网络安全动态 ·

威胁捕捉:化被动为主动

威胁捕捉:化被动为主动 网络安全动态 第1张

威胁捕捉定义

威胁捕捉是指主动去搜索隐藏在系统中的威胁活动。安全专家认为,威胁捕捉正在成为企业安全的必备元素;传统的边界防御尽管依然重要,但并非万无一失。

当然,企业的安全团队总是肩负着发现企业当中的威胁,并且在他们绕过企业防御的时候拦截的重任。但是,安全团队往往只有在威胁暴露自己的时候才会发现这些威胁——比如威胁触发了SOC的告警系统。管理咨询公司Protiviti的安全与隐私主任Mike Ortlieb表示:“威胁在被检测到之前,在系统中的平均时间长达100多天,因为有必要更主动地去发现这些威胁;而威胁捕捉可以让你在攻击者成功前发现他们。”

这就是Ortieb以及其他专家强调了威胁捕捉的“主动”属性的原因,进一步指出威胁捕捉可以帮助CISO以及他们的员工更好地保护企业。

前美国空军准将,同时是奥巴马第一任期的联邦政府CISO的Gregory J.Touhill是如此看待威胁捕捉的:“威胁捕捉是一种主动发现隐藏威胁的方式。这是一种相当重要的安全技术,因为有许多的国家黑客、犯罪组织、以及其他恶意攻击者如今都会在网络中停留很久,并潜伏在黑暗的小角落里慢慢收集信息,并研究目标组织与组织中的人员,以及相关的安全策略、技术,并获取数据以及登录信息。这些攻击者可以就静静地待在那里,分析你的业务流程和凭证,而不被发现;然后,当他们决定发起攻击的时候利用这些信息。”

威胁捕捉的驱动力

安全团队的目标总是尽早发现问题并阻止,无论这些问题是来自外部的攻击还是内部的高危员工行为。但CISO们也普遍承认,长久以来使用的安全策略并不能有效防范攻击。

网络安全平台供应商Arkose Labs的《2020年Q2欺诈报告》中指出,在今年第一季度,全球检测出4.45亿的攻击事件,数量增幅达44%。

这样的数据并非不正常,研究发现网络攻击的频率在不断上升。而与此同时,企业的IT结构正在变得更复杂且有了更多的缝隙——传统将组织自身的系统与外部的世界分离的边界正在快速消失。

在Duo Security的CISO咨询师Wolfgang Goerlich看来,企业的安全团队正在努力赶上这样的变化。SOC往往淹没在大量的告警之上,而人员往往无法把每个都调查清楚。思科的2020年CISO基准报告中指出,大约有41%的组织每天收到的告警超过10,000条。

一旦告警大量涌入,会使得安全团队产生疲惫感,从而无法保持其应有的效率。另一方面,这些告警往往只是攻击的意图,而非那些真正在等待时机进行致命一击的威胁,或者是监控系统不了解的未知威胁。

Goerlich认为,过多的告警加上严格的“只反应”方式会使企业暴露在大量威胁之前。他曾带领红队模拟了一次针对企业的攻击,使用多种攻击方式试图进入企业的系统。安全团队也确实发现了一些零散的攻击迹象,比如监控系统确实对SOC进行了钓鱼邮件与恶意软件的告警。但是,尽管安全团队成功阻止了零散的攻击,却无法发现整个有协同、有计划的广大攻击蓝图。Goerlich表示,如果安全团队过快地关闭告警单,就很有可能无法掌握整个攻击的趋势。

但是,威胁捕捉从主动的角度,同时关注于全IT领域的告警,可以帮助安全团队发现这样的整体攻击行动。

谁需要威胁捕捉

威胁捕捉并非是个新兴的领域,但随着机器学习技术更加成熟,并且成为主流 ,并且威胁情报也更多样性并且易于获取的时候,威胁捕捉才成为企业安全中一个主要的组成部分。

思科的2020年度CISO基准报告中发现,76%的大型企业有自己的威胁捕捉团队。而在思科的另一份报告中,发现72%的中小型组织有一些员工进行威胁捕捉。

不过Goerlich同时提到,由于威胁捕捉在大部分时候依然是一个刚出现的安全领域,很少有组织能有一个完全成熟的项目。

另外,专业也指出,鉴于大型组织更有能力承担高新技术与尖端人才,因此往往有更成熟的威胁捕捉能力和项目。大型企业也更有可能拥有全职的威胁捕捉运营团队,而小型企业可能只能分工进行。

威胁捕捉的投资回报

Goerlich表示,威胁捕捉能让安全领袖们更好地理解他们自己的系统、脆弱点、以及攻击者最有可能攻击的目标——这些都能帮助他们部署更好的安全策略和管控措施。

“威胁捕捉的ROI可以识别边界、正在发生的攻击、并在这些攻击越过监控时进行阻止。”Goerlich提到,“威胁捕捉是一件深入的工作、一件专注的工作。它是让一个团队挖掘数据,从而发现一般监控会遗漏的行为和活动。”

研究显示,威胁捕捉是有效的。SANS在2019年的《威胁捕捉调查:新猎手与老猎手不同需求》中发现,在575名受访者中,有61%的人表示威胁捕捉在他们总体安全态势中产生了可估量的提升。

“威胁捕捉可能是聊胜于无的。”Ortlieb说到,“你可以从发现一些看上去不正常的情况开始寻找踪迹;而即使这种行为也能有两个成果:你可以更了解自己的正常行为情况,并且还能发现一些潜在的恶意行为。”

高效威胁捕捉中的人员、流程和工具

威胁捕捉作为企业整体安全的一部分,也需要正确的人员、流程和技术的结合。

“一个真正有效的威胁捕捉团队是能独立进行分析和调查,而不被告警所束缚的。”Goerlich认为,“他们有从监控团队处获得的数据,同时运用从威胁情报而来的工具,从而能够理解犯罪者、架构、行为轨迹,从而对事件响应进行反馈。”

有效的威胁捕捉项目的关键点包括优秀的威胁情报、基于机器学习的安全工具、以及强大的SIEM与犯罪调查能力,从而提供有效的支持,并且对捕捉中发现的任何威胁采取措施。这些技术,配合技术高超的分析师,能让威胁团队识别攻击者的不正常行为,即使他们能在企业系统内部几乎完全一致地模仿合法流量。

威胁捕捉在安全项目中的位置

专家都强调,威胁捕捉中的投资不应以牺牲其他安全项目的费用为代价;威胁捕捉是针对传统防御措施和其他安全行为的附加。

AT&T网络安全部门市场负责人的Theresa Lanowitz表示:“威胁捕捉只是在整个安全计划中的一部分。组织的第一步是采用真正有效的安全措施和工具。这是必须的一步,可以阻止大部分攻击。而之后才需要一些高级威胁的防御,那些能绕过你其他防御的威胁,你希望在这些攻击发生前终止它们。威胁捕捉能做到这点。”

Touhil也提到:“攻击者往往很隐秘,同时在前期只是收集信息。他们就像潜水艇一样,静静地躺在海底,不对外输出信息,只是单方面地接收。但一旦他们打包完信息,就准备一起传输到一个C&C服务器。这个服务器就像二重身一样,外表上像一个正规网站,如果你不仔细去寻找它,就永远不会发现它。但是如果你去主动寻找它了,你就更有可能发现它。”

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 [email protected]

参与评论