威胁搜寻是一种主动实践,通过搜索网络和系统来识别和隔离那些避开自动安全防御的网络威胁。与依赖警报和已知签名的传统安全措施不同,威胁搜寻需要安全专业人员主动检查数据、系统行为和网络流量,以发现可能已在您的环境中运行的隐藏威胁。这种手动流程结合了高级分析工具、威胁情报和人类专业知识,可检测绕过现有安全控制措施的复杂攻击者。
网络安全形势发生了巨大变化,攻击者开发出越来越复杂的方法来渗透网络,并在很长一段时间内不被发现。传统安全工具仍然很重要。然而,它们是根据已知的模式和签名来运行的,这会留下一些漏洞,让高级持续性威胁有机可乘。这些老练的攻击者会使用专门设计的技术来规避自动化检测系统,从而在您的网络中建立立足点,悄无声息地绘制基础设施图、窃取数据或者准备未来的攻击。
这些未被检测到的入侵事件可能会造成灾难性的财务和运营影响。根据 Mandiant 的《M-Trends 2025》报告,2024 年攻击者在全球的平均潜伏时间为 11 天,一些高级持续性威胁的潜伏时间长达数月。事实上,有超过 7% 的入侵行为在一年以后才被发现。威胁搜寻通过主动搜索自动化系统遗漏的入侵指标来弥补这一关键差距。
实施威胁搜寻计划的组织报告称,其安全状况得到了显著改善。安全团队可以主动搜寻威胁,而不是等待警报,从而在攻击达到目标之前识别并消除攻击。这种主动方法还可以揭示现有安全控制措施中的弱点,提供宝贵的分析洞见,帮助您加强整体防御策略并防止未来遭受攻击。
威胁搜寻是一种以假设为导向的调查流程,由经验丰富的安全分析师主动搜寻自动系统未检测到的恶意活动迹象。安全团队首先根据威胁情报、系统行为中的异常模式或新兴攻击技术,形成有关潜在威胁的理论。然后,他们使用高级分析工具和手动分析系统地调查这些假设。这种方法与传统安全运维有着根本的不同,传统安全运维是对安全工具生成的提醒做出响应。威胁搜寻者会假设攻击者已经存在,并努力揭露他们的活动。
该过程在很大程度上依赖于对整个基础设施的全面数据收集和分析。威胁搜寻者会检查日志、网络流量、端点数据和用户行为,以识别可能表明存在入侵的异常情况。他们使用安全自动化技术来高效处理海量数据,同时运用人类的直觉和专业知识来识别机器可能会忽略的细微模式。目标不仅仅是发现威胁。从本质上讲,威胁搜寻旨在通过持续学习和适应,了解攻击者的攻击方法,提高检测能力,并加强组织的整体安全状况。
威胁搜寻过程遵循系统方法,将原始安全数据转化为有关环境中潜在威胁的可操作情报。虽然具体实施可能有所不同,但成功的威胁搜寻活动通常遵循三个基本阶段,这些阶段相互叠加,形成全面的调查工作流程。
触发器会启动搜寻,无论是关于新兴攻击技术的新威胁情报、在环境中检测到的异常模式,还是对定向威胁的特定担忧。在准备阶段,威胁搜寻者会定义假设并确定调查范围。
安全威胁搜寻者会深入研究安全数据,使用高级分析工具来检查日志、网络流量和系统行为。它们将来自多个数据源的事件相关联,以识别可能表明存在恶意活动的模式。
一旦发现威胁,威胁搜寻者就会记录发现结果、实施遏制措施,并与安全团队合作来修复威胁。他们还会更新检测规则和安全控制措施,以防止将来发生类似攻击。
威胁搜寻方法提供多种结构化方法来发现隐藏的威胁,每种方法都利用了不同组合的威胁情报资源、分析技术和调查策略。安全团队通常会根据具体目标、可用数据和所调查威胁的性质,采用多种方法。这些系统化的流程可最大限度地发现复杂威胁,同时最大限度地减少在虚假线索上浪费的工作量。
威胁搜寻的形式多种多样,具体取决于特定触发器、可用信息和调查目标。每种搜寻类型在安全策略中都有不同的用途,有效的威胁搜寻计划通常会采用以下三种方法,以全面防范各种威胁载体:
结构化搜寻遵循正式的框架和方法,系统地搜索特定的攻击技术或威胁行为者行为。这些搜寻使用既定程序和预定义指标来指导调查过程。
非结构化搜寻以探索性调查为中心,由直觉、异常情况或其他安全活动期间的意外发现触发。搜寻者会根据数据线索进行追踪,不会预设路径或预期结果。
情境搜寻可应对特定的组织环境,例如合并、重大活动或行业特定的威胁活动。这些搜寻活动重点关注在特定情况或时间段内最有可能针对贵组织的威胁。
有效的威胁搜寻需要一个复杂的工具包,该工具包将数据收集、分析和响应功能相结合,帮助安全团队识别和调查潜在威胁。这些工具协同工作,可全面了解您的基础设施,同时让搜寻者能够高效处理大量安全数据。组织通常会部署多个互补工具,以支持威胁搜寻流程的不同方面。
