淺析“威脅獵人”如何在現(xiàn)代安全環(huán)境中運作
每年,互聯(lián)網(wǎng)上都會出現(xiàn)數(shù)百萬種新型惡意軟件,威脅獵人必須隨時候命,將識別和打擊惡意軟件列為優(yōu)先事項,以確保組織能夠保持安全,并且免受各種網(wǎng)絡(luò)威脅的侵害。
網(wǎng)絡(luò)安全本身就是一個獨立且完整的世界,其中分布著不同的領(lǐng)域,各種網(wǎng)絡(luò)安全專家每天在各自不同的領(lǐng)域中處理著紛繁復雜的安全問題。而近年來,這個世界中又迎來了一個“新人”——威脅獵人(Threat Hunter)。如今,網(wǎng)絡(luò)安全獵人的角色已經(jīng)日趨成熟且至關(guān)重要。
2017年,美國境內(nèi)發(fā)生的網(wǎng)絡(luò)攻擊事件比前一年高出了近50%。今年也不例外。根據(jù)Crowd Research Partners最近進行的一項調(diào)查指出,“網(wǎng)絡(luò)空間中的威脅數(shù)量每年都在持續(xù)增加一倍”。
在數(shù)百萬企業(yè)還在被網(wǎng)絡(luò)威脅搞得焦頭爛額的時候,聰明的企業(yè)已經(jīng)開始忙于招募、培訓和配置網(wǎng)絡(luò)安全獵手了,同時還在其“武器庫”中添加了用于打擊網(wǎng)絡(luò)攻擊的先進工具和設(shè)備。
當然,不乏還是有人并不清楚網(wǎng)絡(luò)安全威脅獵人的作用和工作職能,本文將幫助您能夠?qū)ν{獵人有個基礎(chǔ)認知,以及了解他們在現(xiàn)代安全環(huán)境中的運作方式。
威脅獵人的職位描述,技能和資格
網(wǎng)絡(luò)威脅獵人通常是在假設(shè)網(wǎng)絡(luò)已經(jīng)遭到破壞的情境下,開始他們的研究工作。這種假設(shè)所基于的現(xiàn)實是,即便VPN(推薦使用PureVPN、PIA & Ivacy)等工具以及其他服務(wù)器保護措施已經(jīng)部署得當,仍然無法排除網(wǎng)絡(luò)中存在安全問題。因為隨著技術(shù)的進步,很多惡意軟件已經(jīng)足夠成熟,能夠輕易地繞過VPN和其他防護措施。
威脅獵人需要采取主動的方式,同時掃描所有網(wǎng)絡(luò)和服務(wù)器以查找可能存在的違規(guī)或入侵行為。此外,他還需要非常富有創(chuàng)造性和警覺性,以明確識別異常情況以及網(wǎng)絡(luò)上發(fā)生的輕微異常事件或?qū)嵗?/p>
提到技術(shù)知識方面,威脅獵人必須是該技術(shù)領(lǐng)域的“頂尖高手”。只有當他們能夠深度了解網(wǎng)絡(luò)功能,以及數(shù)據(jù)如何流經(jīng)網(wǎng)絡(luò)時,他們才有能力發(fā)現(xiàn)諸如數(shù)據(jù)泄露或更為嚴重的安全問題。
最后,網(wǎng)絡(luò)威脅獵人還需要了解他所從事的組織規(guī)定的SOP(Standard Operation Procedure,即標準作業(yè)程序),以及網(wǎng)絡(luò)安全行業(yè)的SOP。只有當他充分了解這些內(nèi)容后,他才有能力識別異常情況,并檢測出前所未見的威脅。
了解現(xiàn)代安全環(huán)境的動態(tài)
現(xiàn)代安全環(huán)境所面臨的威脅每天都在發(fā)生變化,這就意味著,現(xiàn)在使用的工具和程序很快就會過時,并被新的工具和技術(shù)所取代,這將是符合邏輯的認知。因此,想要保持網(wǎng)絡(luò)和數(shù)字環(huán)境安全的組織,必須不斷采取新的工具和技術(shù)。
當然,只是保持技術(shù)和工具更新并不能保證最終的安全性,但是它對于保障企業(yè)安全方面確實具有重要作用,因為如果缺乏這一步,企業(yè)所面臨的網(wǎng)絡(luò)威脅將會越來越大。
威脅獵人如何在現(xiàn)代安全環(huán)境中運作?
