Sean Mason,思科安全事件響應服務(wù)總監
Jeff Bollinger,思科安全事件響應團隊 (CSIRT) 調查經(jīng)理
作為不斷查找惡意威脅的安全從業(yè)人員,我們經(jīng)常被問(wèn)到的其中一個(gè)問(wèn)題是:未來(lái)會(huì )面臨什么樣的威脅?威脅發(fā)起者往往與時(shí)俱進(jìn),那么我們怎樣才能做到不僅知道他們目前的行動(dòng),而且還能知道其后續的行動(dòng)?如果一切都看似安然無(wú)恙,我們也沒(méi)有觀(guān)察到任何事件,這是否意味著(zhù)一切都在控制之中?還是敵手們只是在翻新花樣?
為了幫助回答這些難題,我們推出了威脅追蹤—Threat Hunting。該持續性行動(dòng)的目標是找到并消除已繞過(guò)防線(xiàn)但我們尚未檢測到的攻擊者。本質(zhì)上,這是一種思維的轉變。我們不再等待事件觸發(fā)警報后再對其進(jìn)行回應,而是竭盡全力主動(dòng)探索,找出我們尚未發(fā)現的威脅。
正如思科最新發(fā)布的網(wǎng)絡(luò )安全報告系列《追蹤隱藏威脅:將威脅追蹤納入安全計劃》中所述,威脅追蹤是事件響應人員武器庫中的又一有力工具。雖然不是一招致命的武器,但是,基于 30 年來(lái)我們自己積累的豐富威脅緩解經(jīng)驗,我們認為這是奠定安全基礎的重要組成部分。
保護您企業(yè)的數據免遭竊取或鎖定,或者避免您的企業(yè)因遭到入侵而登上新聞頭條,這種能力對您而言有多大的價(jià)值?如果您能成功阻止哪怕一次攻擊,那么您投入到威脅追蹤的所有時(shí)間和資金都是值得的。
威脅追蹤的優(yōu)勢
雖然威脅追蹤的最終目標是在攻擊者造成損害之前找到并驅逐他們,但其還有許多其他優(yōu)勢,包括:
- 改進(jìn)安全運營(yíng):雖然有時(shí)威脅追蹤本身費力耗時(shí),但您可以用它來(lái)提高其他方面的效率。在開(kāi)發(fā)出發(fā)現惡意活動(dòng)的技巧和方法后,您可以通過(guò)編寫(xiě)行動(dòng)手冊以及實(shí)現某些日常事件響應自動(dòng)化,將其商品化并加以運營(yíng)。
- 了解您的環(huán)境:假設您是一名新上任的 CISO,需要更好地了解網(wǎng)絡(luò )中的狀況。威脅追蹤或感染評估是了解您所負責的安全防護當前網(wǎng)絡(luò )的一個(gè)好方法。最終結果是,您可以向您的領(lǐng)導提供具體證據,確保擁有足夠的資源來(lái)保護整個(gè)企業(yè)。通過(guò)追蹤可以證明,這些威脅不僅理論上存在,而且還真實(shí)潛伏在您的業(yè)務(wù)系統環(huán)境中。
- 強化安全環(huán)境:從日常角度來(lái)看,發(fā)現安全漏洞可以使您有機會(huì )補救和修復更大的問(wèn)題。在追蹤過(guò)程中,您將勢必發(fā)現威脅發(fā)起者可以利用的弱點(diǎn)。您可以基于通過(guò)威脅追蹤掌握的情況,主動(dòng)改進(jìn)工具,并增強整體安全狀況。
成功要素
成功的威脅追蹤計劃有許多組成要素,但我們一再強調的包括數據訪(fǎng)問(wèn)、多元化團隊和正確的思維模式。
高質(zhì)量數據的重要性顯而易見(jiàn),但您可能會(huì )驚訝地發(fā)現,訪(fǎng)問(wèn)這些數據竟如此困難。為我們的客戶(hù)進(jìn)行威脅追蹤時(shí),我們經(jīng)常發(fā)現缺少必要的數據,甚至在我們自己的環(huán)境中也是如此。
