網絡威脅獵人,也稱為網絡安全威脅分析師,使用自動安全工具(如惡意軟件檢測器和防火墻)主動識別可能未被發現的安全事件。
網絡威脅搜尋涉及監控網絡流量、互聯網協議(IP)地址、端點、數據集和內部威脅,通常是實時的,以發現可能未被發現的潛在安全事件。通過這種方式,獵人可以提供威脅情報,并額外防御網絡攻擊和高級持續威脅。
為什么網絡安全威脅搜索很重要?
預測惡意活動具有挑戰性,因為許多新的威脅沒有明顯的指標。保持領先于這些新興威脅的唯一方法是主動尋找并防止其發生。
威脅搜尋過程不是等待潛在威脅出現,而是圍繞在組織的環境中搜索可能表明漏洞的異常情況,然后實施主動威脅搜尋以驗證假設并降低風險。
本質上,威脅獵人認為威脅行為者已經可以進入他們正在調查的環境。他們評估所有系統,直到發現任何惡意活動并糾正原因。
網絡威脅搜索涉及哪些任務?
網絡威脅獵人的工作是補充和加強檢測或預測網絡威脅的自動化系統。隨著審查過程揭示發起攻擊的模式,安全組織可以使用這些信息來改進其自動威脅檢測軟件。
網絡威脅獵人定期執行以下操作:
- 搜索數據和系統中的漏洞和風險因素。
- 持續關注網絡安全領域的最新創新和網絡攻擊策略。
- 圍繞威脅行為者的行為、策略和目標研究網絡犯罪的趨勢。
- 分析收集到的數據,以發現安全環境中的潛在異常。
- 消除任何風險和漏洞。
網絡威脅搜尋方法
威脅搜尋通常圍繞以下三種行業公認的方法之一:
- 假設驅動的調查。假設驅動的調查是由大量眾包數據驅動的,這些數據提供了對網絡罪犯最新戰術、技術和程序(TTP)的洞察。威脅獵人使用TTP洞察力來調查這些行為是否存在于組織的當前環境中。
- 妥協驅動調查的指標。在法醫文物中發現了IOC,并識別出表明潛在威脅的活動。國際奧委會推動的調查使用威脅情報來識別組織環境中的有效威脅。潛在的IOC包括基于網絡的工件、基于主機的工件和基于身份驗證的工件。
- 機器學習調查。機器學習可以通過結合分析和機器學習來篩選大量數據,搜索可能表明潛在威脅的異常情況,從而幫助尋找威脅。
所有這些方法都結合了威脅情報、人力和先進的網絡安全技術,主動調查組織的系統和數據,以減輕或預防安全事件。
網絡威脅搜尋過程中的步驟
網絡威脅搜尋過程通常使用以下步驟進行:
第一步:準備
網絡威脅獵人會尋找異常數據或活動。如果檢測到這些,它們將轉到檢測到異常的特定系統或網絡區域。通常,對于意外的異常情況沒有現成的解釋,因此網絡威脅獵人使用批判性思維來設計一個可能解釋異常情況的理論或假設。
第二步:分析
此時,網絡威脅獵人開始使用端點檢測和響應軟件或可以讀取和分析計算機日志的自動化等專門工具深入研究這個問題。網絡威脅獵人會繼續調查,直到能夠闡明解釋或確定威脅是誤報。
第三步:行動
網絡威脅獵人收集盡可能多的關于檢測到的和迫在眉睫的威脅的信息。然后,他們將此信息傳達給中央安全團隊,以便他們可以計劃、消除和減輕威脅。
網絡威脅搜索工具
一些工具補充了網絡威脅獵人所花費的人力。這些措施包括:
- SIEM工具。安全信息和事件管理(SIEM)工具通過使用自動化從監控工具和其他來源收集和分析大量基于云的數據來幫助威脅獵人發現以前未識別的威脅。
- 安全監控工具。安全專業人員使用從安全監控工具收集的數據來幫助提供潛在威脅的全貌。
- 分析工具。這些工具使威脅獵人能夠更好地可視化數據,以幫助他們更好地識別可能指示攻擊的數據集之間的相關性。
- 威脅情報來源。威脅獵人使用互聯網上各種形式的惡意IP地址、惡意軟件哈希和其他威脅指標的威脅情報數據來支持他們的分析和調查工作。
威脅搜索和威脅情報有什么區別?
