统一 SASE 角色网络威胁追踪

什么是威胁狩猎？

威胁狩猎是一种主动防御方法，用于检测逃避现有安全解决方案的威胁。

为什么要进行威胁狩猎？

防火墙、IDS/IPS、SWG、ZTNA、 CASB 功能有助于保护耳鼻喉科erp从已知威胁中增加资产。 安全供应商开发针对已知威胁的保护，并通过使用各种保护源定期更新安全服务来部署这些保护。 保护措施包括阻止用户访问不良网站、通过签名阻止漏洞利用以及阻止与 IP 地址、已知托管 C&C 或声誉不佳的域之间的连接。 几乎所有安全功能还通过阻止非安全行为来保护资产。wan通过 ACL（访问控制列表）访问流。

由于国家赞助和经济收益，威胁行为者的复杂程度逐年显着增加。 耳鼻喉科erp受到未知威胁的攻击应该有一种方法来检测任何妥协以遏制损害。 根据 2022年M趋势报告，21 年的平均停留时间（停留时间是指攻击者在受害者环境中存在且未被检测到的天数）为 2021 天。在某些地理区域，平均停留时间长达 40 天。 最令人担忧的是，47% 的情况下，受害者是通过外部通知了解威胁的。 受害者通过攻击者的勒索、公开披露的机密信息以及几次来自客户的勒索来了解这些妥协。 这对耳鼻喉科很重要erp主动在内部检测威胁的存在，以减少损害并更快地采取补救措施。 检测环境中存在的威胁的过程称为“威胁狩猎”。

什么是威胁追踪方法？

威胁搜寻由安全分析师完成。 虽然威胁追踪的做法已经存在了一段时间，但从理论上讲它并不新鲜。 猎人倾向于寻找异常情况，提出假设，并进行更深入的分析，以识别任何妥协的迹象。 近年来真正发生的变化是来自不同国家的猎人之间的合作日益加强erp增加，例如共享策略、技术和程序 (TTP) 以及访问开源和商业威胁情报源。 这些丰富的信息正在帮助猎人更有效地狩猎。

威胁情报很有价值，但海量的数据对于猎人来说可能难以筛选。 对于猎手来说，根据资产、软件、硬件系统和信息进行筛选以获得最相关的报告非常重要。 cloud 该机构提供的服务erp上升用途。 一旦过滤，威胁追踪者就可以使用 TTP 来识别其环境中的模式。

威胁追踪者使用多种方法收集信息，包括：

• 分析驱动：在网络流量、协议流量、用户发起的流量、应用程序流量、用户登录行为、用户访问行为、端点和应用程序行为中观察到的异常可以成为开始搜寻的良好指标。
• 情报驱动：威胁情报源，例如 IP/域/文件/URL 来自开源和商业实体的声誉可以帮助猎人在其环境中搜索这些指标，并在观察到时开始狩猎。
• 态势感知驱动：常规 ent 的输出erp提高风险评估和 皇冠宝石分析 对资产的了解可以帮助猎人提出假设并开始狩猎。

威胁搜寻者结合使用上述方法来缩小开始搜寻的范围。 作为搜寻过程的一部分，分析师依靠可观察性系统进行更深入的分析，以识别任何妥协。 如果发现任何威胁，成功的猎人可以发布 TTP 来帮助其他猎人。

的作用是什么 SASE 在威胁狩猎中？

妥协指标 (IoC) 是可用于识别和检测恶意软件的线索cio我们在网络或端点上的活动。 威胁追踪者经常使用它们来创建有关潜在安全事件的假设并集中调查。 IoC 包括 IP 地址、域名、 URL与已知马里关联的文件、文件和电子邮件地址cio美国演员或已知的恶意软件。 流量、用户行为、服务行为等各种异常现象也是猎人关注的良好指标，可以对潜在安全事件做出假设。

深度分析是威胁搜寻的下一步，用于收集有关潜在事件的更多信息，例如攻击的范围、影响和起源。 此类分析通常涉及利用各种工具和技术来提取和分析来自各种来源的数据，例如网络流量、系统日志和端点数据。

