組織缺乏技能和成熟度成為威脅追蹤工作開展的最大阻礙

在剛剛結束不久的RSA會議上，研究人員表示如果實施得當，威脅追蹤可以幫助企業保持對威脅的領先。

許多已經實施了網路威脅追蹤能力的組織並沒有從中獲得充分的好處，原因是他們缺乏必要的技能組合，或者是因為他們沒有完全將其作為網路安全計劃的一部分。

Digital Guardian公司的CISO和管理安全服務副總裁Tim Bandos說，公司常犯的錯誤包括低估了所需的時間和沒有得到自上而下的支援。

Bandos說："不管是在內部還是透過管理服務提供商進行威脅搜尋，都是整體網路安全戰略的一個重要組成部分。威脅追蹤不是等待事件發生，而是為企業提供一種方法，透過設定陷阱和尋找環境中暗示可疑活動的行為來主動尋找潛在問題。"他說："但是，除非它是你的計劃的一個正式部分，否則你不可能在這方面取得成功。

近年來，人們對主動獵取威脅以保持對新的和正在出現的威脅的興趣越來越大。安全研究人員將其描述為給企業提供了一種方法，試圖發現可能已經溜走或繞過入侵檢測和預防控制的威脅。威脅搜尋的想法是假設一個漏洞已經發生，然後使用攻擊者可能會使用的相同技術追蹤它可能發生的所有不同方式。重點不在於單獨追捕已知的威脅，而在於發現新的威脅。

Gartner以前曾描述過網路威脅搜尋的作用，特別是對於那些已經最大限度地提高了他們的警報分流、檢測和響應過程，並正在尋求進一步改善其安全狀況的組織。

Bandos說，威脅搜尋是企業需要持續進行的工作，以MITRE的ATT&CK框架等資源為起點。該框架提供了不同的技術和子技術，威脅者通常採用這些技術作為攻擊鏈的一部分。安全團隊可以透過搜尋他們的環境，尋找任何這些技術被用來啟用或混淆惡意活動的跡象，從而學到很多。他說：“你可以在整個星期內透過你的環境搜尋這些技術中的任何一個，潛心研究。”

同樣，企業可以從他們的端點環境的日誌中瞭解到很多，或者透過對過去一週可能建立的所有賬戶進行分析，將合法的賬戶與可能更可疑的賬戶區分開來。

成功的威脅獵殺需要對新的和正在出現的攻擊者戰術、技術和程式有所瞭解。同樣，它也需要有不斷回頭看老技術的意願，因為攻擊者往往傾向於堅持使用他們熟悉的、以前對他們有用的戰術。

為了進行有效的威脅追蹤，安全團隊需要有一個可靠的資料來源，如安全資訊和事件管理系統，該系統具有來自多個來源的集中式日誌。即使是來自個別環境的日誌--如端點檢測和響應、防病毒工具、網路和資料丟失預防(DLP)系統，也足以用於威脅追蹤。一旦定義了資料來源，威脅獵手就需要使用不同的技術對其進行搜尋。

例如，目標可能是獵取環境中的憑證傾銷跡象。他說：“你要彙總所有你知道的關於憑證轉儲程式和命令的威脅情報，並圍繞你要圍繞這些日誌積極尋找的東西建立一個遊戲手冊。同樣的方法可以應用於MITRE ATT&CK等框架中列出的每一種不同的攻擊技術。”

他說："我將從關注一個特定的技術開始，然後從那裡爆發出一個點，你可以從你的環境中的每一個端點收集一個特定的工件，並透過這些資料進行搜尋。"這就是你開始提高你在威脅追蹤領域的能力的時候。作為一個例子，他指出了儲存在所有機器上的應用程式相容性快取。快取包含在特定機器上執行的所有程式的記錄。僅僅圍繞這一資料來源，企業就可以開展整個獵殺活動。

正確的技能組合

要想做好這個工作，威脅獵手需要對安全架構、資產安全、應用安全和其他基礎知識有堅實的瞭解。他們還需要一定程度的事件響應技能，包括日誌分析、惡意軟體分析、取證和威脅情報處理。此外，威脅獵手需要有分析能力、耐心和不懈的努力，Bandos說。這項工作可能很乏味，那些沒有正確態度的人可能很快就會感到沮喪。

獵取威脅的一個挑戰是衡量成功。有時可能不清楚，威脅獵取演習一無所獲是因為演習本身沒有正確進行，還是因為確實沒有什麼可發現的。特別是在較小的環境中，威脅獵手可能經常沒有發現任何新的或隱藏的威脅。