威胁搜索是一个经常被网络安全专家、供应商和服务提供商滥用的术语。我们研究了威胁搜索,以确定它到底是什么,它带来了什么好处,并克服了对这个术语的误用和滥用。最终的报告,威胁搜索101,最近出版。

我们听说威胁搜索被描述为“自动化分析”、“调查警报”,甚至“在环境中运行指示器或工件搜索”。

威胁搜索不是其中之一,但它可能包括或成为其中任何一种。在狩猎过程中,它可能会把它们作为假设或策略的灵感,或者如果威胁是高保真的,它就会成为其中之一。但这些充其量只是威胁搜索程序的输入或输出。Forrester将威胁搜索定义为:

一个由从业者领导的,假设驱动的练习,以发现绕过网络安全产品和服务检测功能的攻击。

威胁检测是大海捞针。威胁追踪是为了找到那些最锋利,最难找到的针。没有安全工具可以检测到每一次攻击。网络安全让对手对抗防御者。防御技术依靠规则、启发式和异常值来发现邪恶。这些技术缺乏威胁搜索所引入的一个基本组件:利用保护企业环境的从业者的创造力。

提高您团队的技能,为有才华的SOC分析师开辟新的职业道路

我们在完整的报告中讨论了几种好处,但在这个博客中我们包含了一组专门的好处。这些好处集中在团队中从业者的技能上。将它们与完整报告中的内容结合起来,以获得更详尽的列表。以下是开始威胁搜索最符合团队利益的几个原因:

    1. 为安全运营中心(SOC)分析师创造新的职业道路。威胁搜索是一种职业道路,不需要分析师走传统的经理路线,也不需要完全离开SOC。让SOC分析师以分析师的身份获得实时观察对手活动的重复机会,并最终应用该知识体系作为在环境中具有丰富经验的威胁猎手来寻找对手活动。
      Forrester的客户,看看安全分析师而且猎人的威胁有关SOC中这些重要角色的更多信息的角色概要。
    2. 帮助你的团队加强侦查。威胁搜索有一个重要的输出:新的检测,这将导致安全操作的持续改进。它使安全团队能够通过反思对手的工具、战术和程序如何绕过现有控制,将错过的攻击者行为转化为新的检测。在您的检测和响应过程中,威胁搜索适合于策划威胁情报和检测工程之间。在您的检测和响应过程中,威胁搜索位于威胁情报和检测工程之间
    3. 把它作为一个保证练习。一项关于最新勒索软件变种的新研究发布了,你和你的团队不知道你是否成为了目标。接下来你要做什么?启动搜索并根据研究寻找已知的ttp,而不必等待供应商更新其签名。威胁猎人可以围绕特定的恶意软件、活动或威胁组制定假设,并确定它是否存在于环境中。

威胁搜索可提升安全操作级别,并在构建网络安全弹性方面发挥关键作用。程序、功能和角色验证现有控件,增强检测工程能力,并确认安全操作团队的有效性。

Forrester的客户可以阅读更多关于如何建立一个威胁搜索程序完整的报告。你也可以要求查询或指导会议和艾丽或我一起讨论建立你自己的威胁搜索程序。