什么是威胁搜寻?

威胁搜寻通过分析攻击者的行为并识别潜在威胁,帮助组织避免攻击。

学习目标

阅读本文后,您将能够:

  • 定义“威胁搜寻”
  • 比较常见的威胁搜寻模式
  • 对比威胁搜寻与威胁情报

相关内容


想要继续学习吗?

订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!

参阅 Cloudflare 的隐私政策,了解我们如何收集和处理您的个人数据。

复制文章链接

什么是威胁搜寻?

威胁搜寻是指组织用来识别网络威胁的技术和工具的涵盖性术语。传统的威胁搜寻是一个人工调查过程,依赖于安全分析师的专业知识,而不是自动化工具,而现代威胁搜寻则依赖于两者的结合。

通常情况下,“威胁搜寻”指的是主动的威胁检测,即组织会提前评估其网络是否有内部恶意活动的迹象,或调查外部的攻击者基础结构。该术语还可以表示反应性威胁检测,即组织在遭到数据泄露或类似攻击之后分析其自身基础结构的弱点,但这个含义没有上述含义常见。

什么是攻击指标 (IoA)?

在威胁搜寻过程中,企业会寻找攻击指标 (IoA)*,确定潜在攻击者的意图和行为。IoA 是指攻击者为成功实施攻击而必须执行的一个或一系列操作,例如,诱使目标打开网络钓鱼电子邮件、让他们点击恶意链接、下载恶意软件,等等。了解攻击者的具体伎俩和程序,有助于企业制定一个更主动的威胁防御流程。

入侵指标 (IoC) 是恶意活动的证据:网络流量异常、可疑登录、管理员级账户或文件意外更新,或其他表明组织已被入侵的迹象。IoC 是反应式威胁搜寻过程中的有用组成部分,因为它们通常表明一个组织已经被入侵。

*这也被称为攻击者的战术、技术和程序 (TTP)。

威胁搜寻是如何进行的?

威胁搜寻程序因组织的需求和安全团队的能力而异,但通常分为三类:结构化搜寻、非结构化搜寻或情景搜寻。

  1. 结构化搜寻可以识别和分析特定的攻击者行为和战术,或称 IoA。它采用基于假设的搜寻模式,而假设是根据威胁搜寻剧本(例如 MITRE ATT&CK 框架)创建的。结构化搜寻的主要目标是在对组织的攻击被利用之前主动地确定攻击者的行为。
  2. 非结构化搜寻在发现 IoC — 即恶意活动的证据 — 的时候触发,该活动可能表明最近或过去的攻击导致组织的某些部分被破坏。非结构化猎杀使用一种反应式的、基于情报的搜寻模式,检查 IP 地址、域名、哈希值和其他由情报共享平台提供的数据。其主要目标是调查一个组织的基础结构和系统中的现有漏洞。
  3. 情景搜寻也称为实体推动的搜寻,重点关注有被破坏风险的特定系统、资产、账户或数据。例如,一个拥有管理权限的账户与权限较少的账户相比,可能面临更高的网络攻击风险,因为前者可能有机会访问更敏感的数据和系统。情景搜寻使用可根据组织需求定制的威胁搜寻模型,因为其主要目标是确保高风险目标的安全并了解他们可能面临的威胁,而不是检查整个组织的物联网协议或物联网协议。

为了直观地了解这些过程之间的差异,可以想象一下鲍勃正试图用三种不同的观鸟技术来识别鸟类。有一种方法可能需要做大量的计划:分析鸟类的迁徙模式、交配仪式、喂养时间表,以及任何有助于缩小可能发现鸟类的地点和时间范围的其他行为因素。这种方法类似于结构化搜寻,其重点是发现攻击者的已知战术和行为。

如果使用另一种方法,鲍勃可能会前往森林并寻找鸟巢、粪便或其他鸟类存在的实物证据。这与非结构化搜寻类似,非结构化搜寻通常在检测到 IoC 时被触发。

第三种方法可能需要鲍勃优先追踪濒危鸟类,而不是更常见的物种,然后根据他试图识别的具体鸟类调整他的方法。这类似于情境搜寻,这种方法使用定制的策略来识别对高风险目标的威胁。

威胁搜寻工具类型

传统的威胁搜寻过程依赖于安全分析师手动检查一个组织的网络、基础结构和系统,然后提出并测试假设,以检测外部和内部威胁(如数据泄露或恶意横向移动)。

相比之下,现代威胁搜寻使用网络安全工具来帮助实现调查过程的自动化和简化。一些最常见的工具包括:

  • 安全信息与事件管理 (SIEM) 是一种安全解决方案,可以进行日志数据汇总、警报监控、安全事件分析、合规报告等。
  • 托管检测与响应 (MDR) 是一种托管的安全运营中心 (SOC),可以跟踪网络活动、创建警报、调查潜在威胁、消除误报警报、提供高级分析并帮助补救安全事件。
  • 用户与实体行为分析 (UEBA) 是一种安全服务,它可以汇集用户和端点数据、建立正常行为的基线并检测和分析整个组织系统的异常情况。

威胁搜寻与威胁情报

威胁搜寻是发现和分析攻击者行为、网络攻击证据或组织面临的其他潜在威胁的过程。威胁搜寻的目的不仅是为了发现一个组织的基础结构内的漏洞,而且是为了发现尚未实施的威胁和攻击。

相比之下,威胁情报是一组关于网络攻击的数据,包括潜在威胁和已经发生的攻击。通常情况下,这组数据将被编入威胁情报资料,企业可以利用这些资料来更新他们的威胁搜寻过程和安全程序。

简而言之,威胁搜寻类似于进行犯罪现场调查,而威胁情报则是在现场收集到的证据。

如要了解更多关于威胁情报的类别和目的,请参阅什么是威胁情报?

Cloudflare 是否提供威胁搜寻服务?

Cloudflare 安全性中心提供威胁调查功能,旨在协助安全团队从一个统一的界面识别、跟踪和缓解潜在的攻击。在威胁调查门户内,用户可以查询特定的 IP 地址、主机名和自治系统 (AS),以确定新出现的威胁的来源。

进一步了解 Cloudflare 安全性中心