什么是威胁搜寻?

威胁搜寻,也称为网络威胁搜寻,是一种主动识别组织网络中以前未知或持续存在的未修复威胁的方法。

A man sitting in front of his laptop against the evening window.

为什么威胁搜寻十分重要

威胁搜寻很重要,因为复杂精密的威胁可以逃过自动化网络安全。 尽管自动化安全工具和 1 级与 2 级安全运营中心 (SOC) 分析师应该能够处理大约 80% 的威胁,但您仍然需要担心剩下的 20%。 其余 20% 的威胁更有可能包括可造成重大损害的复杂威胁。 只要有足够的时间和资源,它们能够侵入任何网络,潜伏时间长达 280 天,可以不被发现。 卓有成效的威胁搜寻可以减少从入侵到发现的时间,从而减少攻击者造成的损害。

攻击者通常潜伏数周甚至数月,才被发现。 它们耐心地等待并窃取数据,发现足够的机密信息或凭据以解锁进一步的访问权限,从而为重大数据泄露奠定基础。 潜在威胁会造成多大的损害? 根据《2020 年数据泄露报告成本报告》,数据泄露平均给公司造成近 400 万美元的损失。 而泄露带来的有害影响可能会持续数年。 系统故障和部署响应之间的时间越长,组织的成本就越高。


威胁搜寻的工作原理

成功的威胁搜寻计划基于环境的数据丰富性。 换句话说,组织必须首先有一个企业安全系统来收集数据。 从中收集的信息为威胁搜寻者提供了宝贵的线索。

网络威胁搜寻者为企业安全带来了人为因素,补充了自动化系统。 他们是熟练的 IT 安全专业人员,可以在威胁造成严重问题之前搜索、记录、监控和消除威胁。 在理想状况下,网络威胁搜寻者是来自公司 IT 部门的安全分析师,他们非常熟悉公司运营,但有时也会是外来分析师。

威胁搜寻的艺术在于发现环境的未知数。 它超越了传统的检测技术,例如 安全信息和事件管理 (SIEM) 、端点检测和响应 (EDR) 等。 威胁搜寻者梳理安全数据。 他们搜索隐藏的恶意软件或攻击者,并寻找计算机可能遗漏或判断为已解决但未解决的可疑活动模式。 他们还有助于修补企业的安全系统,以防止此类网络攻击再次发生。


威胁搜寻的类型

搜寻者从基于安全数据或触发因素的假设开始。 假设或触发因素可作为对潜在风险进行更深入调查的跳板。 而这些更深入的调查是结构化的、非结构化的和情境化的搜索。

结构化搜寻

结构化搜寻基于攻击指标 (IoA) 以及攻击者的战术、技术和程序 (TTP)。 所有的搜寻都保持一致,并且以威胁参与者的 TTP 为基础。 因此,搜寻者通常可以在攻击者对环境造成破坏之前识别出威胁主体。 这种搜寻类型使用 MITRE 对手战术技术和常识 (ATT&CK) 框架  (链接位于 ibm.com 之外),同时使用 PRE-ATT&CK 和企业框架。

非结构化搜寻

非结构化搜寻以触发因素为基础启动,触发因素是众多泄露指标 (IoC) 之一。 此触发因素通常会提示搜寻者去寻找检测前和检测后的模式。 在引导他们的途径时,搜寻者可以研究保留的历史数据,以及先前相关的侵犯行为。

情境或实体驱动

情境假设来自企业的内部风险评估或其 IT 环境特有的趋势和漏洞分析。 面向实体的线索来自众包攻击数据,审查时,这些数据揭示了当前网络威胁的最新 TTP。 然后,威胁搜寻者可以在环境中搜索这些特定行为。


搜寻模型

基于情报的搜寻

基于情报的搜寻是一种反应式 搜寻模型 (链接位于 ibm.com 之外) ,它使用以威胁情报为来源的 IoC。 基于情报的搜寻遵循 SIEM 和威胁情报建立的预定义规则。

基于情报的搜寻可以使用计算机应急响应小组 (CERT) 等情报共享平台提供的 IoC、哈希值、IP 地址、域名、网络或主机工件。 可以从这些平台导出自动警报,并作为结构化威胁信息表达(STIX) (链接位于 ibm.com 之外)和可信的情报信息自动交换(TAXII)(链接位于 ibm.com 之外)输入到 SIEM。 一旦 SIEM 基于 IoC 发出警报,威胁搜寻者就可以调查警报前后的恶意活动,以识别环境中的任何危害。

假设搜寻

假设搜寻是一种使用威胁搜寻库的主动搜寻模型。 它与 MITRE ATT&CK 框架保持一致,并使用全球检测手册来识别高级持续威胁组和恶意软件攻击。

基于假设的搜寻使用攻击者的 IoA 和 TTP。 搜寻者根据用于创建与 MITRE 框架一致的假设的环境、领域和攻击行为来识别威胁主体。 一旦识别出行为,威胁搜寻者就会监控活动模式以检测、识别和隔离威胁。 通过这种方式,搜寻者可以在威胁主体对环境造成破坏之前主动检测到它们。

定制搜寻

定制搜寻是一种基于情景感知和行业的搜寻方法。 它可以识别 SIEM 和 EDR 工具中的异常情况,并可根据客户要求进行定制。

定制或情境搜寻是基于客户的要求,或者是根据地缘政治问题和有针对性的攻击等情况主动执行。 这些搜寻活动可以利用 IoA 和 IoC 信息来使用基于情报和假设的搜寻模型


威胁搜寻和威胁情报有什么区别?

威胁情报是企图或成功入侵相关的数据集,通常由具有机器学习和 AI 的自动化安全系统收集和分析。

威胁搜寻利用这种情报对不良主体进行彻底的全系统搜索。 换句话说,威胁搜寻从威胁情报结束的地方开始。 更重要的是,成功的威胁搜寻可以识别尚未在外发现的威胁。

此外,威胁搜寻使用威胁指标作为搜寻的线索或假设。 威胁指标是恶意软件或攻击者留下的虚拟指纹、奇怪的 IP 地址、网络钓鱼电子邮件或其他不寻常的网络流量。


相关解决方案

网络威胁搜寻

显著提高检测速度并加快检测、调查和修复威胁的时间 了解如何启动您自己的网络威胁搜寻计划。

管理式检测和响应

IBM Security Managed Detection and Response (MDR) 提供全包式、全天候的威胁预防、检测和响应功能。 IBM 的主动威胁搜寻者与组织合作,帮助确定其核心资产和关键问题。

安全信息与事件管理 (SIEM)

建立您的 SIEM 基础,并开发一个可以随着时代变化而增强的综合计划。 使用 IBM Security 识别内部威胁、跟踪端点设备、保护云并管理合规性。

安全编排、自动化和响应 (SOAR)

威胁检测只完成了一半的安全工作。 为了改进您的安全运营中心 (SOC),您还应该考虑智能事件响应和具有托管服务的单一集成安全编排、自动化和响应 (SOAR) 平台。

进攻性安全服务

使用 X-Force® Red 查找并修复最关键的已知和未知漏洞。 这个由资深黑客组成的自主团队与 IBM 合作,测试您的安全性并发现犯罪攻击者可能利用其谋取私利的弱点。