结构化： 这种类型的网络安全狩猎以攻击指标以及攻击者的战术、技术和程序（TTPs）为基础。利用 MITRE 敌人战术技术和常识（ATT&CK® ）框架，结构化狩猎使威胁猎手能够在恶意行为者对网络造成危害之前识别出他们。
非结构化： 根据触发器或入侵指标（IoC），威胁猎手使用非结构化猎杀，在发现触发器或 IoC 之前和之后，在整个网络中搜索任何明显的模式。
基于情景或威胁情报： 假设源于情景，例如在网络风险评估过程中发现的漏洞。借助最新的威胁情报，威胁猎手在分析网络时，可以参考有关网络攻击趋势或攻击者 TTP 的内部或众包数据。

在所有这三种调查类型中，威胁猎手会通过事件搜索预期或授权事件之外的异常、弱点或可疑活动。如果发现任何安全漏洞或异常活动，猎人就可以在网络攻击发生或再次发生之前对网络进行修补。

猎取网络威胁的四个步骤

要有效启动网络威胁猎杀计划，安全人员应遵循以下四个步骤：

提出假设： 威胁猎手应根据组织基础设施中可能存在的风险或漏洞、当前的威胁情报或攻击者 TTP，或可疑活动或偏离标准基线活动的触发因素提出假设。他们还可以利用自己的知识、经验和创造性地解决问题的技能来建立威胁假设，并决定对其进行测试的路径。
开始调查：在调查过程中，威胁猎手可以利用从 SIEM、MDR 和用户实体行为分析等威胁猎取解决方案中获取的复杂历史数据集。调查工作将继续推进，直到确认假设并发现异常，或发现假设是良性的。
发现新模式： 发现异常或恶意活动时，下一步就是部署快速高效的应对措施。这可能包括禁用用户、阻止 IP 地址、实施安全补丁、更改网络配置、更新授权权限或引入新的身份识别要求。在您的安全团队积极主动地解决网络威胁的过程中，他们将从本质上了解威胁行为者的 TTP 以及未来如何减轻这些威胁。
响应、丰富和自动化：猎杀威胁的工作永无止境，因为网络犯罪分子一直在进步并制造新的网络威胁。网络威胁猎取应成为企业内部的日常工作，与自动威胁检测技术和安全团队当前的威胁识别和修复流程一起运行。

猎取网络威胁的首要挑战是什么？

由于网络威胁猎杀采取的是一种积极主动、亲力亲为的威胁检测和修复方法，一些组织在实施这种安全实践时面临着巨大的挑战。网络威胁猎杀计划要想取得成功，组织必须具备三个关键要素，它们必须协调工作：

专家级威胁猎手：网络威胁猎杀所涉及的人力资本可以说是最关键的组成部分。威胁猎手必须是威胁领域的专家，能够迅速识别复杂攻击的警告信号。
全面的数据：要正确寻找威胁，猎人必须能够访问大量数据（包括当前数据和历史数据），从而提供整个基础设施的可见性。如果没有这些汇总数据，威胁猎手就无法根据您的端点、网络或云基础架构创建明智的威胁假设。
最新威胁情报：威胁猎手必须配备最新的威胁情报，使他们能够将当前的网络攻击趋势与内部数据进行比较。如果不知道存在哪些新威胁或趋势威胁，威胁猎手就无法获得必要的信息来正确分析潜在的网络威胁。

部署所有这三个组成部分并确保其无缝协作需要许多组织资源。遗憾的是，一些安全团队无法获得合适的工具、人员或信息，来建立一个全面的网络威胁猎杀计划。

了解 OpenText Cybersecurity 的托管网络威胁狩猎功能

要成功保护组织的基础设施，需要采取积极主动的方法，而不是被动应对。仅凭自动威胁检测技术就能保护机密数据或信息的时代已经一去不复返了。相反，您的安全团队必须实施一项持续的网络威胁猎杀计划，使他们能够在外部攻击者或内部威胁造成破坏之前，提出有根据的假设并准确定位网络异常、风险或可疑活动。

您是否正在寻找无需投资软件和资源就能提供网络威胁猎杀服务的托管服务？OpenText™ 安全服务提供时间点威胁搜索和基于订阅的服务，以执行基于情景、非结构化和结构化的威胁，并识别异常、弱点和可疑活动。结合我们在风险与合规性、数字取证和事件响应方面的专业知识，我们的客户相信 OpenText 能够提高他们的网络复原力。

猎取网络威胁

立即开始

申请演示