威胁猎人的指导，确保企业

你已经违反了。以下是如何在攻击者造成破坏之前跟踪他们的方法

现在是时候面对事实了:攻击者足够隐秘，可以避开您的监视系统。如果你坐在那里等着闹钟响起，很有可能你已经被洗了。

尽管花费超过十亿$ 75安全产品和服务，企业经常受到损害，高度敏感的数据被盗，而后果可能是灾难性的。更糟的是，企业没有发现他们已经违反了几周到几个月的初步妥协后，120天至200天，平均服用之间，即使检测攻击。这是一个为期六个月的头开始勘察和开采 - 更多的时间在网络上比你近来的员工的。

不用说，现有的方法来威胁检测不工作。是时候对你的威胁猎捕工具，并积极寻找在您的环境中的恶意行为绑带。下面就来追查威胁的计划。

在自家后院打猎

威胁狩猎，或cyberhunting，是一组技术和方法，可以帮助你找到坏演员会对您的环境造成太大的伤害才。虽然威胁狩猎可以包含手工和机器辅助技术，重点是调查人员看在背景和关系，揭露所有的作品大卫·比安科，在Sqrrl数据安全技术专家说。

安全自动化可以帮助从网络收集数据和端点段,和机器学习可以加快分析,但是最终,它是由你来组装一系列多样化的狩猎活动威胁到一个全面的过程对于侦查敌人,克丽丝洛夫乔伊说,总裁兼首席执行官的敏锐度和前总经理IBM安全服务解决方案。

“猎威胁是一个防御性的过程，而不是进攻性，”洛夫乔伊补充道。

而一个成功的狩猎需要你觉得像一个黑客，这并不意味着你应该跟踪攻击回原机，沉浸在暗网论坛，或者有问题的做法，以发现潜在的问题参与。这可能是从国防部美国能源部和联邦调查局局调查员和猎人的情况下，但cyberhunting在企业纯粹的防御。您可以通过形成约了攻击者如何进入你的网络的假设打猎，那么你寻找证据你的环境来证明或反驳这些假设中。

建立一个知识基线

评估安全风险是搜索威胁的一个核心方面，这个过程可以分为三个阶段。首先，您必须了解最有可能针对您的组织的威胁，无论它们是持久的对手、特定的恶意软件集，还是特定类型的攻击。其次，您必须确定您的漏洞，如未打补丁的软件或易受人为错误影响的流程。第三，您必须评估成功的威胁在锁定您的漏洞时可能产生的影响。一旦你可以计算出这些风险，你就可以优先考虑你的威胁狩猎活动，以它们为目标。

“如果我是一个银行，我知道，犯罪分子很可能我的数据库后，去获得的账户，我需要先来保护数据库，”洛夫乔伊说。

在你开始狩猎之前，你需要了解你狩猎的环境。这可以追溯到基本的IT管理，例如对系统的数量、运行的软件和版本以及谁可以访问每个系统有一个清晰的了解。网络架构、补丁管理流程和您所拥有的防御手段都是了解您的威胁状况的关键信息。IT团队需要了解弱点，以确定潜在的切入点。

在这里，采用了对手的心态是决定攻击者的移动键。你的攻击者的动机可能变化很大，但他们往往有相似的目标，并经常分享类似的技术。关于网络犯罪的对手意图通常会表现不同，从一个侧重于经济间谍或破坏，例如。

威胁情报是一种获取信息的方式，可以了解同一行业中规模相似的组织所遭受的攻击。如果许多竞争对手受到使用Flash漏洞的团伙的攻击，优先调查潜在的基于Flash的攻击是有意义的。知道利用套件和其他类型的恶意软件都推动相同的滴管有效载荷是有帮助的。

确定当前攻击者对您的组织最感兴趣的内容也是至关重要的。这可能是你的组织正在开发的新产品，也可能是关于潜在收购的传言。当您知道了什么可能引发潜在攻击者的兴趣时，您就可以更好地预测他们将使用什么技术，以及他们将如何通过您的网络来获得他们想要的东西。

绘制杀死链

几年前，洛克希德·马丁公司推出了“网络杀伤链”，该系统将目标攻击分为七个不同阶段:侦察、武器化、交付、开发、安装、指挥控制和行动。攻击者通常会从最初的入侵到盗窃，在窃取任何数据之前就了解您的环境。有针对性的攻击需要时间来发展;发现漏洞并尽快阻止攻击将使损害最小化。

“Cyberhunters认为事情已经被利用，他们的工作就是发现他们实际上可能造成的冲击前的威胁，”敏锐的洛夫乔伊说。

在侦查过程中，犯罪分子会收集潜在目标和袭击途径的信息。在收购的情况下，攻击者将收集可能参与交易的高管和助理的信息。根据收集到的信息，犯罪分子会制定一系列行动计划，比如发起网络钓鱼活动。

