网络“狩猎”：为什么企业需要搜寻攻击迹象？

对于遭受攻击的企业，主要有以下说法：“这里有两种类型的企业，那些知道他们受到攻击的企业以及还不知道自己受到攻击的企业。”

真的是这样吗？另外还有一个更相关的说法：“这里有两种类型的企业，那些发现和检测攻击的企业以及持观望态度无视问题的企业。”如果没有可操作的步骤（例如部署最低风险评估或采用攻击性对策），安全并没有什么用。底线是：对于企业而言，积极的网络“狩猎”（即积极寻找企业中的攻击迹象）必须是企业安全计划的一部分，因为它是任何防御计划的关键部分，如果不是的话，应该将其涵盖进来。

信息安全的核心原则主要围绕这个概念：“防御是应该做的工作，但检测是必须做的工作。”在大多数企业中，防御一直是过去几年的主要重点，这并没有问题，但现在是时候把重点放在检测，其中应将网络“狩猎”作为解决方案的关键组件。

在“狩猎”中，以下两个关键指标可用来衡量成功：

攻击时间：关注企业受到攻击的时间长度。在短期内受到攻击是可接受的；但遭受攻击超过一年是不可接受的。由于很多攻击非常隐蔽，可能躲避传统的安全措施，而“狩猎”是发现攻击者以及减少整体攻击时间的重要组成部分。

横向移动：关注攻击者造成的损害程度。通常情况下，当攻击者入侵企业时，他们并不是瞄准包含信息的系统。他们必须建立一个支点，然后慢慢更深入网络，直到找到他们所需要的关键信息。他们在网络中的这种活动被称为横向移动。“狩猎”可在攻击者入侵后找到攻击者，但是这是在他们感染关键数据之前。通过中断横向运动，企业可以了解损害程度以及最小化攻击的整体影响。

网络“狩猎”面临的问题是企业应该关注它并采取行动。很多企业感到受挫，因为在大型企业中的“狩猎”相当于在海边丢了戒指，并试图第二天回去找到它，攻击面太大。对此，企业可通过威胁情报了解攻击者如何工作，以及专注于关键资产，“狩猎”是可管理的任务。下面是把“狩猎”付诸行动的工作清单：

• 确定你企业中最重要的数据或信息；
• 确定哪些业务流程在使用或访问这些信息；
• 确定所有支持关键业务流程的系统和网络；
• 获取进行适当“狩猎”所需关联和分析的工具；
• 收集有关流向关键系统/网络的流量信息；
• 收集有关服务器运作的信息；
• 利用威胁情报来了解企业面临的威胁和风险；
• 利用工具开始对正常行为和攻击行为执行自动分析；
• 对工具输出执行过滤；
• 对高风险警报适当地做出响应。

构建有效的网络防御计划是企业和攻击者之间一场持久战。随着攻击者不断发展，安全必须也不断改进来应对瞬息万变的威胁载体。现在，下一级安全性主要围绕控制攻击造成的损害程度。笔者喜欢用的比喻是，生病没有问题，但没有必要放在重症监护病房（ICU）。这里区别在于当问题发生时你如何响应问题。很多企业在发现自己成为新闻头条时感到很难堪；这相当于网络ICU。但通过专注于发现、控制和减少攻击者的影响，数据泄露会是小问题，而不会让企业成为头条新闻。