網路狩獵

對於遭受攻擊的企業，主要有以下說法：“這裡有兩種類型的企業，那些知道他們受到攻擊的企業以及還不知道自己受到攻擊的企業。”

另外還有一個更相關的說法：“這裡有兩種類型的企業，那些發現和檢測攻擊的企業以及持觀望態度無視問題的企業。”如果沒有可操作的步驟（例如部署最低風險評估或採用攻擊性對策），安全並沒有什麼用。底線是：對於企業而言，積極的網路狩獵（即積極尋找企業中的攻擊跡象）必須是企業安全計畫的一部分，因為它是任何防禦計畫的關鍵部分，如果不是的話，應該將其涵蓋進來。

信息安全的核心原則主要圍繞這個概念：“防禦是應該做的工作，但檢測是必須做的工作。”在大多數企業中，防禦一直是過去幾年的主要重點，這並沒有問題，但現在是時候把重點放在檢測，其中應將網路“狩獵”作為解決方案的關鍵組件。

攻擊時間：關注企業受到攻擊的時間長度。在短期內受到攻擊是可接受的；但遭受攻擊超過一年是不可接受的。由於很多攻擊非常隱蔽，可能躲避傳統的安全措施，而“狩獵”是發現攻擊者以及減少整體攻擊時間的重要組成部分。

橫向移動：關注攻擊者造成的損害程度。通常情況下，當攻擊者入侵企業時，他們並不是瞄準包含信息的系統。他們必須建立一個支點，然後慢慢更深入網路，直到找到他們所需要的關鍵信息。他們在網路中的這種活動被稱為橫向移動。“狩獵”可在攻擊者入侵後找到攻擊者，但是這是在他們感染關鍵數據之前。通過中斷橫向運動，企業可以了解損害程度以及最小化攻擊的整體影響。

網路“狩獵”面臨的問題是企業應該關注它並採取行動。很多企業感到受挫，因為在大型企業中的“狩獵”相當於在海邊丟了戒指，並試圖第二天回去找到它，攻擊面太大。對此，企業可通過威脅情報了解攻擊者如何工作，以及專注於關鍵資產，“狩獵”是可管理的任務。下面是把狩獵付諸行動的工作清單：

· 確定你企業中最重要的數據或信息；
· 確定哪些業務流程在使用或訪問這些信息；
· 確定所有支持關鍵業務流程的系統和網路；
· 獲取進行適當“狩獵”所需關聯和分析的工具；
· 收集有關流向關鍵系統/網路的流量信息；
· 收集有關伺服器運作的信息；
· 利用威脅情報來了解企業面臨的威脅和風險；
· 利用工具開始對正常行為和攻擊行為執行自動分析；
· 對工具輸出執行過濾；
· 對高風險警報適當地做出回響。

構建有效的網路防禦計畫是企業和攻擊者之間一場持久戰。隨著攻擊者不斷發展，安全必須也不斷改進來應對瞬息萬變的威脅載體。現在，下一級安全性主要圍繞控制攻擊造成的損害程度。筆者喜歡用的比喻是，生病沒有問題，但沒有必要放在重症監護病房（ICU）。這裡區別在於當問題發生時你如何回響問題。很多企業在發現自己成為新聞頭條時感到很難堪；這相當於網路ICU。但通過專注於發現、控制和減少攻擊者的影響，數據泄露會是小問題，而不會讓企業成為頭條新聞。