威胁捕捉：化被动为主动

威胁捕捉定义

威胁捕捉是指主动去搜索隐藏在系统中的威胁活动。安全专家认为，威胁捕捉正在成为企业安全的必备元素；传统的边界防御尽管依然重要，但并非万无一失。

当然，企业的安全团队总是肩负着发现企业当中的威胁，并且在他们绕过企业防御的时候拦截的重任。但是，安全团队往往只有在威胁暴露自己的时候才会发现这些威胁——比如威胁触发了SOC的告警系统。管理咨询公司Protiviti的安全与隐私主任Mike Ortlieb表示：“威胁在被检测到之前，在系统中的平均时间长达100多天，因为有必要更主动地去发现这些威胁；而威胁捕捉可以让你在攻击者成功前发现他们。”

这就是Ortieb以及其他专家强调了威胁捕捉的“主动”属性的原因，进一步指出威胁捕捉可以帮助CISO以及他们的员工更好地保护企业。

前美国空军准将，同时是奥巴马第一任期的联邦政府CISO的Gregory J.Touhill是如此看待威胁捕捉的：“威胁捕捉是一种主动发现隐藏威胁的方式。这是一种相当重要的安全技术，因为有许多的国家黑客、犯罪组织、以及其他恶意攻击者如今都会在网络中停留很久，并潜伏在黑暗的小角落里慢慢收集信息，并研究目标组织与组织中的人员，以及相关的安全策略、技术，并获取数据以及登录信息。这些攻击者可以就静静地待在那里，分析你的业务流程和凭证，而不被发现；然后，当他们决定发起攻击的时候利用这些信息。”

威胁捕捉的驱动力

安全团队的目标总是尽早发现问题并阻止，无论这些问题是来自外部的攻击还是内部的高危员工行为。但CISO们也普遍承认，长久以来使用的安全策略并不能有效防范攻击。

网络安全平台供应商Arkose Labs的《2020年Q2欺诈报告》中指出，在今年第一季度，全球检测出4.45亿的攻击事件，数量增幅达44%。

这样的数据并非不正常，研究发现网络攻击的频率在不断上升。而与此同时，企业的IT结构正在变得更复杂且有了更多的缝隙——传统将组织自身的系统与外部的世界分离的边界正在快速消失。

在Duo Security的CISO咨询师Wolfgang Goerlich看来，企业的安全团队正在努力赶上这样的变化。SOC往往淹没在大量的告警之上，而人员往往无法把每个都调查清楚。思科的2020年CISO基准报告中指出，大约有41%的组织每天收到的告警超过10,000条。

一旦告警大量涌入，会使得安全团队产生疲惫感，从而无法保持其应有的效率。另一方面，这些告警往往只是攻击的意图，而非那些真正在等待时机进行致命一击的威胁，或者是监控系统不了解的未知威胁。

Goerlich认为，过多的告警加上严格的“只反应”方式会使企业暴露在大量威胁之前。他曾带领红队模拟了一次针对企业的攻击，使用多种攻击方式试图进入企业的系统。安全团队也确实发现了一些零散的攻击迹象，比如监控系统确实对SOC进行了钓鱼邮件与恶意软件的告警。但是，尽管安全团队成功阻止了零散的攻击，却无法发现整个有协同、有计划的广大攻击蓝图。Goerlich表示，如果安全团队过快地关闭告警单，就很有可能无法掌握整个攻击的趋势。

但是，威胁捕捉从主动的角度，同时关注于全IT领域的告警，可以帮助安全团队发现这样的整体攻击行动。

谁需要威胁捕捉

威胁捕捉并非是个新兴的领域，但随着机器学习技术更加成熟，并且成为主流 ，并且威胁情报也更多样性并且易于获取的时候，威胁捕捉才成为企业安全中一个主要的组成部分。

思科的2020年度CISO基准报告中发现，76%的大型企业有自己的威胁捕捉团队。而在思科的另一份报告中，发现72%的中小型组织有一些员工进行威胁捕捉。

不过Goerlich同时提到，由于威胁捕捉在大部分时候依然是一个刚出现的安全领域，很少有组织能有一个完全成熟的项目。

另外，专业也指出，鉴于大型组织更有能力承担高新技术与尖端人才，因此往往有更成熟的威胁捕捉能力和项目。大型企业也更有可能拥有全职的威胁捕捉运营团队，而小型企业可能只能分工进行。

威胁捕捉的投资回报

Goerlich表示，威胁捕捉能让安全领袖们更好地理解他们自己的系统、脆弱点、以及攻击者最有可能攻击的目标——这些都能帮助他们部署更好的安全策略和管控措施。

“威胁捕捉的ROI可以识别边界、正在发生的攻击、并在这些攻击越过监控时进行阻止。”Goerlich提到，“威胁捕捉是一件深入的工作、一件专注的工作。它是让一个团队挖掘数据，从而发现一般监控会遗漏的行为和活动。”

研究显示，威胁捕捉是有效的。SANS在2019年的《威胁捕捉调查：新猎手与老猎手不同需求》中发现，在575名受访者中，有61%的人表示威胁捕捉在他们总体安全态势中产生了可估量的提升。

“威胁捕捉可能是聊胜于无的。”Ortlieb说到，“你可以从发现一些看上去不正常的情况开始寻找踪迹；而即使这种行为也能有两个成果：你可以更了解自己的正常行为情况，并且还能发现一些潜在的恶意行为。”

高效威胁捕捉中的人员、流程和工具

威胁捕捉作为企业整体安全的一部分，也需要正确的人员、流程和技术的结合。

“一个真正有效的威胁捕捉团队是能独立进行分析和调查，而不被告警所束缚的。”Goerlich认为，“他们有从监控团队处获得的数据，同时运用从威胁情报而来的工具，从而能够理解犯罪者、架构、行为轨迹，从而对事件响应进行反馈。”

有效的威胁捕捉项目的关键点包括优秀的威胁情报、基于机器学习的安全工具、以及强大的SIEM与犯罪调查能力，从而提供有效的支持，并且对捕捉中发现的任何威胁采取措施。这些技术，配合技术高超的分析师，能让威胁团队识别攻击者的不正常行为，即使他们能在企业系统内部几乎完全一致地模仿合法流量。

威胁捕捉在安全项目中的位置

专家都强调，威胁捕捉中的投资不应以牺牲其他安全项目的费用为代价；威胁捕捉是针对传统防御措施和其他安全行为的附加。

AT&T网络安全部门市场负责人的Theresa Lanowitz表示：“威胁捕捉只是在整个安全计划中的一部分。组织的第一步是采用真正有效的安全措施和工具。这是必须的一步，可以阻止大部分攻击。而之后才需要一些高级威胁的防御，那些能绕过你其他防御的威胁，你希望在这些攻击发生前终止它们。威胁捕捉能做到这点。”

Touhil也提到：“攻击者往往很隐秘，同时在前期只是收集信息。他们就像潜水艇一样，静静地躺在海底，不对外输出信息，只是单方面地接收。但一旦他们打包完信息，就准备一起传输到一个C&C服务器。这个服务器就像二重身一样，外表上像一个正规网站，如果你不仔细去寻找它，就永远不会发现它。但是如果你去主动寻找它了，你就更有可能发现它。”

关键词：威胁捕捉；攻击溯源；应急响应；