對于數據訪(fǎng)問(wèn)問(wèn)題,您需要跳出固定思維模式,而不是走進(jìn)死胡同。是否能夠以不同的方式看待問(wèn)題?是否可以使用另一組網(wǎng)絡(luò )日志?同樣重要的是,您需要將此轉變?yōu)闄C遇,使得下次可以改進(jìn)成果,并且通過(guò)付出額外努力,與那些可以向您提供更優(yōu)質(zhì)數據的團隊合作。
因此接下來(lái)我們要談到人員要素。人員要素涉及兩個(gè)方面,一方面是培養跨團隊關(guān)系的重要性,尤其是那些受您的安全活動(dòng)影響的團隊,例如網(wǎng)絡(luò )管理員和開(kāi)發(fā)人員;另一方面是追蹤團隊的成員。成功需要多樣化的思維。您需要招收具備創(chuàng )新思維、能以略微不同的方式看待世界的人才,而不是一根筋思維的人。我們從具有各種不同背景的人員(甚至是非技術(shù)人員)之中尋找追蹤者。
這也有助于您以正確的思維模式進(jìn)行追蹤。當您日復一日地面對著(zhù)熟悉的安全環(huán)境,尤其當您還是該環(huán)境的設計者時(shí),很難保持客觀(guān)。退后一步,問(wèn)問(wèn)自己可能缺失哪些東西,這并不容易。既負責追蹤設計又負責追蹤執行的多元化團隊會(huì )給您提供全新的視角。
開(kāi)始行動(dòng)
除了合適的人員,您還需要合適的技術(shù)和流程。您可能已經(jīng)具備一個(gè)可以開(kāi)始追蹤計劃的基礎,很可能您在自己未察覺(jué)的情況下,一直都在進(jìn)行威脅追蹤。如果您曾調查過(guò)攻擊,試圖了解所發(fā)生的情況,那么您所回答的一些問(wèn)題以及執行的一些步驟正是追蹤者所回答和執行的。
然而,一個(gè)慎重計劃的開(kāi)發(fā)確實(shí)需要時(shí)間。先從小步驟和簡(jiǎn)單的策略性數據源開(kāi)始,然后再一步步地構建。不要犯馬上使用大量數據源的錯誤,否則會(huì )遇到很多困難。您甚至不需要復雜的工具就能開(kāi)始,因為您可以通過(guò)操作系統事件日志或您的系統管理員為故障排除目的而保留的日志中發(fā)現惡意行為。
最后的一點(diǎn)想法。有一種誤解認為,只有規模較大的組織才可以實(shí)施威脅追蹤計劃。實(shí)際上,威脅發(fā)起者不關(guān)心組織的規模,而是尋找容易攻擊的目標;規模較小的組織可以因預先防范這些威脅而至少同樣受益。如果您沒(méi)有內部資源,可以將此工作外包給專(zhuān)家顧問(wèn)。如果您已經(jīng)有一個(gè)付費的外部 IR 團隊,請開(kāi)始討論主動(dòng)尋找攻擊者所需的資源。
為了讓用戶(hù)和合作伙伴更好地了解思科如何降低網(wǎng)絡(luò )安全復雜性并優(yōu)化運營(yíng),思科將于 12 月 4 日上午 10:00~11:30 舉辦首屆思科安全在線(xiàn)技術(shù)峰會(huì ),通過(guò)在線(xiàn)網(wǎng)絡(luò )直播與用戶(hù)和合作伙伴分享思科協(xié)同、全面的安全解決方案,共同探索防火墻的未來(lái)、SD-WAN 和零信任技術(shù)。
長(cháng)按識別或掃描上方二維碼
長(cháng)按識別或掃描上方二維碼
免費報名首屆思科安全在線(xiàn)技術(shù)峰會(huì )
詳情查看:https://www.cisco.com/c/zh_cn/products/security/security-reports.html?dtid=osowct000775&ccid=cc000828&oid=wprsc019008 下載了解思科網(wǎng)絡(luò )安全報告系列《追蹤隱藏威脅:將威脅追蹤納入安全計劃》
