本文讲的是 报告 | 威胁捕捉成为安全领域新黑马,系统网络安全协会近期发布的研究显示,威胁捕捉(Threat Hunting)可帮助机构尽早甄别并消除网络漏洞,它现在已成为企业安全的新的趋势。
这项研究由表明,几乎86%的机构采取了与威胁捕捉有关的措施,而且能够在这一新兴领域发现价值。在调查的494位受访者中,74%表示威胁捕捉帮助他们减少了攻击界面。
调查显示,使用威胁捕捉的的52%受访者表示它帮助他们发现了企业潜藏的威胁。此外,59%受访者表示,使用这种安全技术增加了其响应的精确度和速度。
然而,尽管大量机构正在使用威胁搜索,其中的40%并没有装备正式的程序,而且研究表明,企业对这样的程序究竟应该是什么样仍旧没有概念。目前,受访者依赖于已知的入侵指标 (Indicators of Compromise, IOCs) 、手动分析、将现有工具与定制化功能相整合来完成威胁捕捉。
调查表明,86%的机构相信,异常现象是威胁捕捉最应该关注的指标,而41%的机构认为假设也是指标之一。进一步来讲,51%的受访者表示威胁捕捉也可能由第三方来源触发,比如威胁情报。
目前,传统安全方案已经无法保证企业网络安全,越来越多的企业正采用威胁捕捉途径。调查显示,62%的受访者有计划在接下来的一年里增加对威胁捕捉的资金投入,超过42%的人提交的方案对投入的提升超过25%。
作为新兴领域,威胁捕捉也有弱点。88%的调查受访者承认自家负责进行威胁捕捉的程序需要提升。此外,53%的受访者表示他们的捕捉过程对黑客而言是可见的,还有56%的人表示他们对威胁捕捉所需的时间并不满意。
仅有2.2%的受访者通过正式、公开、来自外部的方法进行威胁捕捉,53%的企业承认自己进行既定的(ad hoc)捕捉。这意味着大多数企业都不具备明确的指标,跟踪总体的成功率,也没有利用文件化的方式进行搜索。
研究显示,在进行威胁捕捉项目时,机构应当通过三个关键指标追踪成功情况:驻留时间、后续操作、重新感染。他们也应当在威胁发生之后尽快更新流程、尽量使用自动化方式进行威胁捕捉、使用人工力量增强这些方式。
系统网络安全协会的调查表明,IP地址、网络设备和模式、DNS活动、主机设备和模式、文件监控、用户行为和统计、网络基线监控是最主要的7种进行威胁捕捉的方式。此外,报告还披露了机构应当使用的最佳搜索方式的细节,讨论了威胁捕捉的目的和优势。
调查采访了不同规模、不同行业的机构:22%拥有1001到5000名员工,20%拥有超过50000名员工,18%拥有 100到1000名员工,17%拥有10001到50000名员工,12%拥有5001到10000名员工和合同工。
DomainTools公司CEO蒂姆·陈 (Tim Chen) 表示:“今年,网络攻击以指数方式增长,毫不令人吃惊的是,企业受到了威胁搜索的吸引。他们认为该方式是在尽早搜索并消除网络威胁方面主动性、多层次的方式。报告结果显示,成功的威胁捕捉并不一定是将现有的网络安全方案推倒重建,而是使用大多数企业已经拥有的第三方数据和技术,让主动式捕捉的成效最大化,在危害产生之前发现并消灭黑客”。
原文发布时间为:五月 13, 2016
本文作者:Venvoo
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/industry/15812.html
