅假設。可以假定如果正在搜尋的威脅發生會浮現出什么證據,通過了解這些證據來收窄范圍。
? 了解限制,比如能夠訪問哪些數據集、必須分析哪些資源、有多少時間等等。
? 設定現實的最后期限。
? 確定要排除哪些環境,找出可能阻礙在特定環境中執行威脅追蹤的合約關系。
? 了解必須遵守哪些法律和監管約束。(即使是追蹤壞人也不能違法。)
3、用合適的工具追蹤
取決于公司的資產清單和威脅假設,可以用來進行威脅追蹤的工具有很多。例如,如果要找出潛在的漏洞,安全信息與事件管理(SIEM)和調查工具就有助于審查日志并確定有無泄漏。以下是能夠大幅提升威脅追蹤效率的一些選項:
? 威脅情報 - 具體而言,從深網和暗網獲取威脅情報的自動化饋送源和調查門戶
? 搜索引擎和網絡爬蟲
? 來自網絡安全供應商和殺毒軟件供應商的信息
? 政府資源
? 公共媒體 - 網絡安全博客、在線新聞站點、雜志
? SIEM、 SOAR、調查工具、開源情報(OSINT)工具
4、執行追蹤
執行追蹤時最好別搞復雜了,就按計劃一點一點地推進,始終保持正軌,避免偏離路線和分心。執行分為四個階段:
? 收集:這是威脅追蹤中勞動最密集的部分,尤其是在采用人工方式收集威脅信息的情況下。
? 處理:編譯數據并處理成有條理的可讀格式,方便其他威脅分析師理解。
? 分析:確定所發現的數據揭示了什么。
? 結論:如果找出了威脅,有數據支持其嚴重性嗎?
5、總結并評估追蹤
在下一次追蹤開始前評估本次追蹤工作有助于持續改善追蹤工作。這一階段可以考慮如下問題:
? 所選擇的假設適合本次追蹤嗎?
? 范圍縮得夠窄了嗎?
? 是否收集到有用情報,或者一些流程能不能換種做法?
? 工具用對了嗎?
? 每個人都遵循了計劃和流程嗎?
? 過程中領導層是否覺得自己有能力解決問題,是否能夠獲得全部所需信息?
6、報告發現并據此采取行動
追蹤結束時,你可以看到所獲數據是否支持自己的假設,如果確實支持,那就提醒網絡安全團隊和事件響應團隊。如果沒有具體問題的證據,你需要評估資源并確保數據分析沒有遺漏。例如,你可能會發現自己為尋找入侵指征而審查了日志,但沒有檢查暗網泄露數據。
三、用網絡威脅情報(CTI)提升威脅追蹤
網絡威脅情報可以成為威脅追蹤計劃的有效組成部分,尤其是在威脅情報數據十分全面,且包含業務上下文和公司相關性的情況下。Cybersixgill可消除通往網絡威脅情報寶貴來源的障礙,提供深入調查能力,幫助團隊找出最重要的潛在網絡威脅。
企業可以利用Cybersixgill的調查門戶跨深網、暗網和公開網絡編譯、管理并監測自身全部資產。這一情報可幫助企業識別潛在的風險和暴露,了解潛在攻擊路徑和攻擊者TTP,從而在新興網絡攻擊被武器化之前主動揭露并阻止之。
