Sean Mason，思科安全事件響應服務總監(jiān)

　　Jeff Bollinger，思科安全事件響應團隊 （CSIRT） 調查經理

　　作為不斷查找惡意威脅的安全從業(yè)人員，我們經常被問到的其中一個問題是：未來會面臨什么樣的威脅？威脅發(fā)起者往往與時俱進，那么我們怎樣才能做到不僅知道他們目前的行動，而且還能知道其后續(xù)的行動？如果一切都看似安然無恙，我們也沒有觀察到任何事件，這是否意味著一切都在控制之中？還是敵手們只是在翻新花樣？

　　為了幫助回答這些難題，我們推出了威脅追蹤—Threat Hunting。該持續(xù)性行動的目標是找到并消除已繞過防線但我們尚未檢測到的攻擊者。本質上，這是一種思維的轉變。我們不再等待事件觸發(fā)警報后再對其進行回應，而是竭盡全力主動探索，找出我們尚未發(fā)現的威脅。

　　正如思科最新發(fā)布的網絡安全報告系列《追蹤隱藏威脅：將威脅追蹤納入安全計劃》中所述，威脅追蹤是事件響應人員武器庫中的又一有力工具。雖然不是一招致命的武器，但是，基于 30 年來我們自己積累的豐富威脅緩解經驗，我們認為這是奠定安全基礎的重要組成部分。

　　保護您企業(yè)的數據免遭竊取或鎖定，或者避免您的企業(yè)因遭到入侵而登上新聞頭條，這種能力對您而言有多大的價值？如果您能成功阻止哪怕一次攻擊，那么您投入到威脅追蹤的所有時間和資金都是值得的。

　　雖然威脅追蹤的最終目標是在攻擊者造成損害之前找到并驅逐他們，但其還有許多其他優(yōu)勢，包括：

　　成功的威脅追蹤計劃有許多組成要素，但我們一再強調的包括數據訪問、多元化團隊和正確的思維模式。

　　高質量數據的重要性顯而易見，但您可能會驚訝地發(fā)現，訪問這些數據竟如此困難。為我們的客戶進行威脅追蹤時，我們經常發(fā)現缺少必要的數據，甚至在我們自己的環(huán)境中也是如此。

　　對于數據訪問問題，您需要跳出固定思維模式，而不是走進死胡同。是否能夠以不同的方式看待問題？是否可以使用另一組網絡日志？同樣重要的是，您需要將此轉變?yōu)闄C遇，使得下次可以改進成果，并且通過付出額外努力，與那些可以向您提供更優(yōu)質數據的團隊合作。

　　因此接下來我們要談到人員要素。人員要素涉及兩個方面，一方面是培養(yǎng)跨團隊關系的重要性，尤其是那些受您的安全活動影響的團隊，例如網絡管理員和開發(fā)人員；另一方面是追蹤團隊的成員。成功需要多樣化的思維。您需要招收具備創(chuàng)新思維、能以略微不同的方式看待世界的人才，而不是一根筋思維的人。我們從具有各種不同背景的人員（甚至是非技術人員）之中尋找追蹤者。

　　這也有助于您以正確的思維模式進行追蹤。當您日復一日地面對著熟悉的安全環(huán)境，尤其當您還是該環(huán)境的設計者時，很難保持客觀。退后一步，問問自己可能缺失哪些東西，這并不容易。既負責追蹤設計又負責追蹤執(zhí)行的多元化團隊會給您提供全新的視角。

　　除了合適的人員，您還需要合適的技術和流程。您可能已經具備一個可以開始追蹤計劃的基礎，很可能您在自己未察覺的情況下，一直都在進行威脅追蹤。如果您曾調查過攻擊，試圖了解所發(fā)生的情況，那么您所回答的一些問題以及執(zhí)行的一些步驟正是追蹤者所回答和執(zhí)行的。

　　然而，一個慎重計劃的開發(fā)確實需要時間。先從小步驟和簡單的策略性數據源開始，然后再一步步地構建。不要犯馬上使用大量數據源的錯誤，否則會遇到很多困難。您甚至不需要復雜的工具就能開始，因為您可以通過操作系統事件日志或您的系統管理員為故障排除目的而保留的日志中發(fā)現惡意行為。

　　最后的一點想法。有一種誤解認為，只有規(guī)模較大的組織才可以實施威脅追蹤計劃。實際上，威脅發(fā)起者不關心組織的規(guī)模，而是尋找容易攻擊的目標；規(guī)模較小的組織可以因預先防范這些威脅而至少同樣受益。如果您沒有內部資源，可以將此工作外包給專家顧問。如果您已經有一個付費的外部 IR 團隊，請開始討論主動尋找攻擊者所需的資源。

　　為了讓用戶和合作伙伴更好地了解思科如何降低網絡安全復雜性并優(yōu)化運營，思科將于 12 月 4 日上午 10:00~11:30 舉辦首屆思科安全在線技術峰會，通過在線網絡直播與用戶和合作伙伴分享思科協同、全面的安全解決方案，共同探索防火墻的未來、SD-WAN 和零信任技術。
　　長按識別或掃描上方二維碼

　　免費報名首屆思科安全在線技術峰會

　　詳情查看：https://www.cisco.com/c/zh_cn/products/security/security-reports.html?dtid=osowct000775&ccid=cc000828&oid=wprsc019008 下載了解思科網絡安全報告系列《追蹤隱藏威脅：將威脅追蹤納入安全計劃》