内容
问:
寻找威胁的主要好处是什么?
A:
让我们首先了解什么是威胁搜寻:这是一个逐行逐事件地查找非常具体威胁的指标的过程。这不是寻找异常的问题。这是检测我们事物的指标的行为 知道 即将发生。这就像您在树林里漫步后检查tick虫。如果您有充分的理由相信树林中有tick虫,请检查是否有搭便车。寻找它们的好处是您可以在它们咬伤您并使您生病之前找到并摆脱它们。
也就是说,作为威胁搜寻的先驱,您需要对要寻找的东西有个了解。这需要三件事:分析,态势感知和情报。原始信息可能来自许多不同的来源,并且威胁搜寻小组的专家可以分析该信息并从中获取含义。黑暗网络上的the不休是什么?是否有人在谈论针对特定公司或技术?是否正在讨论新的贸易手段或利用方法?
威胁搜寻小组的威胁分析人员可能会收集大量原始情报,因此情境意识可以帮助您确定哪些问题对不同的组织和用户来说是重要的。例如,识别对电影制片厂的攻击方式的信息对于汽车制造商而言可能不是那么紧迫。制片厂攻击中使用的技术可能像攻击汽车制造商一样可行,但是如果情报表明攻击的重点在电影制片厂本地,则汽车制造商的IT团队应继续专注于针对他们的威胁。回到树林里散步:如果壁虱是您远足的树林中的问题,但蝎子不是问题,那么您需要关注壁虱,而不是蝎子。
一旦威胁分析人员确定了所关注的威胁,威胁搜寻者便可以开始寻找它们。他们可能正在寻找特定漏洞的证据(例如,路由器配置不正确),或者他们正在寻找网络中嵌入的特定代码片段或脚本。并且,如果他们找到了要寻找的要素,他们可以采取适当的行动并保护企业免受攻击。