Cyber Threat Hunting,应该是可以翻译威胁猎捕或是威胁狩猎、内部入侵行为分析吧。
对「我」来说这是一个很微妙的一个领域(?!
因为看过一些Threat Hunting相关的文章、或是听过一些演讲的分享,
还有参加了资安大会时奥义智慧开的Lab,有接触了一下他们的产品。
经常都觉得Threat Hunting,
对我来说是一个近在咫尺,却又远在天边的东西。
我自己主要熟悉是渗透测试,平常也都会看许多的资安新闻与事件。
Threat Hunting当中的各项名词或是流程,乍看之下我都觉得不陌生,
可是实际上真要开始做,或是该怎麽着手分析,却又几乎都是没有概念。
至於职缺来说,我自己是不确定是否会有Threat Hunting直接相关的职缺,
但是台湾的确有不少公司都有发展或是代理Threat Hunting相关的产品,
或是该有该性质产品的公司,里面的资安研究员应该会需要具备相关知识吧(我猜der
今天内容也是一样在网路上东翻西找的零碎文章中拼凑而成的。
照惯例,每篇文章都会附上第一篇的文章,让大家了解一下这系列文章说明
https://ithelp.ithome.com.tw/articles/10264252
是一种主动式的防御策略与技术,利用一些资讯蒐集、威胁情报,来去掌握可能存在的攻击者与攻击行为,并且进一步去阻止或是预防这些风险的发生。并且这些可能的攻击行为,通常是传统的防御设备无法侦测与阻挡的。
SOC是被动式的防御,主要在於进行日常的监控与警报,还有如何处理所遇到的各种事件;而TH则是主动式的防御,TH可以基於一些数据、情报及线索,在没有警报的情况下,提前掌握可能的攻击以及威胁。
先发制人(?,不要等到事件发生才处理。并且有些恶意网域、恶意攻击、APT,可能是传统防火墙、入侵侦测系统(IDS/IPS)、防毒软件无法成功侦测防御的,可以利用TH来达成预防。
监控 -> 筛选 -> 调查&A追踪 -> 回馈
参考奥义智慧先前资安大会的一份简报
https://s.itho.me/ccms_slides/2021/5/18/7f7294fc-1819-405b-a082-756cf93dafad.pdf
算是网路攻击或是恶意行为发生的证据指标(?,可以透过已知的IoC来去检测、预防恶意行为与攻击。
是基於XML格式协助组织之间达到共享情报资源的一种标准化语言。
基本的网路知识
了解攻击手法(例如熟悉ATT&CK框架)
分析数据的能力
...
包含像是资安事件、漏洞、OSINT(公开情报)、或是像暗网上的未公开情报都算。
可以协助了解那些特徵或是情报,对於猎捕攻击者最有价值。或者是反过来说,知道那些恶意特徵,对於防守人员来说是更有利的。
Searching/Clustering/Grouping/Stack Counting
抱歉今天内容比我想像中的少QQ
因为睡太晚,待会要出门(不知道几点才回来),
时间仓促的情况下,没办法好好花费时间好好写完。
今天就这样了!
若有要补充也都欢迎留言
<<: Day.24 Binary Search Tree II
Postman 下载Postman:https://www.postman.com/ 下载对应版本的...
心得感想 经历了二十周,五个月的培训,从一个连回圈都不太懂的外行人,到可以自己写出一个App(虽...
如果今天我们想要开一间饮料店,饮料的组合包含了茶、糖,还有牛奶,於是我们可以建立一个 createT...
Здравейте,我是Charlie! 在Day16当中,我们完成了前端的购物车新增跟删除,而今天...
你的心脏不是对称的,就跟你的脸一样。 Alice and Bob 首先要隆重介绍,密码学永远的男主角...