威胁追踪:何时追踪?谁来追踪?

企业

RSA 2018的热门话题之一是威胁追踪。专家们一致认为, 这是应对现代APT攻击的必要措施。但专家们未达成一致的是到底什么是威胁追踪 – 它包含哪些措施。为此, 他们同意参考《如何追踪安全威胁》一书中的定义, 该书中指出, 威胁追踪是以分析人员为核心的过程, 目的是让组织能够发现被自动预防和检测控制系统漏报的隐藏高级威胁。

根据该定义, 威胁追踪必须由网络安全专家来执行;此过程不能自动执行。然而, 在专家搜索异常情况后, 搜索结果将有助于改进自动检测系统, 使该系统学会检测以前需要专家人为检测的攻击场景。

何时追踪

专家表示, “网络中有敌对行为吗?”这个问题本身就没抓住重点, 网络中当然有敌对行为。专家称, 从本质上来说, 你应该已经在追踪敌对行为。就我个人来说, 我希望这种情况并不是一直发生, 但这并不意味着您不应该追踪威胁 – 尤其是如果拥有庞大的分布式企业基础架构的情况。

然而, 威胁追踪是一种高级安全措施, 需要一定的资源和一定水平的安全系统。这就是为什么必须在组织威胁发现过程和采用成熟的检测和响应系统这两者之间进行选择时, 你应该选择后者。

通过成熟的检测和响应系统, 不仅可以从威胁范围中排除不大的威胁, 还可以为追踪专家提供更多有用的信息。

谁来追踪

这里的主要问题是追踪者应该是内部专家还是外部专家。这两类专家各有其长处和短处。内部专家对独特的本地网络架构及其具体情况了如指掌, 而外部网络安全专家能带来广博的威胁情形方面的知识, 但需要一些时间才能了解本地基础架构。这两类专家都很重要。理想情况下, 最好是轮换安排内部和外部专家(也就是说, 如果条件允许 – 并且如果您已经有内部专家)。

大多数企业网络在某种程度上很类似。当然, 例外情况也有, 但十分罕见。经常为各种公司提供威胁追踪服务的外部专家能得心应手地面对公司之间略微差异的情况。

对于内部专家来说, 此问题的另一个方面是, 持续威胁追踪让他们的日常工作更加乏味。查看日志并找出攻击进程的隐藏位置是非常单调的工作, 甚至非常有工作热情地的IT专业人员也感到厌烦。所以, 安全运营中心最好是轮换安排内部和外部专家, 而不要聘用一个全职的威胁追踪者。

至于追踪者的个人素质方面, 请寻找在网络威胁方面经验丰富、专注耐心的人。不过直觉同样重要。这样的人可能很难找, 因为直觉没法测量, 在简历中也少有人会提及自己的直觉能力。

要有效利用外部专家, 建议采用我们的威胁追踪专家服务。这些服务可以探索你的基础架构, 识别任何目前或历史入侵迹象, 或者可以安排全天候监控和持续分析网络威胁数据。要详细了解卡巴斯基威胁搜索服务, 请访问此网页