记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

威胁猎人与安全分析师:相辅相成的安全二重奏

2018-10-15 18:45

孙子兵法:知己知彼,百战不殆。在安全领域,尤其是商业领域,如果能知道攻击者是谁、在什么时候、以何种方式、攻击自己的哪项业务,对企业而言,防御能力将事半功倍。因此,获取威胁情报的能力在企业的网络安全对抗中尤为重要。

以间谍对抗间谍活动,威胁猎人给企业安全团队带来了网络侦察、修复的主动意识,以保护企业的重要数据资产。

市场对威胁猎手求贤若渴

如果您有空的话,不妨去看看LinkedIn、Indeed等其他知名求职网站的职位列表,就会发现数百个威胁猎人的职位空缺,这是几年前是无法想象的。其中许多招聘方为大型银行、国际通信企业和国防承包商,这些大型企业机构的数据安全性至关重要,而其他中小型企业机构也同样如此。

2017年,美国SANS研究所的一份报告显示,越来越多的组织正在展开威胁搜寻计划,但大部分增长仅限于垂直市场,如金融服务、高科技、军事、政府和通信部门。截至2017年,威胁搜寻领域对于大多数IT安全组织来说仍然是新的概念。

威胁猎手,是指安全专业人员或托管服务提供商(MSP),通过手动或机器辅助技术来帮助个人或企业机构检测可能无法控制自动化系统的安全事件。威胁猎人的目的是发现组织本来无法发现的安全事件,为首席信息安全官(CISO)和首席信息官(CIO)提供额外的防御手段以应对高级持续威胁(APT)。

随着网络威胁的增长速度、规模和危害不断增加,企业越来越关注威胁攻击者以防造成重大损失,并为其倾注大量资源。然而,一幕幕场景仍不时发生:攻击活动发生之后很久才被内部安全团队发现,紧着被动进行损害弥补控制。这些场景的背后是客户、股东的利益损失,以及安全专业人员的沮丧和无力感。

为了逆转这种局面,市面上的许多公司正在雇佣威胁猎人与安全分析师一起建立可持续的防护体系——一方进行攻击、挖掘漏洞,另一方进行防御、保护资产和修补漏洞。

企业中的威胁猎人

企业中威胁猎人需要具备的素质或能力包括:威胁意识、批判思维、商务知识、沟通交流能力、创造力、团队合作能力。

威胁猎人首先是经验丰富的安全分析师。由于威胁猎人的首要职责是预见安全问题,因此拥有处理勒索敲诈、网络钓鱼和密码劫持方面的经验是至关重要的。优秀的威胁猎手,他们的职业生涯从安全分析师开始,他们密切关注网络安全信息和一些机构的研究成果,如政府资助的非营利性质的研发中心。

成功的威胁猎手还必须具备广泛的网络相关知识,以便将不同的信息点整合成全局视图。从黑客的攻击兴趣出发,威胁猎人能够提取武装起来,并在周边范围内探索内部网络,寻找其弱点和异常情况。

与黑客发起攻击的前期准备工作一样,威胁搜寻团队负责其网络的探索任务,他们主动探测特定的恶意软件入侵,保持对组织最敏感数据的持续防卫,并定期对网络中的这些区域进行巡视。久而久之,他们针对端点上的微妙变化产生了敏锐的第六感。

除了分析能力和技术专长,威胁猎人还需要具备其他技能,如说服沟通能力。他们经常要向利害关系方解释自己的假设,而那些利害关系方可能在网络攻击发生后仍困在处理网络攻击的思维中。这就是威胁猎人与网络安全分析师的一大不同之处,前者更倾向于入侵分析,数字取证,损害控制和修复。

今后的发展趋势

今天更加复杂的黑客是利益驱动的,而且在某些情况下,甚至还会有某些敌对政府出资支持。这种趋势仍会进一步复杂化,这意味着安全操作中心团队将更加关注特定的威胁搜寻。
此外,威胁猎人作为侦察者角色,他们需要编写规则来绘制和检测TTPs(战术,技术及作战程序),以识别其对手——即恶意攻击者。从恶作剧者到国家支持的恶意攻击者,威胁猎人可以通过不断改进其TTPs来发现新的问题。

组织需要以积极主动的姿态来对抗与日俱增的威胁活动。仅仅依靠捉襟见肘的事故反应小组进行事后处理已经远远无法解决问题了,威胁猎人通过间谍打击间谍活动,所谓知己知彼,百战不殆。

知识来源: www.mottoin.com/sole/view/116466.html

阅读:29077 | 评论:0 | 标签:技术控 观点

想收藏或者和大家分享这篇好文章→复制链接地址

“威胁猎人与安全分析师:相辅相成的安全二重奏”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词