毫无疑问,安全行动中心(SOC)越来越多地转向威胁狩猎,以帮助安全团队应对当今艰巨的威胁格局。主动部署,威胁狩猎可以识别可能未被传统安全工具发现的风险,同时帮助改善防御复杂的新攻击的防御能力。
2022年,Domaintools与网络安全内部人乐动首页士合作进行了第五次年度威胁狩猎调查,以更深入地了解这种安全实践的成熟度和演变。该报告融合了300多名网络安全专业人员的反馈,揭示了威胁狩猎的作用和好处是当今SOC不可或缺的一部分。我们概述了下面的一些关键发现。
威胁严重性上升
首先,值得更好地了解受访者对当前威胁格局的看法。当被要求描述其组织在过去一年中面临的安全威胁的严重性变化(潜在的损害和影响)时,有56%的受访者肯定威胁水平至少提高了两倍。的确,每十名受访者中有一个人认为威胁的严重性甚至远足了三倍。
更重要的是,俄罗斯对乌克兰的入侵只会加剧了这种敌对的网络环境。自从乌克兰入侵以来,有48%的受访者在捍卫关键基础设施的受访者中的威胁活动有所增加。结果,有37%的组织不得不转移其重点来管理这种情况的新风险,而另外25%的组织不得不积极地增加其狩猎资源来响应。
了解您的对手
幸运的是,正如我们的许多调查受访者分享的那样,威胁狩猎已被证明是组织网络武器库中的关键资产。它为对手基础架构提供了宝贵的见解,以及使SOC团队能够以更精确的威胁采取行动的知名度。
超过60%的组织表示,狩猎威胁帮助他们确定了可行的妥协指标,以立即响应或阻止。紧随其后的是59%的受访者说,威胁狩猎有助于产生规则集或其他自动化,以提醒类似的未来威胁活动。此外,一半(51%)的受访者使用威胁狩猎来了解对手倾向和趋势,这对于确定未来恶意基础设施或对手意图至关重要。
贸易工具
进一步回家,我们向受访者询问了他们组织在日常任务中最常调查的指标。最常见的是行为异常(例如未经授权的访问尝试)为76%,其次是可疑的IP地址(65%),拒绝或标记的连接(55%),域名(49%)和文件名(34%)。
不要留下潜伏的威胁
令人惊讶的是,虽然被调查的组织中有将近三分之二(64%)采取积极的威胁狩猎立场,但超过三分之一的组织(36%)仍然只对威胁做出反应后他们被发现。这种反应性方法每周造成了37%的安全威胁。
多年来,随着威胁狩猎变得越来越普遍,Domaintools Iris和Earsight DNSDB帮助猎人探索了对手基础设施。这种专注的狩猎形式可以帮助阐明从受保护的环境到互联网上危险资产的潜在风险交通流量。在所谓的“复古狩猎”中,作为事件响应的一部分,Domaintools产品中浮出水面的互联域信息可以帮助防御者确定以前未知的流量到当时尚不清楚的危险域名。对于前瞻性狩猎,列举了对手的持有量的全部范围,为从受保护资产到对手基础设施的任何DNS查找或交通流量建立阻止或警报规则。
我们希望安全团队能够受到其他人从积极的威胁狩猎中获得的结果的启发。来自犯罪集团的不良行为者寻求经济利益,为寻求制止供应链的国家赞助团体的人寻找更具创造性的方法来闯入网络,潜伏了数周甚至数月,在发现之前。有效的威胁狩猎可能会对挫败他们的努力和减少攻击者的损害有很大的帮助。有关更多信息或安排演示,点击这里。要查看调查的完整结果,请参阅这里。
