iT邦幫忙

2023 iThome 鐵人賽

DAY 5
0

威脅尋找是一項重要的安全活動,旨在主動識別和應對可能存在的威脅,即使在未發生實際攻擊之前也能預先做好準備。我們可以把威脅尋找分為兩個主要階段:

1. 建立假設 (Establishing a hypothesis)

在威脅尋找的第一階段,我們必須建立一個假設,假設我們的防禦措施已經失效。例如,假設有消息指出在各大公司使用的 Windows 作業系統存在漏洞。在這種情況下,我們可以開始進行以下步驟的威脅尋找:

2. 概括威脅行為和行動 (Profiling threat actors and activities)

這一階段的目標是深入瞭解潛在的威脅行為和攻擊者的特徵。以下是威脅尋找的示例步驟:

  • 分析網路流量: 尋找具有可疑流量的主機,可能是攻擊者的目標。
  • 分析可執行進程列表: 檢查哪些軟體正在運行,以及它們是否正在與其他不尋常的地方建立連線。
  • 分析其他受感染的主機: 調查其他出現相同異常行為的主機,以確定是否有相同的可疑軟體正在運行。
  • 識別惡意進程的執行方式: 深入研究可疑軟體是如何執行的,以便制定防範措施。

威脅尋找可能需要大量時間和資源,但帶來了很多好處:

  1. 提高檢測能力: 威脅尋找有助於發現潛在的威脅,增強安全檢測能力。
  2. 整合情報: 透過分析潛在的攻擊活動,可以整合情報並更好地了解攻擊者的模式和方法。
  3. 減少被攻擊範圍: 通過發現和解決潛在的弱點,可以減少組織的弱點。
  4. 封鎖攻擊: 威脅尋找有助於識別潛在的攻,使組織能夠採取預防措施。
  5. 識別關鍵資產: 通過威脅尋找,可以識別組織中的關鍵資產,優先保護這些資產。

威脅尋找是一個動態的過程,有助於組織更好地應對快速變化的威脅環境,並提高整體安全性。


上一篇
[Day4] 威脅情報 Threats intelligence resources
下一篇
[Day6] 安全控制類別 Security Control Functional Types
系列文
你懂資安 資安就會幫你! CompTIA Security+ (SY0-601) 到底在講什麼!!30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言