威脅追踪:何時追踪?誰來追踪?
RSA 2018的熱門話題之一是威脅追踪。專家們一致認為,這是應對現代APT攻擊的必要措施。但專家們未達成一致的是到底什麼是威脅追踪–它包含哪些措施。為此,他們同意參考《如何追踪安全威脅》一書中的定義,該書中指出,威脅追踪是以分析人員為核心的過程,目的是讓組織能夠發現被自動預防和檢測控制系統漏報的隱藏高級威脅。

根據該定義, 威脅追踪必須由網絡安全專家來執行;此過程不能自動執行。然而, 在專家搜索異常情況後, 搜索結果將有助於改進自動檢測系統, 使該系統學會檢測以前需要專家人為檢測的攻擊場景。
何時追踪
專家表示, “網絡中有敵對行為嗎?”這個問題本身就沒抓住重點, 網絡中當然有敵對行為。專家稱, 從本質上來說, 你應該已經在追踪敵對行為。就我個人來說, 我希望這種情況並不是一直發生, 但這並不意味著您不應該追踪威脅– 尤其是如果擁有龐大的分佈式企業基礎架構的情況。
然而, 威脅追踪是一種高級安全措施, 需要一定的資源和一定水平的安全系統。這就是為什麼必須在組織威脅發現過程和採用成熟的檢測和響應系統這兩者之間進行選擇時, 你應該選擇後者。
通過成熟的檢測和響應系統, 不僅可以從威脅範圍中排除不大的威脅, 還可以為追踪專家提供更多有用的信息。
誰來追踪
這裡的主要問題是追踪者應該是內部專家還是外部專家。這兩類專家各有其長處和短處。內部專家對獨特的本地網絡架構及其具體情況瞭如指掌, 而外部網絡安全專家能帶來廣博的威脅情形方面的知識, 但需要一些時間才能了解本地基礎架構。這兩類專家都很重要。理想情況下, 最好是輪換安排內部和外部專家(也就是說, 如果條件允許– 並且如果您已經有內部專家)。
大多數企業網絡在某種程度上很類似。當然, 例外情況也有, 但十分罕見。經常為各種公司提供威脅追踪服務的外部專家能得心應手地面對公司之間略微差異的情況。
對於內部專家來說, 此問題的另一個方面是, 持續威脅追踪讓他們的日常工作更加乏味。查看日誌並找出攻擊進程的隱藏位置是非常單調的工作, 甚至非常有工作熱情地的IT專業人員也感到厭煩。所以, 安全運營中心最好是輪換安排內部和外部專家, 而不要聘用一個全職的威脅追踪者。
至於追踪者的個人素質方面, 請尋找在網絡威脅方面經驗豐富、專注耐心的人。不過直覺同樣重要。這樣的人可能很難找, 因為直覺沒法測量, 在簡歷中也少有人會提及自己的直覺能力。
要有效利用外部專家,建議採用我們的威脅追踪專家服務。這些服務可以探索你的基礎架構,識別任何目前或歷史入侵跡象,或者可以安排全天候監控和持續分析網絡威脅數據。要詳細了解卡巴斯基威脅搜索服務,請訪問此網頁。
資料來源: https://www.kaspersky.com.cn/blog/threat-hunting-rsa-2018/9637/