盡管威脅搜尋和威脅情報是兩個網絡安全組成部分,但它們服務于截然不同但互補的目的。
網絡威脅獵人實際上是在尋找可能已經存在于系統或網絡中的潛在狀態的惡意病毒、惡意軟件和其他可疑活動。網絡威脅獵人的工作是在無聲威脅變得活躍之前發現它們,并檢測可能表明存在惡意惡意軟件或病毒的系統行為模式。
網絡威脅獵人認為潛在的病毒和惡意軟件可能已經存在于網絡中,在激活之前必須追捕并消除這些實體。
相比之下,網絡威脅分析師通過監控進行日常網絡威脅情報,并在必要時在檢測到病毒或惡意軟件并處于活動狀態時進行威脅對抗,從而調查威脅形勢。分析師假設惡意軟件和病毒不一定存在,但可能隨時存在。
網絡威脅獵人和網絡威脅分析師使用類似的工具。兩者之間的區別在于,網絡威脅獵人是攻擊者,在惡意代碼激活之前發現并銷毀惡意代碼,而網絡攻擊分析師則扮演著更中立、甚至防御的角色,使用從監控系統收集的威脅情報,檢測異常活動,并在出現威脅時進行打擊。
哪些類型的組織使用網絡威脅獵人?
通常,網絡威脅獵人受雇于特別容易受到網絡攻擊的大型企業組織。使用網絡威脅獵人的行業包括金融服務、保險、航空航天、科研公司和其他擁有高度敏感信息的行業。
威脅獵人在安全運營中心(SOC)內工作,并領導他們的威脅檢測和事件響應活動。它們通常由組織的首席信息安全官管理,他與首席信息官合作協調企業安全。
威脅搜尋可以作為SOC內一名或多名安全專業人員的額外職責,也可以為他們分配全職的威脅搜尋職責。對于較小的組織,威脅搜尋服務通常外包給托管安全服務提供商,這些提供商同時為多個組織提供安全監控和管理。
另一種選擇是創建一個威脅搜尋團隊,將安全工程師臨時輪換到威脅搜尋角色,然后讓他們返回SOC的日常工作。
成為網絡安全威脅獵人所需的技能
安全威脅獵人必須能夠發現可能隱藏在網絡和系統深處的威脅。網絡威脅獵人的關鍵技能領域和培訓認證包括以下內容:
- 強大的數據分析背景,因此可以在出現的上下文中對數據進行批判性評估。
- 識別可能預示惡意軟件入侵的數據和處理模式的能力。
- 了解網絡及其如何傳輸數據、檢查安全性、使用加密以及啟用和禁用對網絡資源的訪問。
- 數據取證背景,可能包括收集證據、記錄證據并將其發展為已實施或計劃實施的網絡犯罪的可能場景。
與網絡威脅獵人相關的認證,包括以下內容:
- 認證信息系統安全專家。
- 經過認證的道德黑客。
- GIAC認證的事故處理人員。
- 認證信息安全經理。
網絡安全威脅獵人的就業前景
根據全球市場研究公司The Business research Company的數據,網絡威脅情報市場有望從2024年的115.8億美元增長到2025年的141.6億美元。隨著市場的增長,機會也隨之而來。
組織通常會尋找在網絡安全或相關領域至少有三到五年經驗,并擁有計算機科學、IT或網絡安全學士學位的專業人士。高級職位可能需要碩士學位。
2024年,網絡威脅獵人的工資中位數為13.7萬美元,前10%的威脅獵人每年的收入約為20萬美元。
了解可能表明組織內部存在內部威脅的跡象,以及如何在造成損害之前消除威脅。