Skip to Content

什麼是威脅獵捕?

網路安全環境瞬息萬變,威脅變得越來越複雜和持續。傳統措施,如防火牆和防毒軟體,雖然是必要的,但已不足以對抗進階對手。為了跟上新威脅的步伐,組織需要的不只是被動防禦,他們需要主動策略來預測威脅,並在威脅升級之前加以中和。這就是威脅獵捕的源頭,這是一種主動方法,在潛在威脅造成傷害之前識別、調查和減輕威脅。

威脅追蹤讓組織能夠掌控自己的安全,超越對自動化工具的依賴,更進一步進行人為主導的調查。隨著網路攻擊數量不斷增加,威脅獵捕等主動防禦機制的需求從未如此大。

在本文章中,我們將探討威脅獵捕、其重要性、技術與工具,以及它如何強化組織的安全狀態。

什麼是威脅獵捕?

威脅搜尋是一種主動式網路安全策略,旨在識別並消除規避傳統偵測系統的威脅。與回應已知攻擊特徵產生的警示的被動措施不同,威脅獵捕涉及主動搜尋異常和行為,以表明惡意活動。

這種方法植根於人類的專業知識和直覺,通常是由潛在弱點或攻擊媒介的假設所驅動。威脅搜尋能彌補自動化系統帶來的不足,並因應不斷演變的威脅,補足傳統的網路安全措施。無法取代防火牆、入侵偵測系統(IDS)或防毒軟體。相反地,它對現有措施進行關鍵的增強,以改善組織的整體安全性狀態。

與傳統的安全措施相比,威脅獵捕的不同之處在於主動、人為驅動,並遵循重複性的假設產生、調查和持續改進週期。這彌補了自動化偵測與人工調查之間的差距,並提供了額外一層的安全性。

威脅獵捕的關鍵要素

有效的威脅獵捕仰賴數個相互連結的元件。這些要素共同建立了一個全面的框架,讓威脅獵人能夠發現並中和進階威脅。這些要素中最重要的是:

  1. 威脅情報
    威脅情報是任何威脅獵捕工作的基礎。它提供了關於新興攻擊模式、已知弱點和對手戰術的可執行深度資訊。這類資訊可能來自公共威脅來源、專屬資料庫或產業特定來源。例如,如果威脅情報顯示憑證竊取攻擊有所增加,獵人可能會優先分析登入活動記錄。
  2. 假設發展
    每次追逐都從假設開始。威脅獵人使用可用的資料和直覺,制定有關潛在弱點或可疑活動的教育猜測。舉例來說,從一般安靜的伺服器傳出的流量突然飆升,可能會引發試圖竊取資料的假設。
  3. 資料彙總與分析
    資料是威脅獵捕的命脈。組織從網路流量、端點活動和使用者行為中收集大量資訊。SIEM(安全資訊和事件管理)系統等工具將這些資料合併為可執行的深度資訊。威脅獵人會篩選這些資訊,尋找與其假設相符的模式、異常或偏差。
  4. 自動化與工具
    雖然威脅獵捕是以人為本,但自動化在提高效率方面扮演著重要角色。端點偵測及回應(EDR)工具有助於簡化流程,進而加快威脅偵測及分析的速度。舉例來說,EDR 工具可能會發現異常的檔案修改,進而促使您進行更深入的調查。
  5. 事件回應
    發現威脅時,必須立即採取行動以中和威脅。事件回應團隊與威脅獵人合作,遏制威脅、評估損害,並確保網路的完整性。此步驟通常包括隔離受影響的系統、分析惡意軟體,以及實施修補程式。

為何您需要威脅獵捕

現今的網路威脅更頻繁、更先進。威脅發動者會運用傳統防禦無法輕易偵測的複雜技術,例如零時差攻擊、無檔案式惡意軟體和多態性攻擊。隨著 AI 功能的快速成長,威脅情勢變得前所未有的複雜。這提高了企業的權益,因此必須採取主動措施。

威脅搜尋幫助組織:

  • 防範進階威脅:網路罪犯使用精密的技術來避開傳統防禦機制。威脅搜尋可以發現這些隱藏的危險,確保在威脅造成傷害之前先偵測到這些威脅。
  • 將損壞降至最低:及早偵測威脅可降低資料外洩或系統停機時間的風險,有助於節省財務資源和公司聲譽。早期偵測也能防止進一步的升級,例如資料竊取或網路內的橫向移動
  • 加強事件回應:威脅搜尋有助於建立更主動的事件回應策略。透過識別並理解攻擊方法,組織可以制定更有效的應對措施,並縮短實際事件期間的回應時間。
  • 因應不斷變化的威脅情勢:威脅情勢不斷變化,攻擊者會定期開發新的技術與戰術。威脅搜尋提供自我調適方法,確保安全策略隨著這些新興威脅而進化,而不是依賴靜態、過時的解決方案。
  • 支援法規遵循與法規要求:威脅搜尋也能透過示範主動的風險管理與安全措施,協助企業達成法規遵循要求。這對醫療保健金融等受嚴格監管的產業而言至關重要。
  • 取得可採取行動的威脅情報:透過威脅獵捕,組織可以更深入了解威脅發動者的戰術、技術與程序(TTP)。這些情報可用來強化防禦,並改善未來偵測能力,提供長期價值。
  • 加強跨團隊協作:威脅搜尋鼓勵組織內不同團隊和部門之間的協作。這種協同作用有助於確保威脅得到全面處理,資訊分享改善了組織回應和準備。

