Sean Mason，思科安全事件響應服務總監(jiān)

　　Jeff Bollinger，思科安全事件響應團隊 （CSIRT） 調(diào)查經(jīng)理

　　作為不斷查找惡意威脅的安全從業(yè)人員，我們經(jīng)常被問到的其中一個問題是：未來會面臨什么樣的威脅？威脅發(fā)起者往往與時俱進，那么我們怎樣才能做到不僅知道他們目前的行動，而且還能知道其后續(xù)的行動？如果一切都看似安然無恙，我們也沒有觀察到任何事件，這是否意味著一切都在控制之中？還是敵手們只是在翻新花樣？

　　為了幫助回答這些難題，我們推出了威脅追蹤—Threat Hunting。該持續(xù)性行動的目標是找到并消除已繞過防線但我們尚未檢測到的攻擊者。本質(zhì)上，這是一種思維的轉(zhuǎn)變。我們不再等待事件觸發(fā)警報后再對其進行回應，而是竭盡全力主動探索，找出我們尚未發(fā)現(xiàn)的威脅。

　　正如思科最新發(fā)布的網(wǎng)絡安全報告系列《追蹤隱藏威脅：將威脅追蹤納入安全計劃》中所述，威脅追蹤是事件響應人員武器庫中的又一有力工具。雖然不是一招致命的武器，但是，基于 30 年來我們自己積累的豐富威脅緩解經(jīng)驗，我們認為這是奠定安全基礎的重要組成部分。

　　保護您企業(yè)的數(shù)據(jù)免遭竊取或鎖定，或者避免您的企業(yè)因遭到入侵而登上新聞頭條，這種能力對您而言有多大的價值？如果您能成功阻止哪怕一次攻擊，那么您投入到威脅追蹤的所有時間和資金都是值得的。

　　雖然威脅追蹤的最終目標是在攻擊者造成損害之前找到并驅(qū)逐他們，但其還有許多其他優(yōu)勢，包括：

　　成功的威脅追蹤計劃有許多組成要素，但我們一再強調(diào)的包括數(shù)據(jù)訪問、多元化團隊和正確的思維模式。

　　高質(zhì)量數(shù)據(jù)的重要性顯而易見，但您可能會驚訝地發(fā)現(xiàn)，訪問這些數(shù)據(jù)竟如此困難。為我們的客戶進行威脅追蹤時，我們經(jīng)常發(fā)現(xiàn)缺少必要的數(shù)據(jù)，甚至在我們自己的環(huán)境中也是如此。

　　對于數(shù)據(jù)訪問問題，您需要跳出固定思維模式，而不是走進死胡同。是否能夠以不同的方式看待問題？是否可以使用另一組網(wǎng)絡日志？同樣重要的是，您需要將此轉(zhuǎn)變?yōu)闄C遇，使得下次可以改進成果，并且通過付出額外努力，與那些可以向您提供更優(yōu)質(zhì)數(shù)據(jù)的團隊合作。

　　因此接下來我們要談到人員要素。人員要素涉及兩個方面，一方面是培養(yǎng)跨團隊關(guān)系的重要性，尤其是那些受您的安全活動影響的團隊，例如網(wǎng)絡管理員和開發(fā)人員；另一方面是追蹤團隊的成員。成功需要多樣化的思維。您需要招收具備創(chuàng)新思維、能以略微不同的方式看待世界的人才，而不是一根筋思維的人。我們從具有各種不同背景的人員（甚至是非技術(shù)人員）之中尋找追蹤者。

　　這也有助于您以正確的思維模式進行追蹤。當您日復一日地面對著熟悉的安全環(huán)境，尤其當您還是該環(huán)境的設計者時，很難保持客觀。退后一步，問問自己可能缺失哪些東西，這并不容易。既負責追蹤設計又負責追蹤執(zhí)行的多元化團隊會給您提供全新的視角。

　　除了合適的人員，您還需要合適的技術(shù)和流程。您可能已經(jīng)具備一個可以開始追蹤計劃的基礎，很可能您在自己未察覺的情況下，一直都在進行威脅追蹤。如果您曾調(diào)查過攻擊，試圖了解所發(fā)生的情況，那么您所回答的一些問題以及執(zhí)行的一些步驟正是追蹤者所回答和執(zhí)行的。

　　然而，一個慎重計劃的開發(fā)確實需要時間。先從小步驟和簡單的策略性數(shù)據(jù)源開始，然后再一步步地構(gòu)建。不要犯馬上使用大量數(shù)據(jù)源的錯誤，否則會遇到很多困難。您甚至不需要復雜的工具就能開始，因為您可以通過操作系統(tǒng)事件日志或您的系統(tǒng)管理員為故障排除目的而保留的日志中發(fā)現(xiàn)惡意行為。

　　最后的一點想法。有一種誤解認為，只有規(guī)模較大的組織才可以實施威脅追蹤計劃。實際上，威脅發(fā)起者不關(guān)心組織的規(guī)模，而是尋找容易攻擊的目標；規(guī)模較小的組織可以因預先防范這些威脅而至少同樣受益。如果您沒有內(nèi)部資源，可以將此工作外包給專家顧問。如果您已經(jīng)有一個付費的外部 IR 團隊，請開始討論主動尋找攻擊者所需的資源。

　　為了讓用戶和合作伙伴更好地了解思科如何降低網(wǎng)絡安全復雜性并優(yōu)化運營，思科將于 12 月 4 日上午 10:00~11:30 舉辦首屆思科安全在線技術(shù)峰會，通過在線網(wǎng)絡直播與用戶和合作伙伴分享思科協(xié)同、全面的安全解決方案，共同探索防火墻的未來、SD-WAN 和零信任技術(shù)。
　　長按識別或掃描上方二維碼

　　免費報名首屆思科安全在線技術(shù)峰會

　　詳情查看：https://www.cisco.com/c/zh_cn/products/security/security-reports.html?dtid=osowct000775&ccid=cc000828&oid=wprsc019008 下載了解思科網(wǎng)絡安全報告系列《追蹤隱藏威脅：將威脅追蹤納入安全計劃》