一个成功的狩猎包括检查的杀伤链的每个阶段和评估的具体战术和技术的攻击者可以使用。这可能涉及挖掘社交媒体帖子，以确定任何一个可能收购工作是否可能已经认定自己工作的处理和创建谁可以通过网络钓鱼电子邮件的潜在目标员工的清单。如果您认为网络钓鱼是有针对性的攻击的可能切入点，那么你可以对攻击场景将是什么样子沿杀伤链的每个阶段的假设。

积极追捕威胁

您对潜在攻击的假设和假设为您的搜寻提供了起点。成功的搜索包括检查你的网络的一个特定部分，而不是试图看到所有可能出错的地方。它的目的是要仔细检查端点的特定攻击指标，而不是从高处俯瞰系统安全性。

大多数威胁情报工作关注的是对网络搜索没有帮助的妥协指标。这些因素往往是廉价的、脆弱的，而且对对手来说改变起来也不昂贵。考虑域名或携带有效负载的武器Word文档的名称。对于攻击者来说，生成新域名和更改附带攻击文件的电子邮件中的消息以绕过安全过滤器是很容易的。洛夫乔伊建议，猎人应该关注攻击的模式。

例如，您应该注意打开远程桌面会话以在Active Directory中创建新管理帐户的尝试。新账户叫什么名字并不重要——你应该搜索未解释的账户。

对攻击者来说，更改命令和控制服务器的域是小事一件，但放弃使用通过恶意广告传递的Flash漏洞来远程执行代码并在受损的机器上打开后门，代价要大得多。使用以下命令查找攻击者合法的工具比如PowerShell和WMI。查看使用帐户凭据的位置。攻击模式比妥协指标更能揭示攻击者，因为它们的相关性较长。

下一代防火墙、异常检测平台和日志都提供了丰富的信息，威胁情报平台和网络威胁检测系统也是如此。在许多情况下，存在竖井效应，信息被锁定在每个系统中，使得防御者很难看到所有相关的部分。威胁狩猎迫使防御者打破孤立地考虑系统的倾向。当一个过程涉及到不同的部分和系统时，猎人必须注意它们之间的关系。

建立保安反应

一旦你找到一个突破口的迹象，威胁猎人应该靠边站，让传统的事件响应小组接管。猎人的工作就是让猜测到的攻击者可能会在网络中，但它们并不一定是那些具有专业知识块的攻击者。事故响应将负责减轻攻击和补救问题。

创建专门的搜索团队可能很有吸引力，因为他们可以查明问题区域并发现攻击，但这不应该以牺牲基本的It管理、网络监控和深度防御策略为代价。网络搜索首先假设“我被入侵了”，然后寻找证据来支持这一假设，当证据被发现并且必须控制损害时，专门的事件响应和取证就会开始。它们是非常独特的技能集，而且两者都是必要的。防守队员需要所有这些因素的配合。

阻止癌症

威胁搜索并不是一个新概念，许多组织已经采用了某种形式的实践作为其整体安全计划的一部分。在最近一次SANS Institute的调查中，86%的IT专业人员说他们已经在他们的组织中实施了威胁搜索流程，75%的人声称威胁搜索已经减少了他们的攻击面。

作为信息安全的所有其他方面，有一个为cyberhunting的时间和地点。企业应该看看狩猎成熟度模型通过Sqrrl数据的安科发展来判断他们是否准备开始打猎。基于三个因素的模型定义的成熟度：收集数据的质量，可用于工具访问和分析数据，以及分析人员的技能。拥有高质量数据的足够熟练的分析师可以弥补工具集中的缺陷，但在大多数情况下，组织应该关注这三个因素。

Bianco在一篇概述了这一模式的博客文章中写道:“要想有所成就，首先你必须知道自己在哪里，想去哪里。”

企业需要减少漏洞检测的缺口——半年多时间发现漏洞是不可接受的。首先假设攻击者已经出现，然后继续查找，直到找到了折衷方案，或者有确凿的证据证明您的环境没有被折衷。

把企业想象成一个被感染的生物系统，通过威胁搜索可以发现感染已经扩散了多远，造成了什么样的破坏。

“猎威胁正在迎头赶上癌症的早期阶段，它会转移并杀死你之前，”洛夫乔伊说。

这个故事，“威胁猎人的指导，确保企业”最初发表信息世界。

加入对网络世界的社足球竞猜app软件区Facebook的和LinkedIn对那些顶级心态的话题发表评论。

Fahmida Y. Rashid是一名自由撰稿人，为CSO撰稿，关注信息安全。

IT薪资调查：结果在