[-]

在过去的六个月里,网络威胁的形势迅速恶化。医院遭受各种勒索,破坏行动也越来越多地转移到移动设备上,公共事业也遭到了攻击。

我们面临的网络威胁已经进入了紧急状态,尤其是幕后黑手倾尽全力建立资金雄厚、有组织、有预谋的犯罪集团。我们不再是和藏身于地下室的孤身黑客作战,而是和一群联合在一起的攻击者作战,他们只想要一样东西,那就是数据。

保持安全防御姿态很重要——强化系统、分流网络、减少访问和建立追踪——但是它们并不足以保护关键的资料免遭黑客有预谋的攻击。我们作为一个共同体,是时候进行更完善的检测,去狩猎那些威胁和恶意活动了。

“狩猎威胁”不是一个口号。这是一种人机结合进行搜索和毁灭黑客计划的进攻姿态。随着时间推移,以后只依靠技术就可以完成检测。这是好事,但我们仍要竭力发展。我们要做回猎人,找出系统检测发现不了的恶意代码或恶意软件。

狩猎威胁
狩猎威胁的关键是接受妥协的必然性。这意味着我们同时担任消防队长和警察的角色。作为消防员,当警报响起我们要迅速做出反应,但我们也扮演着警察的角色:出来寻找犯罪活动。和优秀的罪犯一样,我们也要预测如何设计和运营可以创造出不安全的环境来造成事故。

你已经听说过“妥协是不可避免的”。你可能不能接受,但是这是真的。假设黑客的攻击来了,我们必须意识到就算我们的技术再先进,也不能拦截所有的攻击。如果有人说他们的技术可以拦截所有的恶意活动,那是他们没有说实话(或者并不了解自己的技术)。现有技术的拦截率和100%拦截之间的差距就是我们狩猎威胁的地方。除此之外,自动检测发现不了的地方也是。

我们狩猎什么?
检测的出发点是找出“坏”的地方,但是狩猎并不一定是找到恶意软件才算成功,还有许多潜在的狩猎成果。你的团队对系统更加熟悉,自身更加优秀,他们在“战壕”里锻炼。如果没有找到恶意软件你得到了什么?你更好地了解系统,找到漏洞,让你的系统更安全。优化技术也慢慢跟上了系统的发展。

团队狩猎,必须做到行动和情报的结合,然后快速做出决断,否则会浪费时间或在歧路上花费太多时间。狩猎时仍然需要吸取教训,无论你是否喜欢OODA循环、JSOC的F3EAD系统或者精益创业方法论,这些都是快速的、低成本的学习狩猎的好方法。

狩猎的时候到了。狩猎是有趣的,同时也可以创造经济。给你的团队狩猎的时间,优化系统提高自动检测的发现率。吸取教训,反馈系统,争取持续改进。

本文译自 venturebeat,由 snowpanther 编辑发布。

[ 广告 ]
赞一个 (13)

PREV :
NEXT :