解析网络威胁“狩猎”新范式

本文涉及的产品
云解析 DNS,旗舰版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
全局流量管理 GTM,标准版 1个月
简介:

专家谈及网络威胁的细分时,通常会提及二八定律(又名80/20定律、帕累托法则(定律)也叫巴莱特定律、最省力的法则、不平衡原则等,被广泛应用于社会学及企业管理学等。)。二八定律的概念为:80%的网络威胁攻击者通常比较“低能”,而剩下20%则非常先进,如果给定的时间和资源充足,这20%的攻击者可以入侵任何网络。

网络“狩猎”新范式
从历史上来看,国防和情报界主要关注那20%的网络攻击者。然而,如今商业化恶意软件的兴起让传统 “菜鸟级”攻击者也能使用先进技术。

例如,2006年,WebAttacker漏洞利用工具提供了一套任何威胁攻击者都能操作的工具套件。在这种新范式下,我们要认清三大真相:

  1. 不可能防止所有的攻击。
  2. 企业网络难免会遭遇攻击。
  3. 不存在100%的安全

大多数安全从业人员都明白,良好的网络习惯和边界网络安全将缓解底层80%的攻击者。在安全运维中心(SOC),阻止和处理技术可以应对超过90%的攻击者。而那剩下的10%,就属于威胁狩猎的领域。

人工分析师可以调查数据源找到单靠机器无法检测到的威胁证据。例如,寻找异常的分析师可以发现对手的指示器(Indicator),以及执行攻击者的部分杀伤链,并在对方采取行动前加以阻止。

威胁狩猎新手需了解的注意事项
当创建威胁狩猎计划时,组织机构应牢记三件事:

  1. 需求是什么?
    威胁狩猎的基础是安全信息和事件管理(SIEM)解决方案,该解决方案在网络内适当聚合内部结构化数据。威胁情报信息允许组织机构对比外部威胁指示器(Indicator),并理解威胁格局。

此外,还要增加统计分析引擎和情报分析工具。分析师可通过统计分析根据数学模型发现异常,而不是规则引擎。情报分析工具可以使相关数据可视化,以便分析师围绕实体、联系和财产进行关联。

  1. 需要哪些人才?
    威胁分析师是威胁狩猎从业人员。威胁分析师通常被称为“三级分析师”,他们具有信息安全、取证科学和情报分析相关的技能。因为具备这些技能,三级分析师能主动根据情报需求积极发现威胁,并直接展开调查。
  2. 怎么做?
    执行威胁狩猎最重要的起点是建立优先情报需求(PIR)。PIR需求基本上都是领导层寻求的高层次问题。

你可能想知道,自己是否遗漏了隐藏的威胁。若是如此,具体信息需求(SIR)可以帮助回答以下问题:

众多低级警报何时连接到同一指示器(Indicator)?

30天至90天之前,新威胁情报指示器(Indicator)在哪里与日志匹配?

通过以前从未见过的命令执行的远程访问会话在哪里?

威胁狩猎者通过这些问题可以了解重要情报,以解决高层次的问题,并破坏先前未知的复杂威胁。

奠定基础
刚开始涉足威胁狩猎的公司应了解上述基本概念,并在成熟时增加更多功能。使用正确的工具和配备有技能的员工至关重要。通过适当的技术、人员和可操作的威胁情报,组织机构可以填补安全空缺,并保护网络免于遭受“藏在暗处”的恶意攻击。

