威胁狩猎实践指南
随着网络攻击技术和自制工具越来越先进,攻击者和网络犯罪组织变得越来越器张,与此同时组织机构想要检测入侵是否已经发生却变得越来越困难。整个网络环境变得愈发复杂,传统基于特征值的被动检测技术效果变得越来越差,没有任何一种技术能够 100%检测到恶意活动,因此人们不得不主动出击去狩猎,
也就是“威胁狩猎”。
威胁狩猎是一种聚焦于追踪攻击者以及攻击者在执行侦查、执行恶意软件、窃取敏感数据时留下痕迹的一种主动防御技术。威胁狩猎不仅只是简单技术标记、报警可疑的活动,还需要应用人类的分析能力以及对环境上下文的理解来更快速地确定何时发生了未授权的活动。这使得攻击可以更早被发现,在攻击者完成攻击目标之前阻止其恶意行为。当然,实践威胁狩猎,需要有可用的工具可以帮助分析人员看清其组织网络中到底发生了什么,包括通过日志分析技术等。
