威胁搜寻涉及隔离异常值、对其进行分析和分类以及采取必要的措施。特征码工具、规则、预定义算法和威胁情报在检测到来自未知威胁参与者的未知攻击时失败。未检测到的攻击者可以隐藏在网络中。将AI和ML与威胁猎人集成的NDR解决方案有助于发现安全解决方案经常遗漏的威胁。这包括异常和异常值、已知和持续威胁、隐藏威胁和未知威胁。
混淆战术:许多威胁组织正不遗余力地隐藏他们的意图。常见的混淆策略包括使用专用代码来代替目标名称和/或攻击类型,以及定期更改个人代号等。
检测和响应层面,可靠的EDR能够和安全团队形成强大合力。利用EDR解决方案,安全运营中心犹如拥有了一双透视威胁的火眼金睛,精准定位隐藏在设备中的恶意攻击。
借助态势感知平台的日志数据、镜像数据等进行大数据分析可发现隐藏在海量数据中的网络异常行为,分析潜藏的高危攻击行为和未知威胁,获取更具价值的威胁情报。
搞清楚威胁是什么:通常需要上机调查,翻看系统日志,从告警信息出发,一层一层寻找告警相关的信息。然后将这些信息关联起来,还原攻击过程;弄明白威胁在做什么:要解答这个问题,需要安全人员具备十分专业的知识和丰富的经验,尤其是面对隐藏能力高的威胁样本时,使用多种工具是常态,甚至还要分析恶意样本代码;确定威胁影响范围:这要求安全人员对企业资产了如指掌,不仅包括CMDB,还需要掌握一定的攻击面信息,以便在短时间内确定失陷主机的使用者、所属部门等信息。