隨著網(wǎng)絡(luò)技術(shù)不斷發(fā)展，網(wǎng)絡(luò)攻擊方法和能力不斷升級，威脅利用也從已知到未知不斷發(fā)展變化，網(wǎng)絡(luò)攻擊逐步形成一道黑色產(chǎn)業(yè)鏈，防守方也需隨之升級防御方案，變被動防守為主動“威脅狩獵”。

| 什么是威脅狩獵？

威脅狩獵，是安全人員在網(wǎng)絡(luò)安全中定位各類威脅攻擊，它不是一款產(chǎn)品，而是一種方法，憑此方法可有效發(fā)現(xiàn)并阻斷網(wǎng)絡(luò)環(huán)境中的異常情況。

| 為什么需要威脅狩獵？

攻擊者常通過高級威脅攻擊、漏洞利用、惡意軟件等方式避開各類安全規(guī)則，利用內(nèi)網(wǎng)環(huán)境滲透行為獲取目標(biāo)主機數(shù)據(jù)或執(zhí)行某種破壞行為。面對當(dāng)下復(fù)雜多變的定向攻擊，我們需要采用主動檢測和實時響應(yīng)的方式，獲取攻擊痕跡，發(fā)現(xiàn)潛伏在內(nèi)網(wǎng)環(huán)境中的威脅，以此達到縮短攻擊者潛伏時間等目標(biāo)。

| 威脅狩獵的方式有哪些？

事前防御是威脅狩獵的主要思想，通過事前主動掃描發(fā)現(xiàn)可繞過安全設(shè)備的未知威脅。獵人狩獵通常采用人工測試+機器輔助的方式，安全人員收集相關(guān)入侵證據(jù)，定位隱匿的攻擊，同時安全設(shè)備收集相關(guān)攻擊信息，協(xié)助安全人員發(fā)現(xiàn)潛在風(fēng)險。

為應(yīng)對當(dāng)下場景，天融信通過自適應(yīng)安全防御系統(tǒng)構(gòu)建主機側(cè)防御閉環(huán)，融合自適應(yīng)安全架構(gòu)及CWPP核心理念，解決傳統(tǒng)防護手段的被動局面，通過對主機進行持續(xù)的監(jiān)控與分析，多角度定位安全風(fēng)險與入侵攻擊，為獵人提供豐富的原始數(shù)據(jù)。

光說不練假把式

話不多說

實戰(zhàn)見真章！

9月X日 | 實戰(zhàn)日記

我是天融信自適應(yīng)安全防御系統(tǒng)，今天的工作任務(wù)是巡檢某市數(shù)據(jù)管理局的多臺主機。

首先，我通過資產(chǎn)管理功能，仔細梳理出主機龐雜的數(shù)據(jù)資產(chǎn)，展示主機進程、端口、計劃任務(wù)等重點資產(chǎn)信息，方便安全人員構(gòu)建主機側(cè)資產(chǎn)指紋庫；

隨后，我利用風(fēng)險發(fā)現(xiàn)功能，對主機系統(tǒng)漏洞、中間件漏洞、數(shù)據(jù)庫漏洞、弱口令等安全風(fēng)險進行全面掃描，并提出具體修復(fù)建議，幫助市局快速改進脆弱點，縮小風(fēng)險面；

此時，我在一臺IP為XX.X.XXX.206的主機內(nèi)發(fā)現(xiàn)異常，拉響警報，進入應(yīng)急響應(yīng)模式！

經(jīng)天融信專家團隊追溯研判，確認存在病毒利用某系統(tǒng)漏洞進行攻擊，攻擊者試圖進行本地提權(quán)，總局立刻采取響應(yīng)措施：

第一步，通過威脅檢測模塊對病毒進行查殺，阻止病毒進一步擴散，降低主機損失持續(xù)擴散；

第二步，配置隔離策略，及時阻斷非法流量，解決安全威脅在主機間橫向移動等問題；

第三步，對相關(guān)主機進行安全加固，對漏洞、弱口令、賬號風(fēng)險、文件完整性等提供持續(xù)掃描與修復(fù)，掃除主機內(nèi)部安全隱患；

最后，通過本系統(tǒng)快速分析和響應(yīng)下，威脅解除，有效抵擋主機“刺客”！

天融信自適應(yīng)安全防御系統(tǒng)

主機安全運營響應(yīng)流程

四步緩解安全人員威脅捕獲數(shù)據(jù)繁雜煩惱

TOPSEC

隨著高級威脅攻擊等威脅不斷迭代更新，企業(yè)需要威脅捕獲等主動檢測的方法來減少攻擊者帶來的影響，提高主機安全能力。未來，天融信將繼續(xù)深耕主機安全領(lǐng)域，為各行業(yè)客戶提供更為穩(wěn)固優(yōu)質(zhì)的產(chǎn)品、解決方案與服務(wù)，積極應(yīng)對新的安全威脅與挑戰(zhàn)，打造主機安全新體系！