威脅獵捕技巧

威脅搜尋技巧與他們想要發掘的威脅一樣多元。每一種方法都能帶來獨特的效益,而威脅獵人通常會結合多種方法來發揮最大效益。以下是一些廣為採用的威脅搜尋技巧:

  • 入侵指標(IoC)搜尋:這項技術著重於已知的惡意指標,例如特定的 IP 位址、檔案雜湊或網域名稱。威脅獵人會將這些指標與網路記錄進行比較,以找出可能的配對。舉例來說,如果已知惡意 IP 出現在網路伺服器的記錄中,則可能代表嘗試入侵或持續攻擊。
  • 行為分析:行為分析不依賴預先定義的特徵,而是檢查網路中的動作。異常活動,例如使用者在非上班時間下載敏感檔案,可能表示內部威脅或帳戶遭入侵。這種技術對於零時差攻擊和多態性惡意軟體尤其有效,因為這些惡意軟體尚未建立特徵碼。
  • 異常偵測:異常偵測涉及辨識與既定基準的偏差。例如,如果伺服器突然出現 CPU 使用量增加 300% 的情況,獵人會調查排除惡意活動的原因。先進的機器學習工具也用於協助偵測異常狀況,並針對網路行為提供更深入的深度資訊。
  • 威脅建模STRIDEPASTA威脅建模框架可幫助組織預測攻擊情境。這些模式引導威脅獵人將精力集中在最有可能成為目標的領域,例如特權使用者帳戶或未修補的系統。

威脅獵捕所使用的工具

威脅獵捕的成效通常取決於可用的工具。現代化工具不僅能提高效率,還能讓獵人更深入探索潛在的威脅。

  • SIEM 工具(例如 Splunk、LogRythym):SIEM 工具可彙總和分析來自整個網路的記錄,提供集中的能見度。他們幫助獵人關聯事件、找出模式,並優先處理潛在威脅。
  • 端點偵測及回應(例如:CrowdStrike、Carbon Black):EDR 工具可監控端點活動,並標記可疑行為,如未經授權的檔案存取或權限升級。它們還支援即時修復,將損害降至最低。
  • 威脅情報平台(例如:記錄的未來、 ThreatConnect):這些平台提供對新興威脅的深度資訊,讓獵人能夠專注於相關指標和攻擊媒介。
  • 網路流量分析工具(例如 Wireshark、Zeek):這些工具可即時分析網路流量,協助識別異常狀況,如異常資料流或未經授權的存取嘗試。

每個工具都有助於協助調查,並確保不會察覺到任何潛在風險,從而實現更廣泛的發現和中和威脅目標。

結論

威脅獵捕是一種心態,它能主動主動回應。透過持續尋找隱藏的威脅,這種方法有助於組織在升級為全面事件之前,保持領先對手,並降低風險。

有效的威脅獵捕需要正確的專業知識、技術和工具組合。當整合到強大的彈性基礎架構中時,例如 Pure Storage® ActiveDRSafeMode 快照,這些威脅的搜尋功能會成為網路彈性的基石,讓組織在攻擊後能夠快速、自信地復原。

05/2025
TierPoint is on Point to Drive Customer Success
To optimize costs, simplify IT procurement, and fuel rapid growth, TierPoint chose the Pure Storage platform to deliver top value for its customers.
客戶案例研究
4 頁

瀏覽重要資訊與活動

精神領袖
創新競賽

儲存創新最前線的產業領導者最新深度資訊與觀點。

了解更多資訊
分析報告
規劃高度網路彈性的未來

了解協作策略,完整運用網路安全投資,並確保迅速回應與復原。

閱讀報告
資源
儲存設備的未來:AI 紀元的新準則

了解 AI 等新挑戰如何促成資料儲存需求轉型,需要嶄新思維與現代化做法才能成功。

下載電子書
資源
不再購買儲存,擁抱平台體驗

探索企業級儲存平台需求、元件與選用流程。

閱讀報告
您的瀏覽器已不受支援!

較舊版的瀏覽器通常存在安全風險。為讓您使用我們網站時得到最佳體驗,請更新為這些最新瀏覽器其中一個。