威胁狩猎何时狩猎谁应该做
RSA 2018 的热门话题之一是威胁追踪。专家们一致认为,这是应对现代 APT 攻击的必要做法。他们不完全同意的是威胁狩猎实际上是什么——它包含哪些实践。因此,他们同意使用《如何寻找安全威胁》一书,该书称威胁寻找是以分析师为中心的过程,使组织能够发现自动预防和检测控制遗漏的隐藏高级威胁。 根据该定义,威胁搜寻必须由网络安全专家执行;该过程无法自动化。然而,在专家搜索异常之后,他们的结果将有助于改进自动检测系统,该系统学会检测曾经需要专家人眼才能发现的攻击场景。 什么时候打猎 专家提出的问题是“你的网络中有对手吗?” 错过了重点,因为他们确实是。那些专家说,基本上,你应该已经在打猎了。就我个人而言,我希望这并不总是正确的,但这并不意味着您不应该狩猎——尤其是当您拥有庞大的分布式企业基础架构时。 但是,威胁搜寻是一种高级安全实践,需要一定的资源和一定级别的安全系统。这就是为什么如果您必须在组织威胁搜寻过程和采用成熟的检测和响应系统之间做出选择,您绝对应该 电报号码数据 选择后者。 成熟的检测和响应系统不仅可以让您将小威胁排除在威胁搜寻范围之外,还可以为专家猎手提供更多有用的信息。 谁应该狩猎 这里的主要问题是猎人应该是内部专家还是外部专家。每个方向都有其优点和缺点。内部专家对本地网络架构及其细节具有独特的知识,而外部网络安全专家拥有对威胁态势的广泛了解。
https://www.gilists.com/wp-content/uploads/2023/01/%E7%94%B5%E6%8A%A5%E5%8F%B7%E7%A0%81%E6%95%B0%E6%8D%AE-150x126.jpg
但需要些时间来了解本地基础设施。两个方面都很重要。理想情况下,您将轮换内部和外部专家(也就是说,如果允许的话——如果您已经有内部专家)。 大多数企业网络在某种程度上彼此相似。当然,也有例外,但这种情况非常罕见。定期为不同公司执行威胁搜寻的外部专家将对公司与公司之间的细微差异感到满意。 对于内部候选人来说,这个问题的另一个方面是,持续不断的威胁搜寻给他们的日子增添了很多乏味。查看日志以找出敌对过程的隐藏位置是一项单调的工作,即使是热情的 IT 专业人员也会感到疲倦。因此,明智的做法是从您的安全运营中心轮换专家,而不是聘请一名全职威胁猎手。 至于候选人的个人素质,寻找细心、耐心且在网络威胁方面经验丰富的人。
页:
[1]