浅析“威胁猎人”如何在现代安全环境中运作

每年,互联网上都会出现数百万种新型恶意软件,威胁猎人必须随时候命,将识别和打击恶意软件列为优先事项,以确保组织能够保持安全,并且免受各种网络威胁的侵害。

网络安全本身就是一个独立且完整的世界,其中分布着不同的领域,各种网络安全专家每天在各自不同的领域中处理着纷繁复杂的安全问题。而近年来,这个世界中又迎来了一个“新人”——威胁猎人(Threat Hunter)。如今,网络安全猎人的角色已经日趋成熟且至关重要。

2017年,美国境内发生的网络攻击事件比前一年高出了近50%。今年也不例外。根据Crowd Research Partners最近进行的一项调查指出,“网络空间中的威胁数量每年都在持续增加一倍”。

在数百万企业还在被网络威胁搞得焦头烂额的时候,聪明的企业已经开始忙于招募、培训和配置网络安全猎手了,同时还在其“武器库”中添加了用于打击网络攻击的先进工具和设备。

当然,不乏还是有人并不清楚网络安全威胁猎人的作用和工作职能,本文将帮助您能够对威胁猎人有个基础认知,以及了解他们在现代安全环境中的运作方式。

威胁猎人的职位描述,技能和资格

网络威胁猎人通常是在假设网络已经遭到破坏的情境下,开始他们的研究工作。这种假设所基于的现实是,即便VPN(推荐使用PureVPN、PIA & Ivacy)等工具以及其他服务器保护措施已经部署得当,仍然无法排除网络中存在安全问题。因为随着技术的进步,很多恶意软件已经足够成熟,能够轻易地绕过VPN和其他防护措施。

威胁猎人需要采取主动的方式,同时扫描所有网络和服务器以查找可能存在的违规或入侵行为。此外,他还需要非常富有创造性和警觉性,以明确识别异常情况以及网络上发生的轻微异常事件或实例。

提到技术知识方面,威胁猎人必须是该技术领域的“顶尖高手”。只有当他们能够深度了解网络功能,以及数据如何流经网络时,他们才有能力发现诸如数据泄露或更为严重的安全问题。

最后,网络威胁猎人还需要了解他所从事的组织规定的SOP(Standard Operation Procedure,即标准作业程序),以及网络安全行业的SOP。只有当他充分了解这些内容后,他才有能力识别异常情况,并检测出前所未见的威胁。

了解现代安全环境的动态

现代安全环境所面临的威胁每天都在发生变化,这就意味着,现在使用的工具和程序很快就会过时,并被新的工具和技术所取代,这将是符合逻辑的认知。因此,想要保持网络和数字环境安全的组织,必须不断采取新的工具和技术。

当然,只是保持技术和工具更新并不能保证最终的安全性,但是它对于保障企业安全方面确实具有重要作用,因为如果缺乏这一步,企业所面临的网络威胁将会越来越大。

威胁猎人如何在现代安全环境中运作?

据G Data Software报道称,2016年,互联网上出现了680万种新型恶意软件样本。一年后,这一数字上升到了710万。纵观这一趋势,我们不难发现未来几年对于威胁猎人来说将会异常艰难。事实上,这种趋势也强调了培训威胁猎人的重要性,为最令人意想不到的威胁环境做好迎战准备。

虽然,事实证明,2017年发现的710万新型恶意软件并非都是危险的,但是,识别出的少数威胁因素可能就是决定数字环境是否安全的根源。而如何识别出这些少数威胁,就是威胁猎人能够为保障网络安全做出的贡献。

威胁猎人能够识别出AI系统可能错过的威胁。他们通过关注其组织安全体系机构的缺陷来实现这一点,这种体系机构无法阻止威胁进入数字环境。

如何实现威胁捕获

1. 外包或DIY

有效进行“全组织范围”威胁搜索的第一步,是确定它是否能够由内部安全团队执行。对于这种情况,为威胁猎人分配专门的资源和设备非常重要。

如果出于任何原因,内部安全团队缺乏这种任务敏感度,或者缺乏足够的资源和时间可以配置给安全团队,那么更安全的选择是将其外包出去。

2. 关注重点领域并制定计划

制定适当的计划,并确定在整个威胁搜寻过程中应当遵循的程序,将对威胁捕获工作起到非常积极的关键作用。通过制定计划和时间表,可以确保威胁捕获团队的任务不会干扰到其他团队。此外,时间表还可以帮助预先确定任务优先级,这将有助于威胁猎人有效地执行操作,同时追踪已经完成的所有任务,以及需要关注的优先级任务。

3. 生成一个假设

从头到尾在你的脑海中构建一个假设场景,可以帮助你轻松地绘制任务路线图,以及确定任务完成的时间。在捕获威胁的过程中,团队应该确定好需要寻找的内容,以及期待找到什么。例如,就本文而言,威胁猎人应该事先确定他们正在寻找恶意软件,或入侵者可能已经入侵了系统。

知道要查找的内容,就可以轻松地找到它,或者在明确没有威胁的情况下停止搜索。如果缺乏假设,那么对威胁的搜索过程将变得无边无际、无从着手,同时,威胁猎人也永远无法明确何时停止搜索任务。

