威胁狩猎(threat hunting)之认知剖析 – 作者:firelad

威胁狩猎是什么?

威胁狩猎分为攻击型威胁狩猎和防御型威胁狩猎由于类型有别所以定义和狩猎目标也有所差异:

防御型威胁狩猎其目标在于发现互联网或内网的攻击威胁痕迹,是基于假设的攻击分析、推理、验证的过程,部分或完全还原攻击过程。

攻击型威胁狩猎的目标是在真实网络环境中基于假设、验证、探寻现有系统或软件的脆弱性的过程。

两种威胁狩猎过程都充满惊险与刺激,因为都是在真实网络环境中智慧与智慧,压力与压力,心智与心智的对抗博弈,充满了好奇与挑战。网络安全人员和骇客虽然正邪不两立,一方为了正义公平,另一方则为了无羁的自由越战越盛。进而出现网络空间战,有国家队与敌方政客资助的攻击组织展开旷日持久的拉锯战。在这种情形下的高级网络安全技术博弈,特别是云技术的普及,使得传统的特征化、孤立、边界化的防御方式的劣势逐渐显现,推动威胁狩猎这种新型安全技术方法登上安全技术的浪尖。

防御性威胁狩猎产品,将会以全新的安全防护理念横空出世。

  1. 解决数以千计,个人主机、服务器、网络设备、物联网设备的关键情报的收集、处理、分析过程中量的问题,非人力所能为,缓解高智商劳动力成本同时提高威胁发现的实时性问题。

  2. 解决安全脆弱性狩猎的自动性问题释放部分人力成本,让安全专家宝贵知识沉淀在产品中。搞一次攻击对抗超过千百次安全培训,但是一对抗,一次防护博弈准备周期,投入人力和时间成本都非常巨大。威胁狩猎的终极目标是实现狩猎的自动化或半自动化,让安全专家聚焦关键技术研究,发现未知威胁,狩猎的自动性,常规性充分显现。

  3. 承载的是安全技术专家的运用安全知识发现、推理、验证威胁痕迹的过程。

防火墙安全卖点是地址转换和威胁过滤,IDS/IPS的安全卖点已知漏洞威胁的知识 库,威胁情报的安全卖点是供安全决策使用的高级价值威胁线索,WAF的安全卖点是WEB方面威胁知识库等等安全产品总结基本都是在卖各类知识库,威胁狩猎的最大卖点是卖安全威胁的发现,推理,验证的过程事件经验,解决传统安全设备无法还原的攻击路径、攻击战士、攻击过程、攻击技术的问题。黑客攻击过程中留下的攻击行为痕迹形成的知识库及通过攻击行为还原攻击过程的产品。

无论是攻击型和防御性威胁狩猎产品都是顺应对抗升级注重实战博弈的必然产品,希望威胁狩猎这个次不要被扭曲乱用。

以上是仅仅代表个人观点,欢迎赐教与讨论,大家一起让威胁狩猎概念清晰明朗。

来源:freebuf.com 2020-10-22 10:00:17 by: firelad

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论