从过去的六个月很清楚,网络威胁景观很快就变得更糟。医院从赎金软件围困,违规越来越多地迁移到移动设备,我们已经看到了对公共实用程序的成功攻击。

我们面临的网络威胁构成紧急状态,特别是因为攻击者汇集了他们的努力并建立了良好的有组织的犯罪辛迪纳罪。我们不再与地下室工作的孤立狼黑客。我们正在与有组织的攻击者的总和作斗争,这些攻击者想要一件事 - 我们的数据。

防御性安全姿势是重要的 - 硬化系统,分段网络,减少访问和沿途创建审计跟踪 - 但它们不足以保护我们的关键资产免受这些激励的攻击。是时候,我们作为一个社区,我们就会对我们的企业开始更积极地检测。是时候我们去寻找威胁和恶意活动。

“威胁狩猎”不是营销流行语。这是一个令人反感的姿势和一种包括男人和机器的文化,以进行搜索和摧毁的任务。它甚至不是一个新的策略,而是随着时间的推移,我们依靠单独的技术进行检测。这是一件好事,但我们必须进化。我们必须带回人类的元素,猎人 - 真正的人在做间谍工作和发现所需的系统的冲突,以发现恶意代码或我们的技术措施没有检测到的恶意软件。

威胁狩猎

凭借威胁狩猎,接受妥协的必要性至关重要。这意味着同时拥抱消防元帅和警察的作用。作为消防员,我们需要在警报声时快速回应,但我们也可以发挥警察角色:在节拍上寻找犯罪并了解邻居。而且,就像任何好的犯罪猎人一样,我们应该试图预测设计和活动将创造不安全的环境并导致事件。

你可能已经听过“妥协是不可避免的”。你甚至可能会厌倦它。但这太真实了。所以假设坏人会进入,我们还必须意识到我们的技术,如前所述,无法检测到100%的攻击。任何告诉您他们的技术的人都可以检测到100%的恶意活动并没有讲述真相(或误解自己的技术)。因此,技术与完美之间的差距 - 是威胁狩猎的何处。这是您的人们,通过技术和自动警报找到否则无法找到的东西。

我们在狩猎什么?

你的人类必须出发出来寻找“坏”,但狩猎“探险”不必导致寻找成功的APT或恶意软件。狩猎有很多潜在的结果。您可以释放人类创造力,本能和对环境中数据的分析。你让你的团队探索并找到自己的线索和线程来拉动。你将它们直接放在战壕里。那么如果你没有找到邪恶,结果是什么?你了解你的环境更好。你淘汰了你的差距。你看看需要更多的护理和喂养。“哦,那个系统的日志记录发生故障,已经几个月了?”很棒,现在你可以解决它。现在你更安全了。我们都知道安全性的主要问题之一是部署和腐烂 - 随着时间的推移,缺乏调整和优化技术,以跟上您的有机环境。

随着团队狩猎,他们必须拥抱运营和智力的混合,行动必须迅速发生。铅必须迅速确定浪费时间,或者太多时间将花在错误的道路上。狩猎是开放式的,但仍然需要学习经验教训。无论您更喜欢OOTA循环,来自JSOC的F3EAD系统,还是精益启动方法,这些类比快速,较低的学习都非常适用于狩猎。

现在追捕的时间。它始于可见性并涉及您的人类。和狩猎很有趣。狩猎允许这种创造力蓬勃发展。因此,为您的团队提供“谷歌20%”来寻找,然后观察您的检测率改善。参加经验教训,将那些回到系统中,努力继续改进。

本约翰逊是炭黑的首席安全战略家。他以前曾担任国家安全局(NSA)的入侵工程师,他拥有顶级“蓝色徽章”安全许可。他还与国防承包商支持情报界和国防部(DOD)网络努力有类似的作用。