4. 整合关键信息和数据

有效地组织所有可用信息和数据是一项任务量很大的工作。但是,如果这些数据和信息没有组织起来,就无法发挥效用,因为你将无法在适当的时候找到所需的内容。威胁猎人收集和整理的数据可以包括进程名称、命令行文件、DNS查询、目标IP地址以及数字签名等。

如果所有这些信息都可用,但却未按易于筛选的方式排序的话,那么威胁猎人可能仍然需要很长时间才能找到正确的信息,然后才能利用额外的时间来利用这些数据完成操作。此外,这种做法还会过度消耗用于威胁搜索的预算和资源,破坏威胁猎人的整体生产力。

5. 任务自动化

没有AI和任务自动化的帮助,就无法跟上不断增长的网络威胁的步伐。即便人力搜索必不可少,但是没有自动化的话,每天出现在互联网上的数千种新型威胁和恶意软件都可能会被忽略和漏掉。对于威胁猎人来说,人力和AI的组合能够有效地针对现代安全环境和敏感网络进行精确的威胁捕获。

6. 执行

不得不说,威胁猎人可以用于消除现代安全环境威胁的完美工具或程序根本不存在。随着威胁行为者的技能不断提升,威胁猎人也需要创新思维,以保证能够抢先网络攻击一步锁定并阻止威胁,这始终是一场持续性的斗争。

AI和网络威胁捕获的未来

近年来,最新发展起来的工具之一就是人工智能(AI)以及机器学习,它们一直在帮助威胁猎人缩减在搜索、防御和解决问题上花费的时间,大幅提升了威胁猎人的工作效率。

然而,有些人认为,随着AI技术日益成熟,它将最终取代人类威胁猎人的地位。但我认为,这种情况永远不会发生,主要包含如下两个原因:

最主要的原因是,AI还是一种发展中的技术,它可以提供给善意和恶意两者类型的行为者所用。此外,一些分析师甚至认为,未来的网络威胁将通过AI甚至区块链来创造和传播,从而产生更广泛的影响。

其次,AI是人类创造的工具。尽管它在同时分析所有选项并做出最佳决策方面非常有效,但它可能永远无法超越人类思维所能实现的创造力和创新型。AI在实现和研究方面可能非常好用,但是现在,人类将以他们自身的创造力和批判性思维来引领网络安全发展。

*参考来源:securityaffairs,米雪儿编译整理,转载请注明来自 FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-06-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏钱塘大数据

要实现工业4.0?先看看你的交换机答不答应

一、迈向工业4.0 的第一步 近年来,随着工业4.0概念的火热以及“中国制造2025”行动纲领的提出,越来越多的厂商加入到新产品以及新技术开发的潮流中。也因为理...

31660
来自专栏企鹅号快讯

网络黑客有哪些种类他们都有哪些行为

网络黑客随着互联网技术的普及,让他们越来越能受到关注;那么当前网络黑客有哪些种类他们都有哪些行为呢?针对这些以下业内相关专家就来进行介绍。 ? 网络黑客的种类 ...

22180
来自专栏FreeBuf

以动制敌,总会需要那么一群人来打破传统

几年的时间里,这群人深耕网络安全领域,也让更多人第一次接触到“动态安全”的概念。创业不易,而在那个时候的国内网络安全环境下创业则更不容易。

12220
来自专栏黑白安全

Google+存在泄密漏洞,谷歌悄悄修复后隐瞒了半年

据美国媒体报道,谷歌将遇到与Facebook一样的情况,Google+存在的安全漏洞允许第三方开发者访问用户资料,这种情况从2015年就出现,但谷歌直到今年三月...

11510
来自专栏FreeBuf

APT防御的他山石—思科内部安全团队解读APT

近日FireEye上市大热,360公司也要推出APT防御产品。在APT的战火已经烧到天朝之际,且看看思科自家的安全防御团队CSIRT(response to c...

21480
来自专栏SAP最佳业务实践

从SAP最佳业务实践看企业管理(135)- 企业标准采购作业流程及其内部控制

关于企业标准采购作业流程及其内部控制的构思 在生产型企业,为销售而生产、为生产而采购是一个环环相扣的物料输入输出的动态过程,其采购流程运行的成功与否将直接影响到...

23260
来自专栏机器人网

3D打印环境问题引担忧

尽管3D打印正在日益受到设计公司与制造商的重视,但必须搞清楚,它会给环境带来什么影响。实际上,目前有关3D打印的各种说法,描述的都是种种美好景象。 正如IBM全...

26550
来自专栏阮一峰的网络日志

从"山寨机"看手机的未来

我爸爸想要一部可以手写输入中文的手机,起先我觉得多普达的Touch Diamond很不错,后来发现市场上有一款HKC g908e,配置几乎相同,价格却便宜一半。...

12730
来自专栏云计算D1net

Amazon云已经在不知不觉间成为“犯罪即服务”

在过去六个月当中,Amazon Web Services在云托管恶意软件攻击活动中的参与比例已经增加了一倍多。 这一结论来自NTT下属子公司Solutionar...

37060
来自专栏FreeBuf

安全团队应理解攻击面,更好地分配资金投入

在过去的几年里,攻击面一直都在不断地发生变化,我们要保护的东西已经不仅仅是基础设施应用了,而各位首席信息安全官(CISO)也应该好好思考一下,如何更好地去分配企...

21590

扫码关注云+社区

领取腾讯云代金券