一支箭

首页 » 常识 » 常识 » 猎鹰札记威胁猎人的ldquo千人千面
TUhjnbcbe - 2020/12/14 2:19:00

目前,已经有不少敢为人先的组织都将威胁狩猎作为安全运营工作的一部分,并且收获了不小的效果。威胁狩猎强调通过“人”主动去寻找入侵痕迹,而不是被动等待技术告警。

01丨威胁猎人长什么样?

威胁猎人必须具有深入的网络知识和安全知识,并能够在他们的脑海中绘制出网络图。他们对应用程序和系统的专业理解使他们能够识别表明攻击者存在的明显迹象。他们应该是什么样呢?也许是美女与野兽组合。

威胁猎人“千面图”

威胁狩猎团队的人员组织,需要7种角色,有些角色可以合并为一个人,不一定是7个角色7个人。

系统管理员:主要针对SIEM系统的维护以及威胁狩猎平台的管理。

狩猎初级分析师:使用SIEM系统和威胁狩猎平台,处理报警和一些基本平台使用。

狩猎中级分析师:具有威胁情报、日志分析能力,具有渗透测试和网络协议知识。

狩猎高级分析师:具有风险等级评估、漏洞管理、网络包和日志深度分析能力、以及恶意软件分析能力。

取证专家:对于内存、硬盘要有专业的取证知识,可以做时间链分析。

狩猎工具开发人员:要具备开发经验,可以自动化一些狩猎场景。

恶意软件分析工程师:主要负责恶意软件的逆向,熟悉汇编语言等内容。

安全情报人员:具有情报资深经验,能够筛选、使用、开发威胁情报。

02丨威胁狩猎金字塔模型

拥有一个相对完整的狩猎团队之后,还需要一个相对清晰的理论模型来指导大家完成狩猎行动。某种意义上来说,威胁狩猎功能是从顶部1级开始,然后逐渐下沉5级,如下图所示。在顶部是采用高置信度的警报,例如防病*,IDS等被动方法,主要是针对确定异常情况自动告警。当然底部才是威胁狩猎所需的核心功能,更加

1
查看完整版本: 猎鹰札记威胁猎人的ldquo千人千面