網(wǎng)絡(luò)“狩獵”是企業(yè)安全的重要組成部分，本文中專(zhuān)家Eric Cole介紹了它可如何幫助企業(yè)阻止攻擊。

對(duì)于遭受攻擊的企業(yè)，主要有以下說(shuō)法：“這里有兩種類(lèi)型的企業(yè)，那些知道他們受到攻擊的企業(yè)以及還不知道自己受到攻擊的企業(yè)。”

[[148459]]

真的是這樣嗎?另外還有一個(gè)更相關(guān)的說(shuō)法：“這里有兩種類(lèi)型的企業(yè)，那些發(fā)現(xiàn)和檢測(cè)攻擊的企業(yè)以及持觀(guān)望態(tài)度無(wú)視問(wèn)題的企業(yè)。”如果沒(méi)有可操作的步驟(例如部署最低風(fēng)險(xiǎn)評(píng)估或采用攻擊性對(duì)策)，安全并沒(méi)有什么用。底線(xiàn)是：對(duì)于企業(yè)而言，積極的網(wǎng)絡(luò)“狩獵”(即積極尋找企業(yè)中的攻擊跡象)必須是企業(yè)安全計(jì)劃的一部分，因?yàn)樗侨魏畏烙?jì)劃的關(guān)鍵部分，如果不是的話(huà)，應(yīng)該將其涵蓋進(jìn)來(lái)。

信息安全的核心原則主要圍繞這個(gè)概念：“防御是應(yīng)該做的工作，但檢測(cè)是必須做的工作。”在大多數(shù)企業(yè)中，防御一直是過(guò)去幾年的主要重點(diǎn)，這并沒(méi)有問(wèn)題，但現(xiàn)在是時(shí)候把重點(diǎn)放在檢測(cè)，其中應(yīng)將網(wǎng)絡(luò)“狩獵”作為解決方案的關(guān)鍵組件。

在“狩獵”中，以下兩個(gè)關(guān)鍵指標(biāo)可用來(lái)衡量成功：

攻擊時(shí)間：關(guān)注企業(yè)受到攻擊的時(shí)間長(zhǎng)度。在短期內(nèi)受到攻擊是可接受的;但遭受攻擊超過(guò)一年是不可接受的。由于很多攻擊非常隱蔽，可能躲避傳統(tǒng)的安全措施，而“狩獵”是發(fā)現(xiàn)攻擊者以及減少整體攻擊時(shí)間的重要組成部分。

橫向移動(dòng)：關(guān)注攻擊者造成的損害程度。通常情況下，當(dāng)攻擊者入侵企業(yè)時(shí)，他們并不是瞄準(zhǔn)包含信息的系統(tǒng)。他們必須建立一個(gè)支點(diǎn)，然后慢慢更深入網(wǎng)絡(luò)，直到找到他們所需要的關(guān)鍵信息。他們?cè)诰W(wǎng)絡(luò)中的這種活動(dòng)被稱(chēng)為橫向移動(dòng)。“狩獵”可在攻擊者入侵后找到攻擊者，但是這是在他們感染關(guān)鍵數(shù)據(jù)之前。通過(guò)中斷橫向運(yùn)動(dòng)，企業(yè)可以了解損害程度以及最小化攻擊的整體影響。

網(wǎng)絡(luò)“狩獵”面臨的問(wèn)題是企業(yè)應(yīng)該關(guān)注它并采取行動(dòng)。很多企業(yè)感到受挫，因?yàn)樵诖笮推髽I(yè)中的“狩獵”相當(dāng)于在海邊丟了戒指，并試圖第二天回去找到它，攻擊面太大。對(duì)此，企業(yè)可通過(guò)威脅情報(bào)了解攻擊者如何工作，以及專(zhuān)注于關(guān)鍵資產(chǎn)，“狩獵”是可管理的任務(wù)。下面是把“狩獵”付諸行動(dòng)的工作清單：

• 確定你企業(yè)中最重要的數(shù)據(jù)或信息;

• 確定哪些業(yè)務(wù)流程在使用或訪(fǎng)問(wèn)這些信息;

• 確定所有支持關(guān)鍵業(yè)務(wù)流程的系統(tǒng)和網(wǎng)絡(luò);

• 獲取進(jìn)行適當(dāng)“狩獵”所需關(guān)聯(lián)和分析的工具;

• 收集有關(guān)流向關(guān)鍵系統(tǒng)/網(wǎng)絡(luò)的流量信息;

• 收集有關(guān)服務(wù)器運(yùn)作的信息;

• 利用威脅情報(bào)來(lái)了解企業(yè)面臨的威脅和風(fēng)險(xiǎn);

• 利用工具開(kāi)始對(duì)正常行為和攻擊行為執(zhí)行自動(dòng)分析;

• 對(duì)工具輸出執(zhí)行過(guò)濾;

• 對(duì)高風(fēng)險(xiǎn)警報(bào)適當(dāng)?shù)刈龀鲰憫?yīng)。

構(gòu)建有效的網(wǎng)絡(luò)防御計(jì)劃是企業(yè)和攻擊者之間一場(chǎng)持久戰(zhàn)。隨著攻擊者不斷發(fā)展，安全必須也不斷改進(jìn)來(lái)應(yīng)對(duì)瞬息萬(wàn)變的威脅載體?，F(xiàn)在，下一級(jí)安全性主要圍繞控制攻擊造成的損害程度。筆者喜歡用的比喻是，生病沒(méi)有問(wèn)題，但沒(méi)有必要放在重癥監(jiān)護(hù)病房(ICU)。這里區(qū)別在于當(dāng)問(wèn)題發(fā)生時(shí)你如何響應(yīng)問(wèn)題。很多企業(yè)在發(fā)現(xiàn)自己成為新聞?lì)^條時(shí)感到很難堪;這相當(dāng)于網(wǎng)絡(luò)ICU。但通過(guò)專(zhuān)注于發(fā)現(xiàn)、控制和減少攻擊者的影響，數(shù)據(jù)泄露會(huì)是小問(wèn)題，而不會(huì)讓企業(yè)成為頭條新聞。