防止網絡攻擊的10個技巧

網絡攻擊天天都在增長，其頻率和複雜程度也在增長; 更糟糕的是，它們常常繞過組織現有的保護控制。所以，除了其餘安全層(如防病毒程序和防火牆)以外，組織還必須部署主動的威脅搜索活動，以便儘早檢測並修復威脅，以減輕損害。開始攻擊威脅計劃的公司在成功時會有所成功，但他們是否可以實現這一目標?

不幸的是，沒有任何組織能夠要求100%的安全性，許多人不得不承受臭名昭着的數據泄露和數百萬美圓的損失。根據2018年的威脅狩獵報告，44%的受訪者估計未被發現的數據泄露的財務影響超過50萬美圓。

在本文中，咱們將向您介紹有效威脅搜尋的10個技巧，這些技巧將幫助您的組織更好地應對麻煩的網絡攻擊並避免合規性問題和財務損失。

1. 瞭解你的環境

威脅搜尋旨在發現異常活動，不然可能會對您的公司形成嚴重損害。瞭解您環境中的正常活動是理解非正常活動的先決條件。若是您瞭解正常的操做活動，那麼任何異常都應該突出並注意到。

所以，獵人應該花費大量時間來了解他們環境中的正常和平常事件。此外，分析師必須瞭解包括系統，應用程序和網絡在內的完總體系結構，以便他們可以發現可能爲攻擊者提供機會的弱點和漏洞。

此外，與IT內外的關鍵人員創建關係相當重要。事實上，這些人能夠幫助威脅獵人區分異常活動和正常活動。例如，威脅獵手發現的每一個問題並不老是攻擊。相反，它可能只是一種不安全的作法。爲了改善組織的安全態勢，威脅獵人必須充當有效的「變革推進者」，若是沒有與他人的信任關係，這是不可能的。

2. 想象一下你是一個攻擊者

一個好的威脅搜尋練習要求威脅獵人像攻擊者同樣思考。一般狀況下，威脅獵手的任務是主動追擊對手，並結束入侵的可能性。可是，若是發生了攻擊，他們須要減輕其影響以減小傷害。可是，老是尋找入侵的跡象並非一個很好的方法。相反，威脅獵手應該努力預測攻擊者的下一步行動。

一旦威脅獵人知道攻擊者可能會作什麼，他們應該設置一些觸發器，一旦攻擊者執行此移動就應該觸發。CB Response等工具可用於肯定攻擊者的行動。

請記住：沒有任何組織老是擁有完美且難以理解的安全措施，並且攻擊者如今使用很是複雜的技術來繞過公司的監控工具和大多數安全措施。所以，威脅獵人應該超越對手的指望，以防止攻擊成爲主要的噩夢。

3. 制定OODA戰略

OODA是Observe，Orient，Decide和Act的縮寫。軍事人員在進行戰鬥行動時應用OODA。一樣，威脅獵人在網絡戰期間使用OODA。在威脅搜尋的背景下，OODA的工做原理以下：

觀察：第一階段涉及從端點進行常規數據收集
Orient：完全瞭解收集的數據，並將此信息與其餘收集的信息相結合，以幫助理解其含義。以後，分析是否發生了對流量的命令和控制(C&C)的標誌或檢測到任何攻擊跡象
決定：一旦分析了信息，就須要肯定行動方案。若是事件發生，威脅獵手將執行事件響應策略
行動：最後階段涉及執行計劃以結束入侵併加強公司的安全態勢。採起進一步措施以防止未來發生同類型的攻擊
4. 使用足夠的資源

威脅狩獵被認爲是當今最好的安全解決方案之一。可是，投入足夠的資源，包括人員，系統和工具，對於有效地進行威脅搜尋是不可或缺的。

人員是指威脅獵手，他們必須具有操做系統(OS)和子系統的深刻知識，例如應用程序服務器，Web服務器，數據庫服務器，數據庫管理系統，更重要的是網絡，Wi-Fi系統和Internet共。瞭解CB響應工具也頗有幫助。

5. 保護全部端點

端點安全是客戶端/服務器信息安全方法，用於經過監視端點(網絡設備)，其活動，軟件，身份驗證和受權來保護公司的網絡。保護全部端點相當重要，由於疏忽可能會給對手留下空白點。一般，除了位於每一個端點上的客戶端安全軟件以外，還經過安裝在網絡中集中管理的服務器或網關上的安全軟件來確保端點安全性。

僅使用防病毒程序沒法阻止高級持久性威脅(APT)。所以，組織也應該部署端點保護解決方案，例如CB Response或Comodo端點保護軟件。

6. 網絡可見性是關鍵

除了在全部端點上部署威脅搜索工具以外，還必須深刻了解網絡環境中的攻擊模式和活動。您能夠經過使用容許您具備網絡可見性的其餘工具來實現此目的。

在您設置高級端點工具時，還應使用入侵檢測系統(IDS)，入侵防護系統(IPS)，NetFlow，Web過濾器，防火牆和數據丟失防禦系統(DLP)等工具。經過這種方式，您能夠驗證攻擊並收集有關可能表示違規的異常流量模式的寶貴知識。

7. 注意威脅狩獵的人性

威脅搜尋的一個關鍵部分是與公司的主要IT人員進行有效和高效的溝通。這意味着威脅獵人應該以不一樣的方式與端點工程師，應用程序開發人員，服務檯和系統工程師協同工做。威脅獵人實際上須要與他們進行有效溝通，以便了解關鍵系統和應用程序的操做。在搜索敵人時，獵人會發現網絡，系統和應用程序的設計和實施中的漏洞。

威脅獵手和關鍵IT人員之間的信任關係是不可或缺的。最重要的是，在響應事件時，您須要他們的協做。只有經過確保相互信任，您纔可以在環境中的弱點和漏洞面前一塊兒正確診斷惡意活動並執行補救。

8. 記錄你的狩獵記錄

優秀的威脅獵手不只試圖遏制或消除惡意入侵，還記錄他們在IT環境中執行的每一次威脅搜索。您不只須要詳細說明每一個案例的技術信息，更重要的是，您須要記錄與公司相關的業務知識，例如，尋找緣由。

但若是沒有合理收集數據，好的文檔就不值得。必須選擇一種能夠幫助您組織威脅搜尋活動的工具，以便在您懷疑反覆入侵併與其餘方分享知識時從新審視您的步驟。可用於組織數據的工具可能包括報告工具，分析工具甚至Microsoft Excel。

9. 保持刀鋒鋒利

即便最好的武器也會生鏽，除非它獲得照顧。爲了有效地開展工做，威脅獵人須要作好準備，並始終對可疑活動保持警戒。因爲網絡犯罪分子正在尋找數十種新方法來滲透安全系統，所以威脅獵手須要不斷學習和發展他們的技能，以便讓本身可以應對挑戰。

每一個職業威脅獵人都必須花時間接受技術培訓

10. 及時瞭解現代攻擊趨勢

在不斷髮展的技術世界中，威脅行爲者天天都在開發新的攻擊。網絡犯罪分子具備創造性，他們正在利用這種創造力不斷髮明新的犯罪方法。威脅獵人須要跟上不斷變化的網絡攻擊格局。

在不久的未來，他們將會爲他們作不少工做。根據Alert Logic 2018年的威脅搜索報告，安全專家將55%的高級威脅檢測做爲其安全運營中心(SOC)的首要挑戰。此外，43%的安保人員缺少足夠的技能來緩解這些威脅。此外，36%的自動化工具嚴重缺少威脅性能力。爲了防止入侵，威脅獵人必須本身掌握現代威脅形勢和犯罪分子發現進行攻擊的複雜技術。