托管威胁猎杀(MTH):传统网络安全的下一步
2023-5-13 12:0:0 Author: www.4hou.com(查看原文) 阅读量:27 收藏

导语:一文了解MTH!

随着世界变得越来越数字化,网络安全威胁不断演变,变得日趋复杂。传统的网络安全措施已不足以保护组织免受恶意攻击。这就是托管威胁猎杀(Managed Threat Hunting)的用武之地。这一种主动的方法,包括在潜在威胁造成任何损害之前主动搜索潜在威胁。但它真的比传统网络安全更好吗?

什么是托管威胁猎杀?

在网络安全领域,托管威胁猎杀还是一个相对较新的概念。托管威胁猎杀是一项由第三方提供的服务,用于主动搜索组织环境中的威胁。这与传统的网络安全方法形成鲜明对比,传统的网络安全方法侧重于响应性措施,例如响应警报或事件。而猎杀工作结合了人类智慧和尖端技术,这使得搜索比传统方法更全面。

托管威胁猎杀可以通过采取主动的安全方法为组织提供安心。这意味着组织可以确信他们正在尽一切可能保护他们的系统和数据免受网络威胁。最重要的是,托管威胁猎杀可以节省组织的时间和金钱。这是因为它可以在威胁造成损害之前及时识别和缓解威胁,从而帮助避免代价高昂的破坏。

如果您的组织正在考虑转向托管威胁猎杀方法,那么请牢记以下几点:首先,确保与信誉良好且经验丰富的供应商合作;其次,在选择提供商时考虑组织的特定需求;最后,准备好投入时间和资源来实现转变。

托管威胁猎杀运行原理

托管威胁猎杀过程将先进技术与人类专业知识相结合,以检测、调查和缓解潜在威胁。这个过程主要依靠以下四个步骤:

计划——在这个阶段,托管威胁猎杀团队与组织合作,确定需要保护的资产和他们可能面临的潜在威胁。他们还会确定将用于检测、调查和缓解威胁的工具和技术。

检测——在这个阶段,团队使用先进的威胁检测工具和技术来监控组织的网络和系统,以发现可疑活动。用于识别潜在威胁的方法多种多样,包括行为分析、基于人工智能的检测和异常检测。

调查——为了确定威胁的程度以及对组织的潜在影响,一旦检测到威胁,托管威胁猎杀团队就会对事件进行调查。该团队使用内存和磁盘分析、网络取证和恶意软件分析等技术来收集数据和证据。

响应——托管威胁猎杀团队会采取必要的步骤来缓解威胁,例如隔离受影响的系统、删除恶意软件和打补丁。

何为传统网络安全?

传统的网络安全是一种预防性/响应性的安全方法,依靠防火墙和入侵检测系统等外围防御来阻止攻击者。这种方法有其优点,但也有其局限性。首先,它假定攻击者总是试图从外部进入。但在现实中,许多攻击来自内部人员或已经绕过外围防御的受损账户。传统的网络安全还严重依赖基于签名的检测,这意味着它只能检测到已知的威胁。但是,新的威胁不断涌现,传统的网络安全根本无法跟上。

此外,传统的网络安全可以说是被动的,而非主动的。它可能需要几周甚至几个月的时间来检测攻击,然后进行响应。相比之下,托管威胁猎杀是一种主动搜索攻击迹象的方法。这意味着它可以更快地检测到攻击,并做出更有效的反应。

MTH与传统网络安全的利弊

那么,托管威胁猎杀与传统网络安全究竟哪个更胜一筹呢?

托管威胁猎杀和传统网络安全之间存在一些关键的区别,这些区别可以改变组织的安全态势。下面总结了一些优缺点,以帮助您决定哪种方法更适合您的组织:

托管威胁猎杀

优点: 

能够获得专家帮助,以识别和修复可能绕过当前安全措施的复杂威胁;

托管威胁猎杀服务可以释放组织的内部资源,以便他们可以专注于其他更高价值的任务;

这些服务提供全面的全天候覆盖,并可快速扩展以满足不断变化的需求。

缺点:

可能会很昂贵,特别是对于较小的组织而言;

需要与外部共享敏感数据;

可能需要更改组织的网络基础结构。

传统网络安全

优点: 

更大程度地控制组织的安全状态;

内部团队通常更熟悉组织的具体需求和目标;

比托管服务更便宜。

缺点:

占用了本可以用在其他任务上的宝贵时间和资源;

可能不具备与专用托管服务提供商相同的专业水平;

组织自身要全权负责识别和应对威胁。

托管威胁猎杀的好处

托管威胁猎杀是一种主动的安全方法,涉及不断搜索可能表明攻击企图或成功的线索和妥协指标。

使用托管威胁猎杀服务有以下几个好处: 

