目前追踪隐藏威胁将威胁追踪纳入安全计划

追踪隐藏威胁：将威胁追踪纳入安全计划

Sean Mason，思科安全事件响应服务总监

Jeff Bollinger，思科安全事件响应团队 （CSIRT） 调查经理

作为不断查找恶意威胁的安全从业人员，我们经常被问到的其中一个问题是：未来会面叫法不同临什么样的威胁？威胁发起者往往与时俱进，那么我们怎样才能做到不仅知道他们目前的行动，而且还能知道其后续的行动？如果一切都看似安然无恙，我们也没有观察到任何事件，这是否意味着一切都在控制之中？还是敌手们只是在翻新花样？

为了帮助回答这些难题，液压万能实验机和电子万能实验机我们推出了威胁追踪 Threat Hunting。该持续性行动的目标是找到并消除已绕过防线但我们尚未检测到的攻击者。本质上，这是一种思维的转变。我们不再等待事件触发警报后再对其进行回应，而是竭尽全力主动探索，找出我们尚未发现的威胁。

正如思科最新发布的络安全报告系列《追踪隐藏威胁：将威胁追踪纳入安全计划》中所述，威胁追踪是事件响应人员武器库中的又一有力工具。虽然不是一招致命的武器，但是，基于 30 年来我们自己积累的丰富威胁缓解经验，我们认为这是奠定安全基础的重要组成部分。

保护您企业的数据免遭窃取或锁定，或者避免您的企业因遭到入侵而登上头条，这种能力对您而言有多大的价值？如果您能成功阻止哪怕一次攻击，那么您投入到威胁追踪的所有时间和资金都是值得的。

威胁追踪的优势

虽然威胁追踪的最终目标是在攻击者造成损害之前找到并驱逐他们，但其还有许多其他优势，包括：

改进安全运营：虽然有时威胁追踪本身费力耗时，但您可以用它来提高其他方面的效率。在开发出发现恶意活动的技巧和方法后，您可以通过编写行动手册以及实现某些日常事件响应自动化，将其商品化并加以运营。

例如，在思科，我们的事件响应团队拥有 400 多本独一无二的行动手册，其中许多都是基于我们的威胁追踪活动而编写的。我们经常使用这些行动手册来查找可疑活动，大大节约了分析人员的时间。

了解您的环境：假设您是一名新上任的 CISO，需要更好地了解络中的状况。威胁追踪或感染评估是了解您所负责的安全防护当前络的一个好方法。最终结果是，您可以向您的领导提供具体证据，确保拥有足够的资源来保护整个企业。通过追踪可以证明，这些威胁不仅理论上存在，而且还真实潜伏在您的业务系统环境中。

强化安全环境：从日常角度来看，发现安全漏洞可以使您有机会补救和修复更大的问题。在追踪过程中，您将势必发现威胁发起者可以利用的弱点。您可以基于通过威胁追踪掌握的情况，主动改进工具，并增强整体安全状况。

成功要素

成功的威胁追踪计划有许多组成要素，但我们一再强调的包括数据访问、多元化团队和正确的思维模式。

高质量数据的重要性显而易见，但您可能会惊讶地发现，访问这些数据竟如此困难。为我们的客户进行威胁追踪时，我们经常发现缺少必要的数据，甚至在我们自己的环境中也是如此。

对于数据访问问题，您需要跳出固定思维模式，而不是走进死胡同。是否能够以不同的方式看待问题？是否可以使用另一组络日志？同样重和表面强化处理(如喷丸、辐压等)和化学处理(如渗碳、渗氮、氮化等)要的是，您需要将此转变为机遇，使得下次可以改进成果，并且通过付出额外努力，与那些可以向您提供更优质数据的团队合作。

因此接下来我们要谈到人员要素。人员要素涉及两个方面，一方面是培养跨团队关系的重要性，尤其是那些受您的安全活动影响的团队，例如络管理员另外和开发人员；另一方面是追踪团队的成员。成功需要多样化的思维。您需要招收具备创新思维、能以略微不同的方式看待世界的人才，而不是一根筋思维的人。我们从具有各种不同背景的人员（甚至是非技术人员）之中寻找追踪者。

这也有助于您以正确的思维模式进行追踪。当您日复一日地面对着熟悉的安全环境，尤其当您还是该环境的设计者时，很难保持客观。退后一步，问问自己可能缺失哪些东西，这并不容易。既负责追踪设计又负责追踪执行的多元化团队会给您提供全新的视角。

开始行动得根据树脂的熔体活动速率(MFR)去选择树脂的型号

除了合适的人员，您还需要合适的技术和流程。您可能已经具备一个可以开始追踪计划的基础，很可能您在自己未察觉的情况下，一直都在进行威胁追踪。如果您曾调查过攻击，试图了解所发生的情况，那么您所回答的一些问题以及执行的一些步骤正是追踪者所回答和执行的。

然而，一个慎重计划的开发确实需要时间。先从小步骤和简单的策略性数据源开始，然后再一步步地构建。不要犯马上使用大量数据源的错误，否则会遇到很多困难。您甚至不需要复杂的工具就能开始，因为您可以通过操作系统事件日志或您的系统管理员为故障排除目的而保留的日志中发现恶意行为。

最后的一点想法。有一种误解认为，只有规模较大的组织才可以实施威胁追踪计划。实际上，威胁发起者不关心组织的规模，而是寻找容易攻击的目标；摩擦磨损试验机数据处理规模较小的组织可以因预先防范这些威胁而至少同样受益。如果您没有内部资源，可以将此工作外包给专家顾问。如果您已经有一个付费的外部 IR 团队，请开始讨论主动寻找攻击者所需的资源。

为了让用户和合作伙伴更好地了解思科如何降低络安全复杂性并优化运营，思科将于 12 月 4 日上午 10:00~11:30 举办首届思科安全技术峰会，通过络直播与用户和合作伙伴分享思科协同、全面的安全解决方案，共同探索防火墙的未来、SD-WAN 和零信任技术。

长按识别或扫描上方二维码

免费报名首届思科安全技术峰会

详情查看： ccid=cc000828 oid=wprsc019008 下载了解思科络安全报告系列《追踪隐藏威胁：将威胁追踪纳入安全计划》