DOMAINTOOLS:2020年度威胁狩猎报告 – 作者:Avenger

越来越多的组织将威胁狩猎作为安全运营的一部分呢,主动地狩猎威胁可以降低威胁的风险和影响,提高抵御新威胁的能力。

威胁狩猎目标

超过一半(51%)的组织应用威胁狩猎主要为了减少内部威胁的暴露,其次45%的组织是为了减少恶意感染与数据泄露事件发生的次数,而43%的组织为了减少攻击面。

image.png-149kB

关键安全挑战

调查显示,网络安全从业人员认为安全运营中面临最要紧的问题是要及时检测高级威胁(55%),其次是对专业人员的缺乏(52%)。另外有 37% 的人表示对现有自动化威胁狩猎工具缺乏信心,36% 的人表示现在有太多精力浪费在了误报上。

image.png-160.1kB

带来的好处

威胁狩猎平台为安全分析人员提供了能够更早检测威胁、缩短处置时间、改进未来攻击防御的强大工具。68% 的组织认为威胁狩猎提高了对高级威胁的检测,55% 的组织认为减少了分析调查的时间。同样有 55% 的组织认为节省了手动关联事件的时间。

image.png-148.8kB

对待态度

尽管威胁狩猎仍然是新兴的门类,但绝多数组织(88%)都强烈同意“威胁狩猎应该是顶级安全方案”。

image.png-102.2kB

威胁管理成熟度

安全运营中心(SOC)应该具有快速应变的能力,但只有 12% 的组织声称拥有成熟的尖端 SOC 来应对新出现的威胁。

image.png-56.2kB

专业人员技能

根据组织的反馈,防范安全威胁对数据分析和推理分析的能力要求很高。例如模式识别(76%)、数据分析(70%)和演绎推理(67%)是在雇佣时优先被考虑的。

image.png-111.3kB

投入预算

相比往年,为威胁狩猎投入预算的模式没有太大变化。36% 的组织将会增加威胁狩猎上的支出,而 53% 的企业会维持预算的稳定投入。

image.png-89.6kB

协同增效

更多的教育培训(45%)、更好的端点检测和响应(43%)、更好的网络检测和响应(43%)、更好的SIEM(40%)都可以大幅度地提升威胁检测的能力。

image.png-127.4kB

威胁频率

每年都只有极少部分组织能够找到降低组织面临威胁的方法,今年是 5%。

image.png-68kB

常见攻击

最常见的攻击仍然是恶意软件(76%),其次是钓鱼(71%)与网络入侵(46%)。值得注意的是勒索软件(41%)也在快速攀升,另外供应链安全(2%)虽然比例不高,但是危害很大。

image.png-81.8kB

攻击者洞察

有 68% 的组织至少会偶尔深入了解对手的攻击基础设施,70% 的组织发现了 IoC 会立即进行响应与处置。

image.png-80.1kB

image.png-82.4kB

数据来源

防火墙日志不再是数据的首要来源,数据来源被端点活动、系统日志所取代。

image.png-112.3kB

最有价值的数据来源

被认为是最有价值的数据来源是活动日志(31%)、威胁情报源(24%)和网络数据(21%),其次是端点数据(18%)。

image.png-70kB

侦察活动

侦察活动中仍然是端口扫描占大头,对活动目录和主机的探测也越来越多。

image.png-109.8kB

活动目录

威胁狩猎中最关注的活动目录事件是:尝试重置管理员和敏感帐户密码(67%)、登录失败(61%)和域策略更改(48%)。

image.png-138.7kB

威胁狩猎技术

EDR 位列榜首,其次是 SIEM(56%)。

image.png-140.6kB

从业人员

2021 年 2 月对网络安全专业人员进行的全面的在线调查。

image.png-156.5kB

参考来源

https://www.domaintools.com/content/2021-Threat-Hunting-Report.pdf

来源:freebuf.com 2021-04-19 21:26:27 by: Avenger

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论