“狩猎是不是运动。在运动中,双方都应该知道他们在比赛中。”
根据现场及流杂志,这是一个经常被引用的狩猎表达。有讽刺意味的是在应用这句话给网络安全行业,狩猎确实是一种运动。好人和坏人都知道,他们是在游戏中。
约瑟夫·卢米斯的CEOCyberSponse,与联邦调查局的网络单位密切合作,国土安全部和特勤描述这个时髦的新网络运动中的好人试图巩固自己进入的世界暗网。
“你想了解对手的心理和动机是什么他们,”卢米斯说。
无论是狩猎已知或未知的威胁,“你通常看什么人都有收获。这是几乎一样重要,因为增益是什么未知。当对手看它是否是计划或团体,你需要知道是什么驱使他们,”他说。
威胁情报的集合将推动企业如何做一个威胁追捕。
而猎人在黑暗深处的网络不能违反法律强制执行的法律,他们可以说卢米斯,“翻转坏人变成好人,因为他们已经信任。”这些线人已经在通信线路并了解坏人所期待的。
其中最引人注目的坏人变成告密的是邪恶艾伯特·冈萨雷斯。拉里·约翰逊,在高级副总裁尼希米安全和前特勤局特工回忆的日子冈萨雷斯提供了一个deal.There过一些高调的袭击,其中一对夫妇零售股受到重创,这是网络犯罪的一个转折点时,约翰逊说。
“那时候,所有的网络犯罪是金融犯罪,”约翰逊说。在21世纪初,虽然,犯罪分子意识到,可以通过黑客进入各行业企业所囊括的收益。
虽然他已被逮捕的轻微犯罪,警方发现笔记本电脑,当他们搜索冈萨雷斯的家中其他设备的集合。
“我们翻他,因为他是由新泽西州警察部门逮捕。我们从新泽西州办公室的家伙走了出去,发现他参与了ShadowCrew的一个梳理团伙,一个网上论坛,黑客交易的秘密,”约翰逊说。
这是解决冈萨雷斯的被捕,联邦调查局和特勤局开始处理涉及国家安全,有组织犯罪,身份盗窃,电脑欺诈和接入设备诈骗更多的网络犯罪案件的时间。翻转举报人被证明是一个很好的战略举措。
如果冈萨雷斯希望向他放弃了指控,他有合作,这给人们带来的威胁狩猎的政府机构的参与。当然,联邦调查局和特勤局的目标是找到和逮捕罪犯,但一般的企业真的只是想保护自己免受已知和未知威胁。
卢米斯认为,“自动化是网络安全的未来,”但其他安全从业者说,威胁狩猎永远依靠人的因素。
具体而言,纽曼林,资深信息安全系统的工程师D3网络说,“这是减员。一个人对另一个的战争。他们把什么在他们的代码,我们需要找出它是什么,它在做什么,他们可以采取什么样的。”
狩猎已知的威胁不是追求未知稍微容易一些。“当狩猎已知的威胁,他们已经通过签名或妥协的指标发现,”纽曼说。未知的威胁可以更加耗时,因为它像寻找一个大海捞针。
与威胁狩猎的挑战对于很多好人的是,立法阻止了很多威胁狩猎对好人的一面。"When you hunt for threats, you need to do a little bit of offense. Probe networks to find out what things are happening and where they are occurring. Both Canada and the US say you can’t do that, even if your intentions are good," said Neumann.
以这种道德制高点有点手铐什么反应能做到。“如果我们看那个一直攻击我们24小时的IP,我们可以判断,它看起来像是来自俄国,这真是俄罗斯?如果没有探测这条道路,我们可能永远不会知道,”纽曼说。了解你的对手,他们如何战斗的关键是击败他们。
为了了解对手,必须有一个人在参与追捕的各个层面。SANS研究所课程作者和导师和首席执行官德拉戈什安全,罗伯特·李说,“有几个核心组件威胁打猎。它必须是一个专用的焦点。安全分析家不能写报告,它的分析师驱动,你不能自动化。”
罗伯特·李,首席执行官德拉戈什安全
在开始和威胁追捕最后,虽然,李说,“必须有分析师问问题。任何活动的总的核心组件是其中一个对手可能是一个假设。威胁狩猎是在搞的过程答案。”
这很容易在搜索网络安全银弹的新趋势被逮住了,但李警告说,“不会有太多的公司专队仅仅是为了打猎,但做这么多的工作,很多这些小companies don’t have the same threat landscape."
财富250家强公司都从中小型企业和当地夫妻店公司一个非常不同的风险水平。"Everybody wants to gravitate to the new shiny thing, but there is a whole gradual scale. A sliding scale of cyber security. We see some companies say wow that’s cool, but neglect architecture and don’t get as much return on investment. There is a maturity scale to all of this," said Lee.
在他的博客中,企业检测和响应,大卫·比安科共享一个简单的狩猎成熟度模型帮助组织确定,他们是在他们的安全成熟的过程,无论是在威胁狩猎平台的投资将产生的投资回报率。
据李某,没有多少人做正确的威胁打猎,他归因于安防行业的激烈的市场压力。“你听到了很多关于对手是不断发展的,但辩护人都没有。事实是,大多数对手没有需要创新,”李说。
因为没有公司愿意站出来,说他们得到了一个超级基本对手砍死,它更容易使用末日烟幕。老练的黑客创新比捍卫者快的恐惧灌输于产品的依赖,李说。“在现实中,我们实际上看到的捍卫者做出了巨大的进步国防部越来越做些力所能及;然而,该市场的压力可以迅速bastardize行业,”李继续。
因为好人和对手都知道,他们是在威胁狩猎的游戏,体育总会需要人类的智慧。李先生说,“这是很难讲上攻的行业,因为不卖的,但行业整体大幅越来越好。它归结到是威胁人类。的整个概念狩猎明白,只有人类将捍卫该架构“。
这个故事,“威胁狩猎运动,以及谁应该在游戏”最初发表CSO 。