Sean Mason，思科安全事件響應(yīng)服務(wù)總監(jiān)

　　Jeff Bollinger，思科安全事件響應(yīng)團(tuán)隊(duì) （CSIRT） 調(diào)查經(jīng)理

　　作為不斷查找惡意威脅的安全從業(yè)人員，我們經(jīng)常被問到的其中一個(gè)問題是：未來會(huì)面臨什么樣的威脅？威脅發(fā)起者往往與時(shí)俱進(jìn)，那么我們?cè)鯓硬拍茏龅讲粌H知道他們目前的行動(dòng)，而且還能知道其后續(xù)的行動(dòng)？如果一切都看似安然無恙，我們也沒有觀察到任何事件，這是否意味著一切都在控制之中？還是敵手們只是在翻新花樣？

　　為了幫助回答這些難題，我們推出了威脅追蹤—Threat Hunting。該持續(xù)性行動(dòng)的目標(biāo)是找到并消除已繞過防線但我們尚未檢測(cè)到的攻擊者。本質(zhì)上，這是一種思維的轉(zhuǎn)變。我們不再等待事件觸發(fā)警報(bào)后再對(duì)其進(jìn)行回應(yīng)，而是竭盡全力主動(dòng)探索，找出我們尚未發(fā)現(xiàn)的威脅。

　　正如思科最新發(fā)布的網(wǎng)絡(luò)安全報(bào)告系列《追蹤隱藏威脅：將威脅追蹤納入安全計(jì)劃》中所述，威脅追蹤是事件響應(yīng)人員武器庫中的又一有力工具。雖然不是一招致命的武器，但是，基于 30 年來我們自己積累的豐富威脅緩解經(jīng)驗(yàn)，我們認(rèn)為這是奠定安全基礎(chǔ)的重要組成部分。

　　保護(hù)您企業(yè)的數(shù)據(jù)免遭竊取或鎖定，或者避免您的企業(yè)因遭到入侵而登上新聞?lì)^條，這種能力對(duì)您而言有多大的價(jià)值？如果您能成功阻止哪怕一次攻擊，那么您投入到威脅追蹤的所有時(shí)間和資金都是值得的。

　　雖然威脅追蹤的最終目標(biāo)是在攻擊者造成損害之前找到并驅(qū)逐他們，但其還有許多其他優(yōu)勢(shì)，包括：

　　成功的威脅追蹤計(jì)劃有許多組成要素，但我們一再強(qiáng)調(diào)的包括數(shù)據(jù)訪問、多元化團(tuán)隊(duì)和正確的思維模式。

　　高質(zhì)量數(shù)據(jù)的重要性顯而易見，但您可能會(huì)驚訝地發(fā)現(xiàn)，訪問這些數(shù)據(jù)竟如此困難。為我們的客戶進(jìn)行威脅追蹤時(shí)，我們經(jīng)常發(fā)現(xiàn)缺少必要的數(shù)據(jù)，甚至在我們自己的環(huán)境中也是如此。

　　對(duì)于數(shù)據(jù)訪問問題，您需要跳出固定思維模式，而不是走進(jìn)死胡同。是否能夠以不同的方式看待問題？是否可以使用另一組網(wǎng)絡(luò)日志？同樣重要的是，您需要將此轉(zhuǎn)變?yōu)闄C(jī)遇，使得下次可以改進(jìn)成果，并且通過付出額外努力，與那些可以向您提供更優(yōu)質(zhì)數(shù)據(jù)的團(tuán)隊(duì)合作。

　　因此接下來我們要談到人員要素。人員要素涉及兩個(gè)方面，一方面是培養(yǎng)跨團(tuán)隊(duì)關(guān)系的重要性，尤其是那些受您的安全活動(dòng)影響的團(tuán)隊(duì)，例如網(wǎng)絡(luò)管理員和開發(fā)人員；另一方面是追蹤團(tuán)隊(duì)的成員。成功需要多樣化的思維。您需要招收具備創(chuàng)新思維、能以略微不同的方式看待世界的人才，而不是一根筋思維的人。我們從具有各種不同背景的人員（甚至是非技術(shù)人員）之中尋找追蹤者。

　　這也有助于您以正確的思維模式進(jìn)行追蹤。當(dāng)您日復(fù)一日地面對(duì)著熟悉的安全環(huán)境，尤其當(dāng)您還是該環(huán)境的設(shè)計(jì)者時(shí)，很難保持客觀。退后一步，問問自己可能缺失哪些東西，這并不容易。既負(fù)責(zé)追蹤設(shè)計(jì)又負(fù)責(zé)追蹤執(zhí)行的多元化團(tuán)隊(duì)會(huì)給您提供全新的視角。

　　除了合適的人員，您還需要合適的技術(shù)和流程。您可能已經(jīng)具備一個(gè)可以開始追蹤計(jì)劃的基礎(chǔ)，很可能您在自己未察覺的情況下，一直都在進(jìn)行威脅追蹤。如果您曾調(diào)查過攻擊，試圖了解所發(fā)生的情況，那么您所回答的一些問題以及執(zhí)行的一些步驟正是追蹤者所回答和執(zhí)行的。

　　然而，一個(gè)慎重計(jì)劃的開發(fā)確實(shí)需要時(shí)間。先從小步驟和簡單的策略性數(shù)據(jù)源開始，然后再一步步地構(gòu)建。不要犯馬上使用大量數(shù)據(jù)源的錯(cuò)誤，否則會(huì)遇到很多困難。您甚至不需要復(fù)雜的工具就能開始，因?yàn)槟�可以通過操作系統(tǒng)事件日志或您的系統(tǒng)管理員為故障排除目的而保留的日志中發(fā)現(xiàn)惡意行為。

　　最后的一點(diǎn)想法。有一種誤解認(rèn)為，只有規(guī)模較大的組織才可以實(shí)施威脅追蹤計(jì)劃。實(shí)際上，威脅發(fā)起者不關(guān)心組織的規(guī)模，而是尋找容易攻擊的目標(biāo)；規(guī)模較小的組織可以因預(yù)先防范這些威脅而至少同樣受益。如果您沒有內(nèi)部資源，可以將此工作外包給專家顧問。如果您已經(jīng)有一個(gè)付費(fèi)的外部 IR 團(tuán)隊(duì)，請(qǐng)開始討論主動(dòng)尋找攻擊者所需的資源。

　　為了讓用戶和合作伙伴更好地了解思科如何降低網(wǎng)絡(luò)安全復(fù)雜性并優(yōu)化運(yùn)營，思科將于 12 月 4 日上午 10:00~11:30 舉辦首屆思科安全在線技術(shù)峰會(huì)，通過在線網(wǎng)絡(luò)直播與用戶和合作伙伴分享思科協(xié)同、全面的安全解決方案，共同探索防火墻的未來、SD-WAN 和零信任技術(shù)。
　　長按識(shí)別或掃描上方二維碼

　　免費(fèi)報(bào)名首屆思科安全在線技術(shù)峰會(huì)

　　詳情查看：https://www.cisco.com/c/zh_cn/products/security/security-reports.html?dtid=osowct000775&ccid=cc000828&oid=wprsc019008 下載了解思科網(wǎng)絡(luò)安全報(bào)告系列《追蹤隱藏威脅：將威脅追蹤納入安全計(jì)劃》