SASE 解决方案预计将在威胁搜寻的识别和调查阶段帮助威胁搜寻者。 并且未来预计会有更全面的可观测部分 SASE 具有行为分析、实时监控和警报等功能的解决方案。

通过妥协指标和关注指标进行识别

以下是一些异常情况和威胁 IoC SASE 可以帮助威胁猎人开始狩猎。

几个例子来说明如何 SASE/ SDWAN 下面给出了可以帮助发现流量异常的信息。

• 与之前观察到的流量模式相比，异常的流量模式。 它们可以包括以下流量和连接数的异常。
  • 耳鼻喉科erp增加站点间流量
  • 进出站点到 Internet 的流量
  • 进出应用程序的流量
  • 各种协议上的流量
  • 进出用户的流量
  • 进出路段的流量
  • 以及上述的组合 - 站点 + 应用程序 + 用户 + 协议 + 段。

SASE 具有网络安全性的解决方案可以帮助发现各种类型的异常和漏洞：

• 耳鼻喉科异常erp从以前的模式或基线模式上升应用程序访问，例如
  • 从以前未知的地理位置访问内部应用程序
  • 很少访问内部应用程序的用户访问内部应用程序
  • 用户在奇怪的时间访问内部应用程序
  • 来自以前未知地理位置的特权用户、很少管理这些资源的用户在奇怪的时间访问各种关键应用程序资源（例如管理资源）
  • 拒绝用户访问应用程序和资源。
• 互联网及网络异常 SaaS 来自先前模式或基线模式的访问，例如上述访问异常。
  • 访问各种 URL 按个人用户分类
  • 访问用户以前未访问过的 Internet 站点
  • 每个用户的带宽使用情况和 HTTP 事务异常数量
  • 用户在非办公时间访问站点。
  • 拒绝访问 Internet 站点/类别
  • 访问各种功能 SaaS 基于每个用户的服务。
• 各种漏洞利用：根据 M-Trends 报告，攻击者使用的“初始感染向量”正在利用软件和配置中的漏洞。 许多威胁行为者首先利用软件漏洞安装不同类型的恶意软件。 流行的漏洞利用框架（例如 Metasploit、BEACON）捆绑了多个已知的漏洞利用脚本。 这些框架似乎在威胁行为者中很受欢迎。 在流量中观察到的任何漏洞都可以很好地表明即将发生不良情况。
• 协议异常：任何异常的协议数据，即使从协议规范的角度来看是合法的，也可能是一个很好的担忧迹象。  DNS 下面给出HTTP协议异常示例。
  • 的情况下 DNS
    • 在查询的域中看到很多子域是不正常的
    • 看到很长的域名是不正常的
    • 在域名中看到大小写字母混合是不正常的。
    • 看到非字母数字字符是不正常的。
    • 看到除 A、AAAA、PTR 之外的任何查询都是不正常的。
  • 如果是 HTTP：
    • 看到很长的 URI 和大量的查询参数是不正常的。
    • 不常用的 URI 编码。
    • 看到很多请求头和响应头是不正常的。
    • 在 URI 查询参数、请求标头和请求正文中看到 SQL 语句、shell 命令和脚本是不正常的
    • 看到没有主机请求标头的 HTTP 事务是不正常的。
    • 在 URI 和标头中看到 CRLF 字符是不正常的。
    • 看到多个同名参数是不正常的
    • 还有很多…
  • 访问不良声誉网站：单次访问或多次访问具有不良 IP 地址、域名和域名的网站 URLs 也是开始狩猎的良好指标。

调查

作为狩猎的一部分，猎人期望 SASE 系统可以帮助他们更深入地进行进一步调查，至少从网络角度来看。 为了进行全面的端到端可见性和调查，猎人可能还需要使用端点、应用程序、虚拟化和容器化平台可观察性系统。

对的期望 SASE 猎人进行调查的可观察性主要集中在更深层次的搜索能力上。 例如，在检测到漏洞利用流量后，猎人可能想调查被利用的机器/软件是否正在与该系统通常不建立的其他内部系统建立任何连接，或者是否从其他系统下载任何通常不建立的文件。预期以及该系统是否正在将任何恶意软件上传到其他系统等。

总结

威胁追踪正在成为许多企业的常态erp上升。 它通常涉及对妥协指标 (IoC) 的检测以及使用端点、应用程序、虚拟化和安全访问服务边缘的可观察性平台进行调查（SASE）。 统一的 SASE 结合了软件定义的广域网 (SDWAN）、各种网络和威胁安全功能以及全面的可观察性，以实现全面的威胁搜寻生命周期管理。

• CTO 见解博客

  Aryaka CTO 见解博客系列提供网络、安全和技术方面的思想领导力 SASE 主题。 为了 Aryaka 产品规格参考 Aryaka 数据表。