實(shí)現(xiàn)主動威脅搜索的最佳實(shí)踐與熱門工具

今天的網(wǎng)絡(luò)攻擊者不會是孤軍奮戰(zhàn),他們會經(jīng)常利用暗網(wǎng)平臺,相互交流探討最新的攻擊技術(shù),并不斷設(shè)計出新的手法來實(shí)施網(wǎng)絡(luò)攻擊。

360截圖16251112669372.png

本文來自微信公眾號“安全牛”。

隨著攻擊技術(shù)的演進(jìn),網(wǎng)絡(luò)安全防御者也需要不斷升級企業(yè)的防御方案,將網(wǎng)絡(luò)安全建設(shè)從被動防御轉(zhuǎn)換到主動防御、積極反制的方向上來,主動威脅搜索技術(shù)應(yīng)運(yùn)而生,并逐漸成為現(xiàn)代企業(yè)網(wǎng)絡(luò)安全防護(hù)計劃的重要組成部分。

主動威脅搜索有別于目前企業(yè)中常見的SOC、IDS、滲透測試和安全掃描等安全防護(hù)方案,其主要由安全分析師利用多種威脅分析工具、威脅情報和實(shí)踐經(jīng)驗來排查和尋找可疑的攻擊痕跡。主動威脅搜索是一種更加積極的新一代安全防護(hù)策略,通過主動尋找和調(diào)查網(wǎng)絡(luò)中的任何可疑行為,可以幫助安全人員比網(wǎng)絡(luò)攻擊者搶先一步采取行動。

主動威脅搜索的最佳實(shí)踐

如果能夠有效實(shí)現(xiàn)主動威脅搜索,企業(yè)組織將會受益匪淺。以下是關(guān)于主動威脅搜索的六個最佳實(shí)踐經(jīng)驗,可以幫助企業(yè)更好地實(shí)現(xiàn)主動威脅搜索。

01

充分了解企業(yè)的數(shù)字環(huán)境

如果要及時發(fā)現(xiàn)網(wǎng)絡(luò)中的威脅,一個基本的要求是要了解網(wǎng)絡(luò)正常時的狀態(tài)是什么樣子。安全分析師只有非常熟悉網(wǎng)絡(luò)的運(yùn)行情況,才能充分獲得這方面信息。例如,如果企業(yè)充分了解不同時間段進(jìn)入網(wǎng)絡(luò)的流量情況,就可以準(zhǔn)確識別出流量異常的情況,并對此展開進(jìn)一步調(diào)查,這樣就很可能會發(fā)現(xiàn)威脅。安全分析師還有必要了解各種網(wǎng)絡(luò)流量的來源和IP地址。如果突然發(fā)現(xiàn)從陌生來源的流量,應(yīng)及時驗證這些來源的真實(shí)性和安全性。

02

緊密跟隨攻擊技術(shù)發(fā)展趨勢

今天的網(wǎng)絡(luò)攻擊者不會是孤軍奮戰(zhàn),他們會經(jīng)常利用暗網(wǎng)平臺,相互交流探討最新的攻擊技術(shù),并不斷設(shè)計出新的手法來實(shí)施網(wǎng)絡(luò)攻擊。對于安全防護(hù)者而言,如果能夠獲得攻擊者的第一手信息,將對防護(hù)新型攻擊大有助益。安全分析師需要尋找機(jī)會與這些黑客打交道,這樣就有機(jī)會了解他們的手法,并利用這些信息來加強(qiáng)防御。

03

從攻擊者的角度思考

身處企業(yè)網(wǎng)絡(luò)內(nèi)部的安全人員往往看不到外部黑客能看到的東西,特別是網(wǎng)絡(luò)系統(tǒng)中的漏洞和不足。從攻擊者的角度思考可以更快速了解企業(yè)在網(wǎng)絡(luò)防御方面的缺陷。企業(yè)如果要有效地開展威脅搜索活動,需要定期開展網(wǎng)絡(luò)攻擊演練活動,梳理企業(yè)的IT資產(chǎn)、尋找漏洞和攻擊路徑,以便更好地發(fā)現(xiàn)和應(yīng)對風(fēng)險。通過實(shí)戰(zhàn)化的攻防演練,可以幫助企業(yè)積累寶貴的攻擊技能,其作用不僅僅在于主動發(fā)現(xiàn)安全問題,對系統(tǒng)開發(fā)人員深入了解計算機(jī)系統(tǒng)也會大有幫助。

04

獲取全面的可見性

可見性是指對企業(yè)內(nèi)部及所覆蓋的整個網(wǎng)絡(luò)流量進(jìn)行收集、監(jiān)控、分析,發(fā)現(xiàn)惡意訪問、影子資產(chǎn)、異常流量。對網(wǎng)絡(luò)安全防護(hù)人員而言,網(wǎng)絡(luò)的可見性是安全防護(hù)的前提,因為他們無法保護(hù)不知道的東西。這通常意味著需要了解所有設(shè)備、用戶和應(yīng)用程序的行為和活動,還包括它們之間發(fā)生的交互。部署應(yīng)用有效的網(wǎng)絡(luò)監(jiān)控工具可以全面地洞察網(wǎng)絡(luò)中的各種活動,還可以提供反映系統(tǒng)安全運(yùn)營情況的實(shí)時性報告。