據(jù)G Data Software報道稱,2016年,互聯(lián)網(wǎng)上出現(xiàn)了680萬種新型惡意軟件樣本。一年后,這一數(shù)字上升到了710萬。縱觀這一趨勢,我們不難發(fā)現(xiàn)未來幾年對于威脅獵人來說將會異常艱難。事實上,這種趨勢也強調(diào)了培訓威脅獵人的重要性,為最令人意想不到的威脅環(huán)境做好迎戰(zhàn)準備。
雖然,事實證明,2017年發(fā)現(xiàn)的710萬新型惡意軟件并非都是危險的,但是,識別出的少數(shù)威脅因素可能就是決定數(shù)字環(huán)境是否安全的根源。而如何識別出這些少數(shù)威脅,就是威脅獵人能夠為保障網(wǎng)絡(luò)安全做出的貢獻。
威脅獵人能夠識別出AI系統(tǒng)可能錯過的威脅。他們通過關(guān)注其組織安全體系機構(gòu)的缺陷來實現(xiàn)這一點,這種體系機構(gòu)無法阻止威脅進入數(shù)字環(huán)境。
如何實現(xiàn)威脅捕獲
1. 外包或DIY
有效進行“全組織范圍”威脅搜索的第一步,是確定它是否能夠由內(nèi)部安全團隊執(zhí)行。對于這種情況,為威脅獵人分配專門的資源和設(shè)備非常重要。
如果出于任何原因,內(nèi)部安全團隊缺乏這種任務(wù)敏感度,或者缺乏足夠的資源和時間可以配置給安全團隊,那么更安全的選擇是將其外包出去。
2. 關(guān)注重點領(lǐng)域并制定計劃
制定適當?shù)挠媱潱⒋_定在整個威脅搜尋過程中應(yīng)當遵循的程序,將對威脅捕獲工作起到非常積極的關(guān)鍵作用。通過制定計劃和時間表,可以確保威脅捕獲團隊的任務(wù)不會干擾到其他團隊。此外,時間表還可以幫助預先確定任務(wù)優(yōu)先級,這將有助于威脅獵人有效地執(zhí)行操作,同時追蹤已經(jīng)完成的所有任務(wù),以及需要關(guān)注的優(yōu)先級任務(wù)。
3. 生成一個假設(shè)
從頭到尾在你的腦海中構(gòu)建一個假設(shè)場景,可以幫助你輕松地繪制任務(wù)路線圖,以及確定任務(wù)完成的時間。在捕獲威脅的過程中,團隊應(yīng)該確定好需要尋找的內(nèi)容,以及期待找到什么。例如,就本文而言,威脅獵人應(yīng)該事先確定他們正在尋找惡意軟件,或入侵者可能已經(jīng)入侵了系統(tǒng)。
知道要查找的內(nèi)容,就可以輕松地找到它,或者在明確沒有威脅的情況下停止搜索。如果缺乏假設(shè),那么對威脅的搜索過程將變得無邊無際、無從著手,同時,威脅獵人也永遠無法明確何時停止搜索任務(wù)。
4. 整合關(guān)鍵信息和數(shù)據(jù)
有效地組織所有可用信息和數(shù)據(jù)是一項任務(wù)量很大的工作。但是,如果這些數(shù)據(jù)和信息沒有組織起來,就無法發(fā)揮效用,因為你將無法在適當?shù)臅r候找到所需的內(nèi)容。威脅獵人收集和整理的數(shù)據(jù)可以包括進程名稱、命令行文件、DNS查詢、目標IP地址以及數(shù)字簽名等。
如果所有這些信息都可用,但卻未按易于篩選的方式排序的話,那么威脅獵人可能仍然需要很長時間才能找到正確的信息,然后才能利用額外的時間來利用這些數(shù)據(jù)完成操作。此外,這種做法還會過度消耗用于威脅搜索的預算和資源,破壞威脅獵人的整體生產(chǎn)力。
5. 任務(wù)自動化
沒有AI和任務(wù)自動化的幫助,就無法跟上不斷增長的網(wǎng)絡(luò)威脅的步伐。即便人力搜索必不可少,但是沒有自動化的話,每天出現(xiàn)在互聯(lián)網(wǎng)上的數(shù)千種新型威脅和惡意軟件都可能會被忽略和漏掉。對于威脅獵人來說,人力和AI的組合能夠有效地針對現(xiàn)代安全環(huán)境和敏感網(wǎng)絡(luò)進行精確的威脅捕獲。
6. 執(zhí)行
不得不說,威脅獵人可以用于消除現(xiàn)代安全環(huán)境威脅的完美工具或程序根本不存在。隨著威脅行為者的技能不斷提升,威脅獵人也需要創(chuàng)新思維,以保證能夠搶先網(wǎng)絡(luò)攻擊一步鎖定并阻止威脅,這始終是一場持續(xù)性的斗爭。
AI和網(wǎng)絡(luò)威脅捕獲的未來
近年來,最新發(fā)展起來的工具之一就是人工智能(AI)以及機器學習,它們一直在幫助威脅獵人縮減在搜索、防御和解決問題上花費的時間,大幅提升了威脅獵人的工作效率。
然而,有些人認為,隨著AI技術(shù)日益成熟,它將最終取代人類威脅獵人的地位。但我認為,這種情況永遠不會發(fā)生,主要包含如下兩個原因:
最主要的原因是,AI還是一種發(fā)展中的技術(shù),它可以提供給善意和惡意兩者類型的行為者所用。此外,一些分析師甚至認為,未來的網(wǎng)絡(luò)威脅將通過AI甚至區(qū)塊鏈來創(chuàng)造和傳播,從而產(chǎn)生更廣泛的影響。
其次,AI是人類創(chuàng)造的工具。盡管它在同時分析所有選項并做出最佳決策方面非常有效,但它可能永遠無法超越人類思維所能實現(xiàn)的創(chuàng)造力和創(chuàng)新型。AI在實現(xiàn)和研究方面可能非常好用,但是現(xiàn)在,人類將以他們自身的創(chuàng)造力和批判性思維來引領(lǐng)網(wǎng)絡(luò)安全發(fā)展。