提高对网络的可见性:托管威胁猎杀服务可以通过识别传统安全措施可能错过的妥协指标,帮助组织获得对网络的可见性。这种增强的可见性可以帮助组织快速识别潜在威胁并作出反应。

改进的安全态势:通过主动搜索妥协指标,托管威胁猎杀服务可以帮助组织改进整体安全态势。

减少误报:托管威胁猎杀服务还可以帮助减少误报,从而节省组织的时间和资源。误报通常是由传统的安全措施(如入侵检测系统)引起的,这些措施会为正常(良性)活动生成警报;

节省成本:托管威胁猎杀服务还可以帮助组织节省网络安全预算。这是因为托管服务通常比雇佣内部员工做同样的工作花费更少。

托管威胁猎杀服务提供商

1. Palo Alto Networks

2020年,Palo Alto Networks(派拓网络)全面推出Cortex XDR托管威胁猎杀服务,这是一项由国际公认的Unit 42威胁情报团队提供的全天候威胁追踪服务。Cortex XDR托管威胁猎杀服务可提供:

追踪覆盖端点、网络和云:专家全天候监控您的后方,为您提供覆盖端点、网络和云的、针对重要安全数据源的顶级分析;

国际知名的威胁追踪人员:Unit 42威胁追踪人员利用新兴的威胁研究,使用Cortex XDR平台进行行业领先的分析和数据探索,并保持领先地位;

实用的威胁报告:用户可通过威胁报告了解覆盖网络、端点和云资产中的高风险威胁,并决定下一步行动;

信息丰富的影响报告:用户可以利用报告在风险升级之前有效消除风险,不被影响多家企业的新兴威胁所累。

2. Cyberint

Cyberint的托管威胁猎杀功能可以主动连续搜寻企业环境中的网络威胁,恶意活动,以及违规活动。该服务利用了第三方的端点技术和安全流程自动化编排和响应(SOAR)解决方案。

3. Malwarebytes

Malwarebytes托管威胁猎杀包含在Malwarebytes 托管检测和响应(Managed Detection and Response)服务中,用于需要在一个服务中进行24/7网络监控、调查、修复和威胁搜索的客户。

4. Avertium

Avertium的托管威胁猎杀应用人类专业知识和一流的工具,主动搜索当前和历史上逃避现有安全防御的恶意活动迹象。它以分析师为中心,而不是以技术为中心。凭借多年深厚的网络安全专业知识和直觉,成为客户的指定猎人。

优化网络安全策略的最佳实践

说到网络安全,并没有“放之四海而皆准”的解决方案。保护组织的最佳方法是拥有一个包括多层防御的全面网络安全策略。然而,如果没有正确执行或定期更新,即使是最深思熟虑的策略也可能是无效的。

为了帮助组织优化网络安全策略,我们整理了一份最佳实践清单:

1. 了解组织的风险

保护组织的第一步是了解所面临的风险。这包括确定哪些数据和系统对您的业务最关键,并评估不同类型攻击的可能性和影响。

2. 实现分层安全防御

一个好的网络安全策略将包括多层防御,如防火墙、入侵检测/防御系统和反恶意软件。通过组合使用这些技术,组织可以更好地防御更广泛的威胁。

3. 对员工进行安全风险和政策教育

组织的员工通常是抵御网络攻击的第一道防线。教育他们了解安全风险和公司政策非常重要,这样他们就有能力识别和报告可疑活动。

4. 软件保持最新状态

定期修补和更新软件对于保持系统安全至关重要。攻击者经常利用过时软件中的已知漏洞,因此使用最新的安全修复程序使所有系统保持最新非常重要。

为了成功地管理威胁,组织还需要清楚地了解他们的环境,了解他们的正常行为基线。此外,拥有一支能够识别和调查异常活动的经验丰富的威胁猎人团队非常重要。

组织还应该考虑实现自动化和编排功能,以帮助托管威胁猎杀服务运行。自动化可以帮助减少调查潜在威胁所需的时间,而编排可以通过提供所有相关数据的集中视图来帮助简化调查过程。

结语

托管威胁猎杀索和传统网络安全都有各自的优缺点。最后,由每家公司决定哪种方法最适合自己的需求。如果您正在尝试降低攻击的风险,或者想要一种主动的安全方法,托管威胁猎杀可能是您的正确选择。

另一方面,如果您需要一个更具成本效益的解决方案,覆盖您网络安全需求的所有领域,那么传统网络安全可能更适合您。权衡这两种方法可以帮助确保您的企业获得必要的保护,免受任何潜在的网络威胁。

本文翻译自:https://heimdalsecurity.com/blog/managed-threat-hunting/如若转载,请注明原文地址

  • 分享至

取消 嘶吼

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟


文章来源: https://www.4hou.com/posts/MKwB
如有侵权请联系:admin#unsafe.sh