Sean Mason,思科安全事件響應服務總監(jiān)
Jeff Bollinger,思科安全事件響應團隊 (CSIRT) 調查經(jīng)理
作為不斷查找惡意威脅的安全從業(yè)人員,我們經(jīng)常被問到的其中一個問題是:未來會面臨什么樣的威脅?威脅發(fā)起者往往與時俱進,那么我們怎樣才能做到不僅知道他們目前的行動,而且還能知道其后續(xù)的行動?如果一切都看似安然無恙,我們也沒有觀察到任何事件,這是否意味著一切都在控制之中?還是敵手們只是在翻新花樣?
為了幫助回答這些難題,我們推出了威脅追蹤—Threat Hunting。該持續(xù)性行動的目標是找到并消除已繞過防線但我們尚未檢測到的攻擊者。本質上,這是一種思維的轉變。我們不再等待事件觸發(fā)警報后再對其進行回應,而是竭盡全力主動探索,找出我們尚未發(fā)現(xiàn)的威脅。
正如思科最新發(fā)布的網(wǎng)絡安全報告系列《追蹤隱藏威脅:將威脅追蹤納入安全計劃》中所述,威脅追蹤是事件響應人員武器庫中的又一有力工具。雖然不是一招致命的武器,但是,基于 30 年來我們自己積累的豐富威脅緩解經(jīng)驗,我們認為這是奠定安全基礎的重要組成部分。
保護您企業(yè)的數(shù)據(jù)免遭竊取或鎖定,或者避免您的企業(yè)因遭到入侵而登上新聞頭條,這種能力對您而言有多大的價值?如果您能成功阻止哪怕一次攻擊,那么您投入到威脅追蹤的所有時間和資金都是值得的。
威脅追蹤的優(yōu)勢
雖然威脅追蹤的最終目標是在攻擊者造成損害之前找到并驅逐他們,但其還有許多其他優(yōu)勢,包括:
- 改進安全運營:雖然有時威脅追蹤本身費力耗時,但您可以用它來提高其他方面的效率。在開發(fā)出發(fā)現(xiàn)惡意活動的技巧和方法后,您可以通過編寫行動手冊以及實現(xiàn)某些日常事件響應自動化,將其商品化并加以運營。
- 了解您的環(huán)境:假設您是一名新上任的 CISO,需要更好地了解網(wǎng)絡中的狀況。威脅追蹤或感染評估是了解您所負責的安全防護當前網(wǎng)絡的一個好方法。最終結果是,您可以向您的領導提供具體證據(jù),確保擁有足夠的資源來保護整個企業(yè)。通過追蹤可以證明,這些威脅不僅理論上存在,而且還真實潛伏在您的業(yè)務系統(tǒng)環(huán)境中。
- 強化安全環(huán)境:從日常角度來看,發(fā)現(xiàn)安全漏洞可以使您有機會補救和修復更大的問題。在追蹤過程中,您將勢必發(fā)現(xiàn)威脅發(fā)起者可以利用的弱點。您可以基于通過威脅追蹤掌握的情況,主動改進工具,并增強整體安全狀況。
成功要素
成功的威脅追蹤計劃有許多組成要素,但我們一再強調的包括數(shù)據(jù)訪問、多元化團隊和正確的思維模式。
高質量數(shù)據(jù)的重要性顯而易見,但您可能會驚訝地發(fā)現(xiàn),訪問這些數(shù)據(jù)竟如此困難。為我們的客戶進行威脅追蹤時,我們經(jīng)常發(fā)現(xiàn)缺少必要的數(shù)據(jù),甚至在我們自己的環(huán)境中也是如此。
對于數(shù)據(jù)訪問問題,您需要跳出固定思維模式,而不是走進死胡同。是否能夠以不同的方式看待問題?是否可以使用另一組網(wǎng)絡日志?同樣重要的是,您需要將此轉變?yōu)闄C遇,使得下次可以改進成果,并且通過付出額外努力,與那些可以向您提供更優(yōu)質數(shù)據(jù)的團隊合作。
因此接下來我們要談到人員要素。人員要素涉及兩個方面,一方面是培養(yǎng)跨團隊關系的重要性,尤其是那些受您的安全活動影響的團隊,例如網(wǎng)絡管理員和開發(fā)人員;另一方面是追蹤團隊的成員。成功需要多樣化的思維。您需要招收具備創(chuàng)新思維、能以略微不同的方式看待世界的人才,而不是一根筋思維的人。我們從具有各種不同背景的人員(甚至是非技術人員)之中尋找追蹤者。
這也有助于您以正確的思維模式進行追蹤。當您日復一日地面對著熟悉的安全環(huán)境,尤其當您還是該環(huán)境的設計者時,很難保持客觀。退后一步,問問自己可能缺失哪些東西,這并不容易。既負責追蹤設計又負責追蹤執(zhí)行的多元化團隊會給您提供全新的視角。
開始行動
除了合適的人員,您還需要合適的技術和流程。您可能已經(jīng)具備一個可以開始追蹤計劃的基礎,很可能您在自己未察覺的情況下,一直都在進行威脅追蹤。如果您曾調查過攻擊,試圖了解所發(fā)生的情況,那么您所回答的一些問題以及執(zhí)行的一些步驟正是追蹤者所回答和執(zhí)行的。
然而,一個慎重計劃的開發(fā)確實需要時間。先從小步驟和簡單的策略性數(shù)據(jù)源開始,然后再一步步地構建。不要犯馬上使用大量數(shù)據(jù)源的錯誤,否則會遇到很多困難。您甚至不需要復雜的工具就能開始,因為您可以通過操作系統(tǒng)事件日志或您的系統(tǒng)管理員為故障排除目的而保留的日志中發(fā)現(xiàn)惡意行為。
最后的一點想法。有一種誤解認為,只有規(guī)模較大的組織才可以實施威脅追蹤計劃。實際上,威脅發(fā)起者不關心組織的規(guī)模,而是尋找容易攻擊的目標;規(guī)模較小的組織可以因預先防范這些威脅而至少同樣受益。如果您沒有內部資源,可以將此工作外包給專家顧問。如果您已經(jīng)有一個付費的外部 IR 團隊,請開始討論主動尋找攻擊者所需的資源。
為了讓用戶和合作伙伴更好地了解思科如何降低網(wǎng)絡安全復雜性并優(yōu)化運營,思科將于 12 月 4 日上午 10:00~11:30 舉辦首屆思科安全在線技術峰會,通過在線網(wǎng)絡直播與用戶和合作伙伴分享思科協(xié)同、全面的安全解決方案,共同探索防火墻的未來、SD-WAN 和零信任技術。
長按識別或掃描上方二維碼
長按識別或掃描上方二維碼
免費報名首屆思科安全在線技術峰會
詳情查看:https://www.cisco.com/c/zh_cn/products/security/security-reports.html?dtid=osowct000775&ccid=cc000828&oid=wprsc019008 下載了解思科網(wǎng)絡安全報告系列《追蹤隱藏威脅:將威脅追蹤納入安全計劃》