威胁搜寻的主要目标是主动发现并消除那些避开现有安全控制措施的高级威胁,防止其造成损害。威胁搜寻不是等待自动化系统生成提醒,而是主动搜寻隐藏的攻击者,从而缩短攻击者的停留时间,并最大限度地降低漏洞可能造成的影响。
安全运维中心 (SOC) 负责监控和响应自动化系统生成的安全提醒,重点关注已知威胁和既定模式。相比之下,威胁搜寻会主动搜索不会触发警报的未知威胁,并使用假设驱动的调查来发现 SOC 工具可能会遗漏的复杂攻击。
您应该在环境中的所有关键资产和数据源中搜寻威胁,优先处理高价值系统、特权账号和处理敏感数据的网段。将搜寻工作重点放在受入侵影响最大的领域,包括云基础设施、身份系统和可访问关键资源的端点。
可以。Google Cloud Security 通过 Mandiant Threat Defense 提供全面的威胁搜寻功能,由专业安全分析师提供全天候主动威胁搜寻服务。我们的服务结合了先进的威胁情报、经过验证的搜寻方法和深厚的专业知识,可帮助组织检测和应对复杂的威胁。
威胁搜寻可无缝集成到更广泛的网络安全策略中,与自动检测系统和突发事件响应流程相辅相成,形成纵深防御。SIEM 平台和其他安全工具会根据已知模式生成警报,而威胁搜寻则会主动搜索不会触发这些自动化系统的威胁,从而填补这一关键空白。这种方法与您现有的安全运维并行运作,可针对专门设计技术来逃避检测的复杂攻击者提供额外的保护层。
这种做法自然融入了安全运维工作流,弥合了预防与响应之间的差距。威胁搜寻者与安全调查团队并肩工作,为警报提供背景信息,验证可疑活动,并发现可能被忽视的相关威胁。与 SOAR 平台集成后,威胁搜寻结果可以触发自动响应工作流,加快遏制和修复速度,同时确保未来以一致的方式处理类似威胁。这种集成将威胁搜寻从一项孤立的活动转变为一种力量倍增器,可增强安全运维的各个方面。
衡量威胁搜寻计划的有效性需要跟踪运营指标(展示搜寻活动)和结果指标(展示为组织带来的实际价值)。成功的计划会监控一些指标,例如创建的新检测规则数量、发现的先前未知的威胁以及检测平均时间的改进情况。这些指标可帮助您了解搜寻工作是否发现了真正的威胁,以及是否随着时间的推移而有助于加强安全防御。
除了统计突发事件和提醒之外,有意义的威胁搜寻指标还关注发现的质量和相关性。跟踪已发现并随后修复的高优先级漏洞数量、猎手发现的安全覆盖范围缺口,以及随着检测规则的改进而降低的误报率。您还应衡量搜寻活动对威胁情报开发做出的贡献,包括记录的新入侵指标和组织之前未知的攻击模式。
最有价值的指标可以表明威胁搜寻如何降低风险并改善安全状况。监控攻击者潜伏时间的缩短情况、通过搜寻检测到的事件与通过自动提醒检测到的事件的百分比,以及根据搜寻结果实施的安全控制改进措施的数量。这些衡量指标有助于证明继续投资威胁搜寻能力的合理性,并突出显示哪些搜寻方法和重点领域能够带来最大的回报,从而指导计划优化。
要组建一支有效的威胁搜寻团队,需要汇集具备各种技术技能和分析能力的专业人员,他们可以共同发现复杂的威胁。成功的威胁搜寻者不仅要具备网络协议、操作系统和攻击技术的深厚技术知识,还要具备强大的分析性思维和模式识别能力。他们必须了解合法系统活动与恶意行为之间的区别,并有兴趣调查他人可能忽略的异常情况。
必须具备技术专业知识,包括精通数据分析、脚本语言和安全工具。搜寻者需要熟悉网络攻击方法、威胁行为者策略,并能够根据多个系统中的零散证据重建攻击链。除了技术技能外,有效的威胁搜寻者还应具备以下能力:坚持不懈地跟踪复杂的调查线索;创造性地开发新的检测方法;以及与技术人员和高管沟通的能力,以便传达调查结果。Mandiant 威胁搜寻服务体现了这些能力,汇集了经验丰富的专业人员,他们将一线突发事件响应经验与先进的搜寻技术相结合,帮助组织发现并消除隐藏的威胁。
Google Cloud Security 通过 Mandiant Threat Defense 帮助组织实现高水平的威胁搜寻能力,该产品将尖端技术与精英安全专业知识相结合。我们的威胁搜寻团队利用从全球一线突发事件响应互动中收集的卓越威胁情报,提供有关最新攻击者技术和针对您所在行业的新兴威胁的独特洞见。Google Cloud Security 提供全天候主动搜寻覆盖,可帮助您更快地检测和应对复杂威胁,同时通过知识转移和协作调查来构建内部安全能力。
