问:
寻找威胁的主要好处是什么?
A:让我们从了解什么是威胁搜寻开始:这是一个过程-逐行逐事件地查找非常具体的威胁的指标。 这不是寻找异常的问题。 这是检测我们知道正在发生的事情的指标的行为。 这就像您在树林里漫步后检查tick虫。 如果您有充分的理由相信树林中有tick虫,请检查是否有搭便车。 寻找它们的好处是您可以在它们咬伤您并使您生病之前找到并摆脱它们。
就是说,作为威胁搜寻的先驱,您需要对所要寻找的东西有个了解。 这需要三件事:分析,态势感知和情报。 原始信息可能来自许多不同的来源,并且威胁搜寻小组的专家可以分析该信息并从中获取含义。 黑暗网络上的the不休是什么? 是否有人在谈论针对特定公司或技术? 是否正在讨论新的贸易手段或利用方法?
威胁搜寻小组的威胁分析人员可能会收集大量原始情报,因此情境意识可以帮助您确定哪些问题对于不同的组织和用户而言是重要的。 例如,识别对电影制片厂的攻击方式的信息对于汽车制造商而言可能不是那么紧迫。 制片厂攻击中使用的技术可能像攻击汽车制造商的技术一样可行,但是如果情报表明攻击的重点在电影制片厂本地,则汽车制造商的IT团队应继续专注于针对他们的威胁。 回到树林里散步:如果壁虱是您远足的树林中的一个问题,但蝎子不是问题,那么您需要关注壁虱,而不是蝎子。
一旦威胁分析人员确定了所关注的威胁,威胁搜寻者便可以开始寻找它们。 他们可能正在寻找特定漏洞的证据(例如,路由器配置不正确),或者他们正在寻找网络中嵌入的特定代码片段或脚本。 并且,如果他们找到了要寻找的要素,他们可以采取适当的行动并保护企业免受攻击。
