生命週期中的偵測與分析階段
網路安全事件檢測的主要方法
檢測方法/工具 | 定義 | 優點/功能 | 例子 |
---|---|---|---|
威脅狩獵(Threat Hunting) | 主動尋找未被工具檢測到的潛在威脅 | 結合人類分析與工具;提高發現隱匿威脅的可能性 | 無文件型惡意軟體(Fileless Malware)可能未被傳統方法發現,透過威脅狩獵,可以在威脅產生實際損害前進行攔截。 |
威脅情報(Threat Intelligence) | 基於證據的數據分析,為威脅提供上下文,信息來源:行業報告/政府的攻擊方針(TTP)/ 威脅資料流(例:高級持續性威脅APT情報和IP地址、域名、檔案雜湊指標file hashes.等)。 | 幫助安全團隊瞭解威脅情況並制定計畫; | 威脅情報平台(TIP)可整合、集中化資訊,幫助識別、優先處理威脅 |
網路欺瞞(Cyber Deception) | 詐騙攻擊者並吸引其訪問假資源 | 幫助提高警報準確性與防禦效能。減少誤報、優化防禦策略的設計,可吸引惡意行為者。 | Honeypots (虛擬假檔案,用於攻擊行為監控) |
「威脅狩獵」的重要性在於補足偵測工具的不足,並主動預防潛在威脅對組織的影響。這種方式將技術優勢與人類的直覺和經驗相結合,使其在複雜的威脅環境中具有不可取代的價值。尤其是在面對如文件無痕惡意軟體等高技術性威脅時,威脅狩獵為安全防護增加了更深層的保障