威脅狩獵(threat hunting)係指主動且反覆地檢測與隔離各項網路威脅的過程,並於偵測到威脅後主動進追蹤,更於必要時進行消除。
編譯/戴偉丞
威脅狩獵(threat hunting)係指主動且反覆地檢測與隔離各項網路威脅的過程,並於偵測到威脅後主動進追蹤,更於必要時進行消除。將此一防禦技術整合至雲端,能夠彌補傳統安全方式提升雲端及其中機敏資訊的保護力。如此一來,不但能及早發現異常情況,還能減少惡意軟體停留雲端的時間。以下是進行雲端威脅狩獵的方法:
制定策略
為實施有效的雲端威脅狩獵追蹤策略,需要進行威脅搜尋架構的制定及威脅的明確定義等預備措施。通常會採用「假設驅動」以及「資料驅動」兩種方式。前者係指,模擬潛在威脅狀況假設並加以設定;後者則從大數據中進行潛在威脅的分析。
利用工具和技術
包括雲端服務供應商及不同類型的第三方工具。例如:AWS GuardDuty或是Google Cloud Security Command Center,均提供雲端威脅追蹤以及其他獨有的安全防護功能。就第三方工具而言,像是能夠監控端點活動並提供潛在威脅報告的EDR,或是自動整合大量數據並加以分析的SIEM,都是值得參考的工具。
更多新聞:雲端環境日益複雜 雲端原生提供簡化方案
威脅狩獵
定期進行威脅搜尋對於雲端環境中安全穩定相當重要。此過程包括根據威脅情報和歷史數據提出假設、主動尋找危害指標,以及分析相關數據等措施。過程中,將針對入侵指標進行搜尋並確認安全漏洞是否存在,同時也會就異常行為進行檢測,包括非常規登入時間、異常資源使用狀況、不正常資料傳輸等等。
準備開始「狩獵」
隨著雲端解決方案、雲端運算在數位領域變得越來越普遍,網路攻擊數量也正水漲船高。藉由雲端威脅狩獵如此主動追蹤威脅的雲端網路安全性方法,將得有系統並持續地搜查目標範圍並有效偵測任何威脅,並結合第三方工具以及技術加以確保雲端中的資訊安全。
資料來源:Digital Information World
這篇文章 雲端狩獵開始!反覆搜查加主動消滅潛在威脅 最早出現於 TechNice科技島-掌握科技與行銷最新動態。
