随着组织的发展,他们的安全策略包括积极主动的策略包括威胁狩猎在美国,他们利用几种不同的工具来完成不同的任务。高警报量通常会使薄弱的安全团队不堪重负,快速对警报进行分类,以便团队确定优先级,这对于防止事件演变为漏洞至关重要。随着安全专业人员准备面对未来的威胁,确保以与当今流程和平台无缝配合的方式交付新的威胁情报来源,对于简化分析工作流程和实现主动的、优先的威胁响应至关重要。
让我们从头说起
在分析如何有效地将新的情报来源集成到现有平台和流程中时,首先要检查的是您试图解决的潜在问题。所以,让我们从头开始:“开始”从来不是在违背的时候。在那之前就开始了。通常,攻击开始于一个新注册的域,或者当一个被动域变成主动域时。恶意分子每天都在注册恶意域名,以进行网络钓鱼、恶意软件和垃圾邮件活动。有时,他们会迅速将这些域名武器化,而另一些时候,他们会将这些域名搁置起来,这样攻击者就可以在雷达下飞行,直到他们准备好发动攻击。这使得安全分析师处于不利地位,如果他们没有积极主动的安全实践。
超越膝跳式的事件反应
就在不良分子采用新的攻击方法时,安全团队也在越来越多地实施积极主动的战略和战术,在关口将他们截住。一些SecOps团队雇佣的是专注于外部的人猎人的威胁他们在网络上爬行,利用工具寻找可能影响业务或客户的在线讨论和帖子。
根据克雷布斯的安全报告在美国,Netflix等公司正在采取积极主动的策略,比如在数据泄露中搜索与客户的凭据匹配的凭据,然后强制用户重置密码。为什么?像Netflix这样的公司明白,现在有这么多的账户,用户经常会因为试图记住这么多的用户名和密码而感到胆怯,所以他们经常在其他网站上重复使用他们的凭证。Netflix明白,一个用户名和一个密码就有可能让黑客拥有进入数据王国的钥匙。
数据是安全之王。尽管Netflix利用了这种特殊的威胁搜索策略,但他们还可以使用其他方法进行事件响应以及外部和内部威胁搜索。其中一种方法是用域和DNS基础设施情报和补充风险评分来丰富SIEM中的警报。这可以帮助优先考虑警报和检测,以最大限度地减少误报,并确保团队在正确的时间处理正确的威胁。
主动领域风险评分
风险评分可以帮助安全运营团队建立一个简化的流程,在恶意域破坏、破坏或破坏组织的基础设施之前检测和减轻恶意域的影响。
安全分析师可以利用风险评分作为预测分析来创建搜索假设,重新创建潜在威胁活动-主动识别网络风险。知道域名可能导致网络钓鱼和恶意软件攻击,猎人可以收集DNS数据来识别野外的风险域名。
DomainTools的风险评分可用于改进组织现有的威胁情报流程,并在已经实现的SIEM、TIP或SOAR解决方案中与他们每天使用的工具协同工作。乐动体育网址领域风险评分由预测分析和机器学习算法确定,这意味着它们可能很快成为威胁。分析人员可以使用它来确定调查的优先级,并创建一个“域监视列表”,以便更快地识别新活跃的威胁。
DomainTools风险评分的魔力
DomainTools风险评分预测域名恶意的可能性,通常在其操作之前。这可以减少恶意域名注册时间和被观察到并作为攻击的组成部分公开报告之间的漏洞窗口。域风险评分算法分析域与已知的不良基础设施的关联,以及域的内在属性,这些属性与已知的钓鱼、恶意软件和垃圾邮件域非常相似。
一个领域风险评分由两个关键属性组成:威胁概况和邻近性。
威胁配置文件通过让安全从业者洞察哪些域具有指示“恶意意图”的特征来提供预测分析。这使防御者能够在部署攻击路径之前采取行动关闭攻击路径。
接近度得分提供了一个域名是否在“坏邻居”的信息,这可能表明潜在的威胁即将出现。它通过将给定领域的连接基础设施映射到其他已知的风险领域来实现这一点。
Domain Risk Score可以在DomainTools的Iris和api中使用,也可以在特定的Risk Score feed中使用,以便客户可以在他们首选的解决方案中利用这些数据来丰富他们的发现,并推动更有效的风险计算。乐动体育网址
随着SecOps团队的成熟,他们正在继续扩展他们的能力——从反应到网络检测,到先发制人地采取行动,在网络中检测到可能成为威胁的指标,然后主动识别野外威胁。确定您的团队可以纳入现有流程和工具的数据,以便将指标置于它们所构成的风险的背景下,这对于跟上不断发展的威胁行为者战术并准备今天的威胁缓解战术以应对明天的威胁至关重要。