目录
相关文章
|
8天前
|
监控 安全 网络安全
深入解析PDCERF:网络安全应急响应的六阶段方法
PDCERF是网络安全应急响应的六阶段方法,涵盖准备、检测、抑制、根除、恢复和跟进。本文详细解析各阶段目标与操作步骤,并附图例,助读者理解与应用,提升组织应对安全事件的能力。
158 89
|
1月前
|
机器学习/深度学习 人工智能 算法
深入解析图神经网络:Graph Transformer的算法基础与工程实践
Graph Transformer是一种结合了Transformer自注意力机制与图神经网络(GNNs)特点的神经网络模型,专为处理图结构数据而设计。它通过改进的数据表示方法、自注意力机制、拉普拉斯位置编码、消息传递与聚合机制等核心技术,实现了对图中节点间关系信息的高效处理及长程依赖关系的捕捉,显著提升了图相关任务的性能。本文详细解析了Graph Transformer的技术原理、实现细节及应用场景,并通过图书推荐系统的实例,展示了其在实际问题解决中的强大能力。
232 30
|
1月前
|
网络协议
TCP报文格式全解析:网络小白变高手的必读指南
本文深入解析TCP报文格式,涵盖源端口、目的端口、序号、确认序号、首部长度、标志字段、窗口大小、检验和、紧急指针及选项字段。每个字段的作用和意义详尽说明,帮助理解TCP协议如何确保可靠的数据传输,是互联网通信的基石。通过学习这些内容,读者可以更好地掌握TCP的工作原理及其在网络中的应用。
|
1月前
|
网络协议 安全 网络安全
探索网络模型与协议:从OSI到HTTPs的原理解析
OSI七层网络模型和TCP/IP四层模型是理解和设计计算机网络的框架。OSI模型包括物理层、数据链路层、网络层、传输层、会话层、表示层和应用层,而TCP/IP模型则简化为链路层、网络层、传输层和 HTTPS协议基于HTTP并通过TLS/SSL加密数据,确保安全传输。其连接过程涉及TCP三次握手、SSL证书验证、对称密钥交换等步骤,以保障通信的安全性和完整性。数字信封技术使用非对称加密和数字证书确保数据的机密性和身份认证。 浏览器通过Https访问网站的过程包括输入网址、DNS解析、建立TCP连接、发送HTTPS请求、接收响应、验证证书和解析网页内容等步骤,确保用户与服务器之间的安全通信。
112 3
|
1月前
|
存储 监控 网络协议
一次读懂网络分层:应用层到物理层全解析
网络模型分为五层结构,从应用层到物理层逐层解析。应用层提供HTTP、SMTP、DNS等常见协议;传输层通过TCP和UDP确保数据可靠或高效传输;网络层利用IP和路由器实现跨网数据包路由;数据链路层通过MAC地址管理局域网设备;物理层负责比特流的物理传输。各层协同工作,使网络通信得以实现。
|
1月前
|
SQL 安全 算法
网络安全之盾:漏洞防御与加密技术解析
在数字时代的浪潮中,网络安全和信息安全成为维护个人隐私和企业资产的重要防线。本文将深入探讨网络安全的薄弱环节—漏洞,并分析如何通过加密技术来加固这道防线。文章还将分享提升安全意识的重要性,以预防潜在的网络威胁,确保数据的安全与隐私。
81 2
|
2月前
|
安全 算法 网络安全
网络安全的盾牌与剑:漏洞防御与加密技术深度解析
在数字信息的海洋中,网络安全是航行者不可或缺的指南针。本文将深入探讨网络安全的两大支柱——漏洞防御和加密技术,揭示它们如何共同构筑起信息时代的安全屏障。从最新的网络攻击手段到防御策略,再到加密技术的奥秘,我们将一起揭开网络安全的神秘面纱,理解其背后的科学原理,并掌握保护个人和企业数据的关键技能。
100 3
|
2月前
|
监控 Java 应用服务中间件
高级java面试---spring.factories文件的解析源码API机制
【11月更文挑战第20天】Spring Boot是一个用于快速构建基于Spring框架的应用程序的开源框架。它通过自动配置、起步依赖和内嵌服务器等特性,极大地简化了Spring应用的开发和部署过程。本文将深入探讨Spring Boot的背景历史、业务场景、功能点以及底层原理,并通过Java代码手写模拟Spring Boot的启动过程,特别是spring.factories文件的解析源码API机制。
114 2
|
30天前
|
设计模式 存储 安全
【23种设计模式·全精解析 | 创建型模式篇】5种创建型模式的结构概述、实现、优缺点、扩展、使用场景、源码解析
创建型模式的主要关注点是“怎样创建对象?”,它的主要特点是"将对象的创建与使用分离”。这样可以降低系统的耦合度,使用者不需要关注对象的创建细节。创建型模式分为5种:单例模式、工厂方法模式抽象工厂式、原型模式、建造者模式。
【23种设计模式·全精解析 | 创建型模式篇】5种创建型模式的结构概述、实现、优缺点、扩展、使用场景、源码解析
|
30天前
|
存储 设计模式 算法
【23种设计模式·全精解析 | 行为型模式篇】11种行为型模式的结构概述、案例实现、优缺点、扩展对比、使用场景、源码解析
行为型模式用于描述程序在运行时复杂的流程控制,即描述多个类或对象之间怎样相互协作共同完成单个对象都无法单独完成的任务,它涉及算法与对象间职责的分配。行为型模式分为类行为模式和对象行为模式,前者采用继承机制来在类间分派行为,后者采用组合或聚合在对象间分配行为。由于组合关系或聚合关系比继承关系耦合度低,满足“合成复用原则”,所以对象行为模式比类行为模式具有更大的灵活性。 行为型模式分为: • 模板方法模式 • 策略模式 • 命令模式 • 职责链模式 • 状态模式 • 观察者模式 • 中介者模式 • 迭代器模式 • 访问者模式 • 备忘录模式 • 解释器模式
【23种设计模式·全精解析 | 行为型模式篇】11种行为型模式的结构概述、案例实现、优缺点、扩展对比、使用场景、源码解析

热门文章

最新文章

推荐镜像

更多