05

利用新一代AI工具

如今,網(wǎng)絡(luò)犯罪分子正在積極使用機(jī)器學(xué)習(xí)、人工智能等新技術(shù),更深入地了解其攻擊目標(biāo)的行為,并發(fā)動更精準(zhǔn)的攻擊。因此,企業(yè)組織有必要利用同樣的技術(shù),實(shí)施安全防護(hù)和威脅檢測,做到比網(wǎng)絡(luò)犯罪分子領(lǐng)先一步。基于AI的工具可以對海量數(shù)據(jù)進(jìn)行自動化檢測,快速識別異常情況,并從錯誤中學(xué)習(xí)。通過有效部署人工智能和機(jī)器學(xué)習(xí)工具,企業(yè)可以優(yōu)化現(xiàn)有的威脅搜索策略,提升主動威脅搜索能力。

06

永遠(yuǎn)保持警惕

主動威脅搜索并非一蹴而就的活動。網(wǎng)絡(luò)犯罪分子在不斷尋找網(wǎng)絡(luò)中的漏洞,所以企業(yè)的威脅獵手須時刻保持警惕,才能及時發(fā)現(xiàn)并捕獲他們。網(wǎng)絡(luò)攻擊者會采取不同的策略來躲避檢測。網(wǎng)絡(luò)威脅分析師必須對所有活動保持警惕,留意微小的細(xì)節(jié),以識別可疑或惡意的攻擊途徑,忽略任何一些小細(xì)節(jié)都可能會導(dǎo)致企業(yè)遭受嚴(yán)重的網(wǎng)絡(luò)安全攻擊。

5個熱門威脅搜索工具

目前,市面上有一些熱門工具有助于企業(yè)主動搜索威脅。這些工具提供了自動化功能,可以減少安全人員的手動工作,用戶只需要正確配置就可以快速使用。

01

Phishing Catcher

攻擊者通過網(wǎng)絡(luò)釣魚手段,誘騙疏于防范的受害者泄露敏感信息。這是一種常見的攻擊,這些黑客將他們偽造的網(wǎng)站、電子郵件和文本信息冒充為合法內(nèi)容。反釣魚威脅搜索工具Phishing Catcher可以近乎實(shí)時地將使用惡意傳輸層安全(TLS)證書的域名標(biāo)注出來,它使用了一種標(biāo)記語言(YAML)配置文件,為TLS證書域名中的字符串分配數(shù)字。

傳送門:

https://github.com/x0rz/phishing_catcher

02

CyberChef

CyberChef是一種可靠的安全威脅搜索軟件,可用于數(shù)據(jù)編碼、解碼、加密、解密和格式化。這個工具通過Web應(yīng)用部署,便于用戶使用,可以處理Base64或XOR之類的基本編碼,也可以處理高級加密標(biāo)準(zhǔn)(AES)和數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)之類的復(fù)雜編碼。

傳送門:https://gchq.github.io/CyberChef/

03

DNSTwist

DNSTwist主要監(jiān)控試圖訪問網(wǎng)絡(luò)域名的可疑行為細(xì)節(jié),以識別惡意活動或網(wǎng)絡(luò)攻擊,其算法能夠檢測異常,比如域名欺騙、品牌假冒和釣魚攻擊。一旦用戶在系統(tǒng)中輸入要訪問的域名,它會創(chuàng)建一個監(jiān)測列表,列出可能的域名變體,并檢查列表中是否有相關(guān)域名是活躍的。

傳送門:http://dnstwist.it/

04

YARA

YARA是一個針對惡意軟件的威脅搜索工具,可以對各個惡意軟件家族進(jìn)行分類。用戶只需編寫一組字符串以執(zhí)行指定的函數(shù),就可以使用它。YARA可以與多種操作系統(tǒng)兼容。它還提供了一個Python擴(kuò)展,以便用戶創(chuàng)建自定義Python腳本。

傳送門:https://github.com/VirusTotal/yara

05

AttackerKB

AttackerKB是一個威脅搜索工具,可以用來檢測系統(tǒng)中的各種類型安全漏洞,并根據(jù)它生成的數(shù)據(jù)構(gòu)建主動安全防御系統(tǒng)。AttackerKB的主要能力包括利用漏洞、技術(shù)分析和防御建議。用戶可以根據(jù)漏洞的影響來確定漏洞修補(bǔ)優(yōu)先級,以收到最大成效。

傳送門:https://attackerkb.com/

THEEND

最新評論(評論僅代表用戶觀點(diǎn))

更多
暫無評論