2018年6月07
- Gartner的客户吗?登录为个性化的搜索结果。
如何寻找安全威胁
贡献:吉尔小吏
组织准备采取的下一步威胁检测工具和方法探索新兴的狩猎来提高他们的安全的威胁和监控操作。
IT安全团队不断在寻找下一个攻击或弱点。攻击变得更加先进和无处不在的威胁狩猎的概念和实践已经出现。
寻找安全威胁手段寻找袭击者的痕迹,过去和现在,在IT环境。组织雇佣狩猎使用一个analyst-centric过程来揭示隐藏的威胁,先进的自动化,错过的威胁的预防和侦探控制。从威胁检测实践是不同的,这在很大程度上依赖于规则和算法。
“如果您可以简单地编写一个规则,编写一个规则,”说安东ChuvakinGartner副总裁、知名分析师在2018年Gartner安全和风险管理峰会马里兰州国家港口,“但你不需要狩猎。”
而威胁狩猎包括使用各种工具和过程,人的核心。这些罕见的IT安全专家高度和独特的技术,被称为威胁猎人,和最好的的组合系统,安全,数据分析和创造性思维能力。
狩猎的关键特征
了解威胁狩猎是什么以及它是如何工作的,熟悉中央实践的特征。
- 积极主动。狩猎是关于寻找入侵者之前生成警报。积极的在这种情况下是指采取行动在入侵警报之前,在入侵发生。
- 线索和假设。狩猎后关注的线索和想法,而不是“煮”结论性的警报从工具和基于规则的检测。然而,狩猎告知输出,可以后来成为规则。
- Analyst-centric。实践是analyst-centric。猎人使用的工具发挥辅助作用,帮助他们看到隐藏的威胁。
- 违反假设。猎人假设违反或的痕迹,然而微妙,攻击者在你留下的IT环境。
- 互动和迭代。虽然狩猎的过程涉及初始铅或线索后,可能会有许多轴心和“任务”——所有的入侵者的证据。
- 特别的和创造性的方法。大多数专家一致认为,狩猎不遵守规则,而是一个创造的过程和一个松散的方法集中在超越人类攻击技能。
- Knowledge-reliant。威胁威胁打猎都依赖于先进的知识和组织的IT环境的深入了解。组织学习更多关于他们的IT环境,找到攻击者隐藏的地方。
你需要威胁猎人吗?
威胁狩猎适合资源充足安全组织面对持续的和隐形威胁。那些雇一个威胁猎人或团队的猎人通常最大化他们的警报分类和检测内容开发流程和成熟他们的安全事件响应函数。
以下问题将会帮助你决定你是否需要雇佣一个威胁猎人猎人或团队:
- 你先进隐形威胁的目标吗?
- 你有合法的需要推动威胁的响应时间之前第一个报警的时间吗?
- 你担心安全控制部署和成熟后剩余风险吗?
- 警报事件没有开始?
如果你的回答表明你应该进行狩猎的威胁:
- 你能雇佣和留住一流的保安人员?
- 你已经改进和优化的检测和响应控制和过程?
- 你有一个成熟的吗安全操作中心吗?
- 你有足够的能见度在你的环境吗?
组织可以开始使用一个顾问,供应商或现有员工——的人偶尔会进行特别的狩猎活动,但尚未正式做了一个猎人。
Chuvakin指出,虽然外包的选择确实存在,很少有供应商所需的功能。许多管理安全服务提供商(MSSPs),不是管理威胁狩猎(m)提供者。
经验信息技术会议
加入你的同行在Gartner会议上公布的最新见解。
Gartner的客户推荐资源*:
如何寻找安全威胁安东Chuvakin。
*请注意,某些文件可能不会Gartner提供给所有客户。
Gartner使用< / >和< a href = " / en /关于/政策/隐私”目标= "平等" >隐私政策。< / > < / p >">
登录到您的帐户< / >,访问你的研究和工具。< / p >" class="eloqua-text">
登录到您的帐户< / >,访问你的研究和工具。< / p >" class="optin-text">