亚信安全 “威胁狩猎服务” 开辟高级网络威胁治理新战场

APT攻击、无文件攻击、加密流量、社会工程、勒索软件，对手一连串的“组合拳”对终端发起了疯狂攻击，并且这些技术基本都可以穿透所有传统安全产品下堆叠出的安全架构和系统。但也许你并不需要被动挨揍，威胁狩猎（Threat Hunting）将会为你的反击赢得“加分”。

亚信安全正式推出威胁狩猎服务，以“早发现、早诊断、早处置、高质量”为优势原则，为用户彻底解决缺少高级攻击防御经验、缺乏相关高级技术工具、无法对威胁进行溯源等难题提供全面协助。

什么是威胁狩猎服务？

威胁狩猎是主动的发现网络中恶意数据及行为的安全审计方法。威胁狩猎服务是由威胁分析专家根据客户环境中的威胁线索，主动进行关联分析，在确认威胁影响范围和影响程度的基础上，提供治理建议的服务。

判断威胁狩猎的成熟度级别需要考虑以下三个基本因素：

收集和分析数据的工具； 所收集的数据质量及细粒度； 威胁分析专家的技能水平和猎捕经验。

传统安全服务 vs 威胁狩猎服务l 早发现：威胁狩猎是需要高级威胁的线索，而安全产品告警和异常行为检测是这些线索的来源。黑客团伙或者红蓝对抗攻击方入侵总会利用一些未知的漏洞或者手段，但是在入侵跳板主机成功后，会用一些常规的手段进行提权、探测和横向移动，传统的安全产品和EDR ATT&CK规则检测框架都会发现一些“蛛丝马迹”，这些蛛丝马迹就像是丛林中猎物留下的足迹，指引着猎人进行狩猎追踪。

l 早诊断：EDR相比于传统的端点安全防病毒产品的最大区别就在于操作系统内核级别的行为日志高清记录，它就像是安装在操作系统上的高清摄像头，将进程启停、文件操作、网络连接、注册表修改和系统日志如实记录下来并且长期存储。威胁狩猎人员可以输入威胁线索和查询条件，EDR服务端能够以可视化的方式绘制出进程事件树，帮助威胁狩猎人员有效关联出疑似威胁的入侵轨迹，确认威胁的影响范围和影响程度，为根治问题提供技术支撑。

l 早处置：威胁狩猎人员使用EDR工具进行远程的遏制和修复，对高级威胁入侵造成的破坏和留存的后期进行根治修复，避免在红蓝对抗和上级监管过程中集中爆发问题。

l 高质量：在亚信安全威胁狩猎诸多的成功案例中，我们发现用户对于安全事件线索的看法普遍处于“狼来了”的麻木状态，即各种安全厂家的产品（尤其是安全态势感知平台）每天都生成海量的告警信息，而安全运维人员即使加班加点也无法处理如此多的告警事件，结果就是放任这些告警于不顾，等到黑客团伙真正发起总攻的时候，毫无防范之力。亚信安全推出的大终端2.0运维平台从根本上改善了上述被动的防护态势，我们将亚信安全产品（例如OfficeScan、DS、TDA等）的日常告警日志聚类成有优先级排序的安全事件，并且联动到EDR产品进行遏制、调查和修复，完成威胁狩猎分析早发现、早诊断和早处置的闭环操作。

亚信安全的威胁狩猎服务，区别于传统的安全服务和红蓝对抗的攻防服务，开辟了高级威胁检测响应的服务新赛道。

威胁狩猎服务依托亚信安全的EDR行为检测能力和威胁分析的专家能力，能够有效地检测零日漏洞等高级威胁，解决这些安全漏洞可能隐藏几年都发现不了的安全风险。

威胁狩猎服务由亚信安全具备攻防能力的威胁狩猎专家为用户提供高级威胁的溯源分析，能够回答 “谁进来了、是敌是友、干了什么”的疑问，能够及早发现治理“潜伏”的高级威胁，避免这些高级威胁在红蓝对抗、重保的关键时刻集中发作。

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!