迈克菲:人机协作才是有效威胁追捕的关键
作者:星期四, 八月 3, 20170

安全厂商迈克菲对700名IT和安全从业人员进行了问卷调查,意图理解威胁追捕(Threat Hunting)当前的状态和未来发展。威胁追捕——对现有网络攻击的主动搜索。

威胁捕手专注线索和假设,不会只等待来自基于规则的检测所发出的警报以人为中心而不是以工具为中心;基于当前正有攻击发生的假定开展工作。而追捕过程,则与军事上的OODA概念相似:观察、定位、决定、行动。

为比较威胁追捕能力,受访者对自身成熟度的评级分为4级。第1级就是主要靠某些常规数据集产生自动化警报的捕手,第4级是自动化绝大部分成功数据分析的捕手。

调查的主要发现之一,是成功威胁追捕是艺术与科学的结合。1级捕手行动随意;对2级捕手而言,威胁追捕是个有组织性的过程;但最成功的4级捕手,于理性的套路中蕴含灵光一现的机动。

提升成熟度的4大策略是:

  • 更好地自动化威胁追捕过程;
  • 增加数据分析的使用;
  • 招聘更有经验的员工;
  • 使用更精确的诊断工具。

一个显著而又自然的特征是,低级安全运营中心(SOC)将员工雇佣作为重点,然后才是提升数据分析的使用。而人员配备更好的3级捕手,将更好的自动化作为第一要务,然后是增加分析。

迈克菲假定:低级SOC希望充实人员,追逐新鲜工具以求快速复制成功SOC;而更高级的SOC,则将重点从打造强大的追捕及事件响应团队,转移到了让团队更加有效上。

4级捕手和其他低级捕手之间的明显差异之一,在于自动化的程度。受访者中,1-3级SOC的自动化部署程度平均在23%,而4级SOC的自动化水平在75%

这一差距延续到了网络安全的下一阶段——事件响应。广泛的自动化,很自然地提供了更多事件响应者所需的上下文信息,可更精确地圈定并分诊事件,快速解决事件。调查结果充分验证了此一结论:71%的4级SOC平均在1周之内结束调查——大部分在24小时之内就结束战斗了。而其他更低级的SOC,平均要25天。

同样的,更成熟的SOC,70%的时间里都能确定攻击根源,而低成熟度SOC只有43%的时间里能成功鉴别出攻击根源。

不同成熟度SOC之间在操作流程上的另一个区别,是花在研究和定制威胁追捕工具上的时间。1级捕手花在这上面的时间平均每月10小时。4级捕手是17小时。迈克菲认为,这是人机团队协作力量,以及本地情报与个性化重要性的良好典范。

沙箱是使用最多的追捕工具。很明显,最高级的捕手比低级捕手用得久:4级捕手平均用了4年;1级则仅2年。而且,沙箱的用途也随着捕手成熟度而变。将沙箱用于调查和威胁验证,而不仅仅用在检测和报警上的4级捕手,是其他捕手的2倍之多。

所有数据分析都依赖于数据。全部4个级别的捕手中,60%使用公开威胁情报馈送;但随着成熟度提升,捕手们开始更多地依靠从自己的研究中内部收集的TTP(技术、战术、规程)。

馈送威胁情报到关联引擎的自动化过程,在1级捕手中有45%的人在用,但4级捕手中77%都在用。馈送的本质也随成熟度不同而有异:4级捕手80%使用ISAC和其他私有或付费馈送,而1级捕手中仅41%使用这些。

威胁追捕会继续发展下去,不再是只有少数简短实践者才懂的深奥操作。未来几年,有望看到威胁追捕依托广泛的自动化和机器分析,成为大多数公司分析驱动安全运营的组成部分。

然而,这份调查中明显昭示出的,是威胁追捕不仅仅是购买各种系统这么简单。通往高效事件响应的有效威胁追捕,是人与机器的协作,是艺术与科学的结合,需要人来定制并自动化科学以匹配个体自身的环境。

完整报告:

https://www.mcafee.com/us/resources/reports/rp-disrupting-disruptors.pdf

相关阅读

事件响应计划成功九步
揭秘威胁情报的王者Talos

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章