有效威胁追踪六步走：保护关键资产和对抗网络犯罪 全球快播

在攻击者发现你之前找出他们是巩固网络防御的关键。如何高效做到这一点并不简单，但只要投入一点时间，你就可以学会威胁追踪，避免公司损失数百万美元。

(资料图片)

我们不妨先看看下列令人吃惊的统计数据。Cybersecurity Ventures估计，到2025年，网络犯罪将给全球经济造成10.5万亿美元的损失。如果换算成某个国家的GDP，网络犯罪造成的全球经济损失相当于世界第三大经济体，仅仅落后于美国和中国。但如果能实现有效威胁追踪，你就可以防止恶意黑客给公司造成严重破坏。

本文将详细阐述威胁追踪：威胁追踪是什么？如何深入有效地实施威胁追踪？网络威胁情报（CTI）如何推动威胁追踪工作？

01 威胁追踪是什么？

网络威胁追踪就是收集威胁正在形成的证据。这是个持续的过程，能够帮助企业找出对自己构成最大风险的威胁，助力安全团队在攻击发起前加以阻止。

02 威胁追踪六步走

威胁追踪的整个过程中，谨慎计划和注重细节很关键，确保所有团队成员都按计划执行也很重要。为保证效率，应记录下每一步，方便团队其他成员重复同样的过程。

1、组织追踪

盘点端点、服务器、应用和服务等公司关键资产，确保团队做好准备，井然有序。这一步骤可以帮助你了解自己需要保护哪些资产，以及这些资产最容易受到哪些威胁的侵害。然后，确定每件资产的位置、其访问权限所有者，以及访问权限的提供方式。

最后，根据公司的环境和基础设施提出有关潜在威胁的问题，明确重点情报需求（PIR）。比如说，如果公司存在远程工作模式或者采用混合工作模式，这类问题可能包括：

• 远程设备最容易遭到哪些威胁侵害？

• 这些威胁可能留下何种证据？

• 我们如何确定有员工被入侵了？

2、规划追踪

这一阶段，可通过下列操作设置必要的规范：

• 说明目的 - 包括为什么有必要进行追踪，以及应该关注哪些威胁，这是由公司PIR决定的。（举个例子，远程办公可能比自带设备办公（BYOD）更容易遭受网络钓鱼攻击。）

• 界定范围 - 根据所知内容确定并陈述威胁假设。可以假定如果正在搜寻的威胁发生会浮现出什么证据，通过了解这些证据来收窄范围。

• 了解限制，比如能够访问哪些数据集、必须分析哪些资源、有多少时间等等。

• 设定现实的最后期限。

• 确定要排除哪些环境，找出可能阻碍在特定环境中执行威胁追踪的合约关系。

• 了解必须遵守哪些法律和监管约束。（即使是追踪坏人也不能违法。）

3、用合适的工具追踪

取决于公司的资产清单和威胁假设，可以用来进行威胁追踪的工具有很多。例如，如果要找出潜在的漏洞，安全信息与事件管理（SIEM）和调查工具就有助于审查日志并确定有无泄漏。以下是能够大幅提升威胁追踪效率的一些选项：

• 威胁情报 - 具体而言，从深网和暗网获取威胁情报的自动化馈送源和调查门户

• 搜索引擎和网络爬虫

• 来自网络安全供应商和杀毒软件供应商的信息

• 政府资源

• 公共媒体 - 网络安全博客、在线新闻站点、杂志

• SIEM、 SOAR、调查工具、开源情报（OSINT）工具

4、执行追踪

执行追踪时最好别搞复杂了，就按计划一点一点地推进，始终保持正轨，避免偏离路线和分心。执行分为四个阶段：

• 收集：这是威胁追踪中劳动最密集的部分，尤其是在采用人工方式收集威胁信息的情况下。

• 处理：编译数据并处理成有条理的可读格式，方便其他威胁分析师理解。

• 分析：确定所发现的数据揭示了什么。

• 结论：如果找出了威胁，有数据支持其严重性吗？

5、总结并评估追踪

在下一次追踪开始前评估本次追踪工作有助于持续改善追踪工作。这一阶段可以考虑如下问题：

• 所选择的假设适合本次追踪吗？

• 范围缩得够窄了吗？

• 是否收集到有用情报，或者一些流程能不能换种做法？

• 工具用对了吗？

• 每个人都遵循了计划和流程吗？

• 过程中领导层是否觉得自己有能力解决问题，是否能够获得全部所需信息？

6、报告发现并据此采取行动

追踪结束时，你可以看到所获数据是否支持自己的假设，如果确实支持，那就提醒网络安全团队和事件响应团队。如果没有具体问题的证据，你需要评估资源并确保数据分析没有遗漏。例如，你可能会发现自己为寻找入侵指征而审查了日志，但没有检查暗网泄露数据。

03 用网络威胁情报（CTI）提升威胁追踪

网络威胁情报可以成为威胁追踪计划的有效组成部分，尤其是在威胁情报数据十分全面，且包含业务上下文和公司相关性的情况下。Cybersixgill可消除通往网络威胁情报宝贵来源的障碍，提供深入调查能力，帮助团队找出最重要的潜在网络威胁。

企业可以利用Cybersixgill的调查门户跨深网、暗网和公开网络编译、管理并监测自身全部资产。这一情报可帮助企业识别潜在的风险和暴露，了解潜在攻击路径和攻击者TTP，从而在新兴网络攻击被武器化之前主动揭露并阻止之。

《威胁追踪达成有效网络安全》报告

https://cybersixgill.com/resources/threat-hunting-for-effective-cybersecurity

标签：