信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“安全牛”。

隨著攻擊技術(shù)的演進(jìn)，網(wǎng)絡(luò)安全防御者也需要不斷升級(jí)企業(yè)的防御方案，將網(wǎng)絡(luò)安全建設(shè)從被動(dòng)防御轉(zhuǎn)換到主動(dòng)防御、積極反制的方向上來(lái)，主動(dòng)威脅搜索技術(shù)應(yīng)運(yùn)而生，并逐漸成為現(xiàn)代企業(yè)網(wǎng)絡(luò)安全防護(hù)計(jì)劃的重要組成部分。

主動(dòng)威脅搜索有別于目前企業(yè)中常見的SOC、IDS、滲透測(cè)試和安全掃描等安全防護(hù)方案，其主要由安全分析師利用多種威脅分析工具、威脅情報(bào)和實(shí)踐經(jīng)驗(yàn)來(lái)排查和尋找可疑的攻擊痕跡。主動(dòng)威脅搜索是一種更加積極的新一代安全防護(hù)策略，通過主動(dòng)尋找和調(diào)查網(wǎng)絡(luò)中的任何可疑行為，可以幫助安全人員比網(wǎng)絡(luò)攻擊者搶先一步采取行動(dòng)。

主動(dòng)威脅搜索的最佳實(shí)踐

如果能夠有效實(shí)現(xiàn)主動(dòng)威脅搜索，企業(yè)組織將會(huì)受益匪淺。以下是關(guān)于主動(dòng)威脅搜索的六個(gè)最佳實(shí)踐經(jīng)驗(yàn)，可以幫助企業(yè)更好地實(shí)現(xiàn)主動(dòng)威脅搜索。

01

充分了解企業(yè)的數(shù)字環(huán)境

如果要及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的威脅，一個(gè)基本的要求是要了解網(wǎng)絡(luò)正常時(shí)的狀態(tài)是什么樣子。安全分析師只有非常熟悉網(wǎng)絡(luò)的運(yùn)行情況，才能充分獲得這方面信息。例如，如果企業(yè)充分了解不同時(shí)間段進(jìn)入網(wǎng)絡(luò)的流量情況，就可以準(zhǔn)確識(shí)別出流量異常的情況，并對(duì)此展開進(jìn)一步調(diào)查，這樣就很可能會(huì)發(fā)現(xiàn)威脅。安全分析師還有必要了解各種網(wǎng)絡(luò)流量的來(lái)源和IP地址。如果突然發(fā)現(xiàn)從陌生來(lái)源的流量，應(yīng)及時(shí)驗(yàn)證這些來(lái)源的真實(shí)性和安全性。

02

緊密跟隨攻擊技術(shù)發(fā)展趨勢(shì)

今天的網(wǎng)絡(luò)攻擊者不會(huì)是孤軍奮戰(zhàn)，他們會(huì)經(jīng)常利用暗網(wǎng)平臺(tái)，相互交流探討最新的攻擊技術(shù)，并不斷設(shè)計(jì)出新的手法來(lái)實(shí)施網(wǎng)絡(luò)攻擊。對(duì)于安全防護(hù)者而言，如果能夠獲得攻擊者的第一手信息，將對(duì)防護(hù)新型攻擊大有助益。安全分析師需要尋找機(jī)會(huì)與這些黑客打交道，這樣就有機(jī)會(huì)了解他們的手法，并利用這些信息來(lái)加強(qiáng)防御。

03

從攻擊者的角度思考

身處企業(yè)網(wǎng)絡(luò)內(nèi)部的安全人員往往看不到外部黑客能看到的東西，特別是網(wǎng)絡(luò)系統(tǒng)中的漏洞和不足。從攻擊者的角度思考可以更快速了解企業(yè)在網(wǎng)絡(luò)防御方面的缺陷。企業(yè)如果要有效地開展威脅搜索活動(dòng)，需要定期開展網(wǎng)絡(luò)攻擊演練活動(dòng)，梳理企業(yè)的IT資產(chǎn)、尋找漏洞和攻擊路徑，以便更好地發(fā)現(xiàn)和應(yīng)對(duì)風(fēng)險(xiǎn)。通過實(shí)戰(zhàn)化的攻防演練，可以幫助企業(yè)積累寶貴的攻擊技能，其作用不僅僅在于主動(dòng)發(fā)現(xiàn)安全問題，對(duì)系統(tǒng)開發(fā)人員深入了解計(jì)算機(jī)系統(tǒng)也會(huì)大有幫助。

04

獲取全面的可見性

可見性是指對(duì)企業(yè)內(nèi)部及所覆蓋的整個(gè)網(wǎng)絡(luò)流量進(jìn)行收集、監(jiān)控、分析，發(fā)現(xiàn)惡意訪問、影子資產(chǎn)、異常流量。對(duì)網(wǎng)絡(luò)安全防護(hù)人員而言，網(wǎng)絡(luò)的可見性是安全防護(hù)的前提，因?yàn)樗麄儫o(wú)法保護(hù)不知道的東西。這通常意味著需要了解所有設(shè)備、用戶和應(yīng)用程序的行為和活動(dòng)，還包括它們之間發(fā)生的交互。部署應(yīng)用有效的網(wǎng)絡(luò)監(jiān)控工具可以全面地洞察網(wǎng)絡(luò)中的各種活動(dòng)，還可以提供反映系統(tǒng)安全運(yùn)營(yíng)情況的實(shí)時(shí)性報(bào)告。

