在資安領域中,企業面臨著不斷變化的資安威脅,這些威脅可能危及重要的機敏資料數據並干擾商務運作。為了應對這些挑戰,資安專業人員採用了各種策略,其中之一即為威脅狩獵(threat hunting)。
威脅狩獵的定義
威脅狩獵是一種主動的資安策略,旨在識別並化解可能繞過逃避傳統資訊安全措施的潛在威脅。與依賴預先建立行為模型的的傳統資安做法不同,威脅狩獵涉及主動搜尋企業網路中的威脅指標。
威脅狩獵運用主動防禦的概念,制敵機先
傳統的資安措施雖然必不可少,但通常該類措施是先偵查到網路攻擊,再進行回應與反制,過程較為被動。威脅狩獵則通過主動尋找潛在的威脅跡象,防止其發展成全面的攻擊。
威脅狩獵更是「零信任」資安概念的一環,亦即假設網路系統環境已經遭受入侵,企業組織應定期主動確認資安狀況,一旦發現疑似入侵事件,能即時有效緩解,不致擴散延伸成更大的資安問題。
威脅狩獵策略須由具備豐富實務經驗的資安專業人員,搭配先進的工具和方法,挖掘出隱藏於端點的威脅。
威脅狩獵的關鍵環節
數據行為分析
威脅狩獵始於對企業網路的程式行為產生的大量數據,進行深度分析,分析對象數據包括日誌、網路流量和其他有助協助的資訊相關數據來源。
實際狩獵過程中,威脅狩獵專家使用專有工具,以工具內建的行為分析功能,識別正常與異常活動模式,這有助於發現可能更深層、潛伏的資訊安全威脅。
威脅情資
威脅狩獵專家採用的工具,需基於最新、與企業最相關的威脅情資,方能進行精準的威脅狩獵,以保持在持續演化的資安威脅中,保持領先地位。這包括最新的攻擊手法、攻擊脈絡等資訊。
威脅狩獵之於企業資安的重要性
減少時間差
威脅狩獵是通過主動尋找並化解威脅,企業可以顯著減少「駭客入侵」與「威脅造成實際損失」之間的時間差,避免營運損失。
強化資安事件應變
威脅狩獵協助企業在攻擊入侵的初期,即時識別與阻止威脅,強化企業對資安事件的應變能力,最小化潛在損害。
有效應對最新的資安威脅
在變動萬千的資安環境中,威脅狩獵使企業能夠迅速應對新興的資安威脅,這些威脅可能無法經由傳統的資訊安全措施、工具所偵查到。
結論
威脅狩獵為一種主動的資安強化方法。通過主動尋找潛在威脅,企業可以加強其防禦,超前部署,預防駭客入侵。
杜浦數位安全 TeamT5 的威脅狩獵工具 ThreatSonar 所具備的獨特「記憶體鑑識」技術,可鑑識出攻擊者利用合法掩飾非法-將惡意程式注入合法程式中的攻擊手法,找到惡意程式的中繼站,阻擋進一步的威脅入侵。
ThreatSonar 的領先威脅狩獵技術,能夠鑑識、揪出以下潛在威脅,協助企業強化資安韌性:
- 執行過以及將要執行的程式 (Executed/Autorun programs threat hunting)
- 針對隱匿於記憶體中的惡意程式,進行偵測與鑑識 (Memory forensics)
- 攻擊者的駭客工具 (Hacktools)
- Suspicious artifacts (攻擊後殘留於主機的紀錄)
- Living Off The Land Binaries And Scripts (LOLBAS)
- 網路衛生 (Cyber hygiene)
隨著資安環境的不斷變化,將威脅狩獵納入企業全面資安策略中,變得日益重要,有助保護重要商業機敏資料數據,並維護商務運作的穩健性,奠定資安韌性。
杜浦數位安全 TeamT5 為網路威脅狩獵專家,團隊具備超過20年的惡意程式與進階持續性威脅(APT)的經驗,基於地緣和語言優勢,我們有效掌握亞太地區的駭客攻擊,更經常受邀參加世界級資安會議、發表研究成果。我們研發的威脅狩獵工具 ThreatSonar 已獲許多大型企業、金融產業及資安代管服務廠商(MSSP)採用。
如果您是企業,請立即連絡我們,透過產品展示 Demo,徹底掌握威脅狩獵帶來的絕佳防禦效益。如果您是資安代管服務廠商,請即刻聯絡我們,共同討論如何為終端客戶強化資安韌性,並且創造商機。 https://teamt5.org/tw/contact-us/
*圖片來源: Pixabay