威脅尋找是一項重要的安全活動,旨在主動識別和應對可能存在的威脅,即使在未發生實際攻擊之前也能預先做好準備。我們可以把威脅尋找分為兩個主要階段:
1. 建立假設 (Establishing a hypothesis)
在威脅尋找的第一階段,我們必須建立一個假設,假設我們的防禦措施已經失效。例如,假設有消息指出在各大公司使用的 Windows 作業系統存在漏洞。在這種情況下,我們可以開始進行以下步驟的威脅尋找:
2. 概括威脅行為和行動 (Profiling threat actors and activities)
這一階段的目標是深入瞭解潛在的威脅行為和攻擊者的特徵。以下是威脅尋找的示例步驟:
威脅尋找可能需要大量時間和資源,但帶來了很多好處:
威脅尋找是一個動態的過程,有助於組織更好地應對快速變化的威脅環境,並提高整體安全性。