05

利用新一代AI工具

如今，網(wǎng)絡(luò)犯罪分子正在積極使用機(jī)器學(xué)習(xí)、人工智能等新技術(shù)，更深入地了解其攻擊目標(biāo)的行為，并發(fā)動(dòng)更精準(zhǔn)的攻擊。因此，企業(yè)組織有必要利用同樣的技術(shù)，實(shí)施安全防護(hù)和威脅檢測(cè)，做到比網(wǎng)絡(luò)犯罪分子領(lǐng)先一步。基于AI的工具可以對(duì)海量數(shù)據(jù)進(jìn)行自動(dòng)化檢測(cè)，快速識(shí)別異常情況，并從錯(cuò)誤中學(xué)習(xí)。通過有效部署人工智能和機(jī)器學(xué)習(xí)工具，企業(yè)可以優(yōu)化現(xiàn)有的威脅搜索策略，提升主動(dòng)威脅搜索能力。

06

永遠(yuǎn)保持警惕

主動(dòng)威脅搜索并非一蹴而就的活動(dòng)。網(wǎng)絡(luò)犯罪分子在不斷尋找網(wǎng)絡(luò)中的漏洞，所以企業(yè)的威脅獵手須時(shí)刻保持警惕，才能及時(shí)發(fā)現(xiàn)并捕獲他們。網(wǎng)絡(luò)攻擊者會(huì)采取不同的策略來(lái)躲避檢測(cè)。網(wǎng)絡(luò)威脅分析師必須對(duì)所有活動(dòng)保持警惕，留意微小的細(xì)節(jié)，以識(shí)別可疑或惡意的攻擊途徑，忽略任何一些小細(xì)節(jié)都可能會(huì)導(dǎo)致企業(yè)遭受嚴(yán)重的網(wǎng)絡(luò)安全攻擊。

5個(gè)熱門威脅搜索工具

目前，市面上有一些熱門工具有助于企業(yè)主動(dòng)搜索威脅。這些工具提供了自動(dòng)化功能，可以減少安全人員的手動(dòng)工作，用戶只需要正確配置就可以快速使用。

01

Phishing Catcher

攻擊者通過網(wǎng)絡(luò)釣魚手段，誘騙疏于防范的受害者泄露敏感信息。這是一種常見的攻擊，這些黑客將他們偽造的網(wǎng)站、電子郵件和文本信息冒充為合法內(nèi)容。反釣魚威脅搜索工具Phishing Catcher可以近乎實(shí)時(shí)地將使用惡意傳輸層安全（TLS）證書的域名標(biāo)注出來(lái)，它使用了一種標(biāo)記語(yǔ)言（YAML）配置文件，為TLS證書域名中的字符串分配數(shù)字。

傳送門：

https://github.com/x0rz/phishing_catcher

02

CyberChef

CyberChef是一種可靠的安全威脅搜索軟件，可用于數(shù)據(jù)編碼、解碼、加密、解密和格式化。這個(gè)工具通過Web應(yīng)用部署，便于用戶使用，可以處理Base64或XOR之類的基本編碼，也可以處理高級(jí)加密標(biāo)準(zhǔn)（AES）和數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）之類的復(fù)雜編碼。

傳送門：https://gchq.github.io/CyberChef/

03

DNSTwist

DNSTwist主要監(jiān)控試圖訪問網(wǎng)絡(luò)域名的可疑行為細(xì)節(jié)，以識(shí)別惡意活動(dòng)或網(wǎng)絡(luò)攻擊，其算法能夠檢測(cè)異常，比如域名欺騙、品牌假冒和釣魚攻擊。一旦用戶在系統(tǒng)中輸入要訪問的域名，它會(huì)創(chuàng)建一個(gè)監(jiān)測(cè)列表，列出可能的域名變體，并檢查列表中是否有相關(guān)域名是活躍的。

傳送門：http://dnstwist.it/

04

YARA

YARA是一個(gè)針對(duì)惡意軟件的威脅搜索工具，可以對(duì)各個(gè)惡意軟件家族進(jìn)行分類。用戶只需編寫一組字符串以執(zhí)行指定的函數(shù)，就可以使用它。YARA可以與多種操作系統(tǒng)兼容。它還提供了一個(gè)Python擴(kuò)展，以便用戶創(chuàng)建自定義Python腳本。

傳送門：https://github.com/VirusTotal/yara

05

AttackerKB

AttackerKB是一個(gè)威脅搜索工具，可以用來(lái)檢測(cè)系統(tǒng)中的各種類型安全漏洞，并根據(jù)它生成的數(shù)據(jù)構(gòu)建主動(dòng)安全防御系統(tǒng)。AttackerKB的主要能力包括利用漏洞、技術(shù)分析和防御建議。用戶可以根據(jù)漏洞的影響來(lái)確定漏洞修補(bǔ)優(yōu)先級(jí)，以收到最大成效。

傳送門：https://attackerkb.com/