也许每个人出生的时候都以为这世界都是为他一个人而存在的,当他发现自己错的时候,他便开始长大
少走了弯路,也就错过了风景,无论如何,感谢经历
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球
感谢大家一直以来对我CSDN博客的关注和支持,但是我决定不再在这里发布新文章了。为了给大家提供更好的服务和更深入的交流,我开设了一个知识星球,内部将会提供更深入、更实用的技术文章,这些文章将更有价值,并且能够帮助你更好地解决实际问题。期待你加入我的知识星球,让我们一起成长和进步
汽车威胁狩猎专栏长期更新,本篇最新内容请前往:
0x01 前言
如果看官你,一直关注网络安全行业,你可能已经注意到 “威胁狩猎” 或 “威胁猎手” 一词出现得非常频繁。你应该问自己的问题是:“为什么?”
答案:
- 答案与网络安全行业中的大多数事情一样,取决于具体情况。一些企业有兴趣完善其安全运营,其他人则希望改进他们的整体威胁检测策略。另外,还有一些企业只是认为这个词 “听起来很酷”。然而,无论动机如何,围绕着威胁狩猎的话题,都存在着很多误解
注:威胁狩猎仍然是业界备受关注的话题。由于受到如此多的关注,所以这个行业出现了很多误解,尤其是关于威胁猎手的工作内容
- 为了让安全团队和有志于此的猎手们少走弯路,下面整理了一份清单,列出了人们对威胁猎手的一些最常见的误解或迷信,以及真实情况
首先,需要明白威胁狩猎活动可以为企业带来巨大的好处,而不仅仅是在环境中发现隐藏的主动威胁。如果定期进行,威胁狩猎可以为 SOC 的威胁检测能力提供额外的检测内容,并改进关于专门针对企业资产的威胁攻击者的战术、技术和过程 (TTP) 的遥测数据
通常情况下,即使在新兴的威胁狩猎计划中投入少量时间和资源,也可以实现这种长期的威胁狩猎投资回报率。与围绕威胁狩猎所建立的神秘感和误解相反,企业在开始从狩猎中获益之前,不一定需要超级高级的项目
虽然,在结构化狩猎中发现的更高级别的成熟度,肯定可以帮助威胁狩猎者更容易发现高级威胁,但每个企业都可以从适用于广泛安全团队的简单狩猎中受益。为了消除这些关于威胁狩猎的误解,并鼓励更多的团队涉足这一领域,我们来了解一下安全行业内普遍存在的三个最常见的威胁狩猎误区
0x02 威胁狩猎误区 1:需要在端点具有无限的可见性
很多时候,安全团队对开始威胁狩猎犹豫不决,因为他们对端点资产没有完整或无限的可见性。虽然,端点日志对于威胁狩猎肯定非常有价值,但它们绝对不是广泛狩猎的先决条件
从网络日志、DNS 日志和收集的有关网络活动的信息中,仍然可以检测到非常大的攻击面。如果企业正在迈出威胁狩猎的第一步,网络活动可以提供一个信息宝库,以供开始挖掘
0x03 威胁狩猎误区 2:威胁狩猎的成功取决于复杂的技术
另一个常见的误解是,威胁狩猎的成功取决于非常复杂的技术和方法。事实上是很多时候,简单的技术可以检测到范围广泛的隐藏威胁行为,这些行为可以完全绕过现有的安全机制。有一些非常常见的恶意技术,大量的攻击必须完成这些技术才能进行其整个攻击链
通过,专注于挖掘这些常见技术证据的命令和方法,简单的威胁狩猎活动可以收获很多有益的结果。例如:从 Microsoft Office 工具中寻找可疑子进程的证据。诸如 PowerShell 、cmd.exe、rundll32.exe 等许多其他东西是寻找攻击者针对用户进行网络钓鱼的好方法
0x04 威胁狩猎误区 3:需要具有多年经验的安全分析师或威胁狩猎人员
启动威胁狩猎团队的一大限制是,目前没有很多经验丰富的威胁猎手可供雇用。但是,安全团队可以使用现有的安全分析师和一些简单的工具,来启动一个基本的威胁狩猎计划
这些类型的资源很棒,它们可以加速威胁狩猎活动的收益,但在基础层面上,企业真正需要的只是了解网络上哪些活动看起来正常和良好。有了坚实的基线,就可以开始寻找异常情况,并在此过程中完善威胁狩猎技术
更多关于威胁狩猎误区 4、5、6、7、8的内容,以及最新的威胁狩猎误区的介绍,请移步[车联网安全自学篇] 汽车威胁狩猎之关于威胁狩猎该如何入门?你必须知道的那些事「7万字详解」
参考链接:
https://blog.csdn.net/Ananas_Orangey/article/details/129491146
你以为你有很多路可以选择,其实你只有一条路可以走
扫一扫
12万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
