什麼是搜尋威脅?
搜尋威脅是一種安全功能,其結合了主動式方法、創新技術和威脅情報,以找出並遏止惡意活動。
對於已準備好採取更主動的網路安全性方法,也就是試圖在攻擊過度深入之前加以遏止的公司來說,在其安全性計畫中增添搜尋威脅的能力,會是合乎邏輯的下一個步驟。
企業在鞏固端點安全性並確立安全事件應變策略,以緩解現今無法避免的已知惡意軟體攻擊後,便能著手轉守為攻。這些企業已準備好深入探索,找出尚未偵測到的項目,而這正是搜尋威脅的目的所在。
搜尋威脅是一項積極的策略,其運作方式是以「入侵假設」為前提;也就是認為攻擊者已經位於企業的網路內部,並且正秘密地監控網路及在網路中移動這似乎顯得牽強附會,但實際上,攻擊者可能會持續停留在網路內部數天、數週甚或數月,以準備和執行如進階的持續性威脅等攻擊,卻沒有任何自動化防禦機制偵測到其存在。搜尋威脅是透過找出隱密的入侵指標 (IOC) 來遏止這些攻擊,以便在任何攻擊達成目標前,先予以緩解。

資料中心威脅:利用遠端存取獲取利益

VMware 榮獲 SE Labs 公司的網路偵測與回應領域 AAA 評級,是該評級的業界首家得主
搜尋威脅的關鍵要素
搜尋威脅的目標是監控網路上的日常活動與流量,並調查可能的異常狀況,以找出任何尚未發現且可能導致漏洞充分發展的惡意活動。為了達成這種早期偵測的目標,搜尋威脅納入了四項同等重要的元素:
方法。若要成功搜尋威脅,公司必須致力於採取持續進行、與時俱進且全年無休的主動式方法。「等有時間再做」這種被動又臨時的態度,不但會弄巧成拙,更只能獲得微乎其微的成果。
技術。大多數公司已具備全方位端點安全性解決方案,亦已實行自動化偵測。搜尋威脅則可在上述作業之外進一步發揮作用,並增添多種進階技術,以找出異常情況、異常模式,以及其他不應存在於系統與檔案中的攻擊者蹤跡。運用大數據分析的全新雲原生端點保護平台(EPP) 可擷取和分析大量未篩選的端點資料,而行為分析和人工智慧則能提供廣泛且迅速的能見度,以掌握找出最初看似正常的惡意行為。
高技能的專屬人員。威脅搜尋人員或網路安全威脅分析師都是自成一格的人員。這些專家不但知道如何使用上述安全性技術,更同時擁有努力不懈的抱負,願意主動出擊,利用直覺式的問題解決鑑識能力,找出與減輕隱藏的威脅。
威脅情報。若能取得全球專家所提供的實證式全球情報,就可進一步強化並加快搜尋現有入侵指標的作業。搜尋人員可利用相關資訊以獲得協助,例如惡意軟體的攻擊類型、威脅群組識別,以及可協助人員鎖定惡意入侵指標的進階威脅指標等。
根據 Crowd Research Partners 公司的 2018 年搜尋威脅報告研究,證實了這類搜尋威脅功能的重要性。在請受訪者對最重要的功能進行排名時,該問卷調查發現:
69% 選擇威脅情報
57% 選擇行為分析
56% 選擇自動偵測
54% 選擇機器學習與自動化分析
多產威脅搜尋人員的剖析
威脅搜尋人員會尋找透過公司可能根本不知道存在的弱點,以躲避雷達偵測的攻擊者。這些攻擊者會花費相當多的時間來規劃和執行偵察行動,並且只有在知道自己能在不遭到注意下成功入侵網路時,才會採取行動。他們也會植入和建置尚未受到識別的惡意軟體,或是使用完全不仰賴惡意軟體的技術,為自己建立屹立不搖的基礎,以從該處發起攻擊。
那麼,我們需要怎麼做才能智取最聰明的攻擊者?
網路威脅搜尋人員努力不懈,並且能夠找到網路攻擊者所遺留的最微弱蹤跡。
搜尋威脅人員會利用經過充分調整的技能,以鎖定因攻擊者在系統或檔案內移動而產生的輕微變化。
最優秀的威脅搜尋人員會仰賴自己的直覺,以找出最惡劣攻擊者的隱匿舉動。