网络威胁愈演愈烈！安全团队的第一要务是威胁检测

威胁检测是安全团队的第一要务。最近一项研究表明，团队发现违规行为，有超过50%实际上都是威胁行为者在成功入侵后自己披露的。随着攻击方法和复杂性的不断发展，为了在发生攻击之前识别可疑活动，安全团队需要优先考虑威胁检测。

现今，企业和组织要进行检测威胁，不仅要考虑使用哪种方法，还要考虑使用哪些数据。本文将介绍三种主要的检测方法以及对企业网络安全的重要性。

基于签名的检测方法包括查找恶意活动的指示器（哈希、文件名、注册表项名称或文件中显示的字符串）。例如：与 c：\windows\system32\bigdrop.exe 等投放器恶意软件关联的已知文件名，或具有与已知恶意软件匹配的哈希值文件。其中，也有更通用的签名，例如攻击者经常使用注册表项中显示的新值以获得持久性，寻找具有base64编码的PowerShell脚本或启动PowerShell脚本的Microsoft Word。

基于签名的方法已经存在了很长时间，且可用于基于端点和网络的检测。例如，Snort是一个开源入侵防御系统（IPS），它使用规则来检测恶意网络活动并生成警报，供分析师查看。

基于签名的检测方法非常适合识别已知攻击，但如果攻击者使用新技术或对旧技术稍作修改，则无法识别出。如果没有自动化元素，再加上额外的上下文，这种威胁检测方法可能会难以管理。

基于行为的检测方法是识别异常行为的一个方法，这些异常行为可能表明对端点、设备等的恶意攻击。安全分析师使用各种技术为用户建立基线，并将这些正常模式与任何非标准操作进行比较。例如，可以构建单个用户的应用程序使用情况的基线，并进行比较，标记诸如他们以前从未使用过的应用程序或从未访问过的位置登录等情况内容。

检测方法需要定期更新基线，以保持相关性。其中许多方法仅根据创建一次的基线建立的，但用户行为总是在变化，因此需要定期更新以说明新的、不同的、非可疑的行为。有些工具可以自动建立，而有些则需要手动干预。

根据行业和供应商类型，机器学习可能意味着不同事情。但为了进行威胁检测，机器学习提供了一种新方法：通过网络、端点、网络上的遥测以及身份服务和云服务等信息，利用更多和更好的结构化数据，提高网络安全效率。

这些大型数据集可以使用有监督或无监督的学习方法来发现可能是由于恶意活动指标的细微变化。这一最新的发展使安全团队能够分析大量数据集，从而对主机和其他实体行为有了新的见解。

通常，仅依靠机器学习可能无法直接发现威胁，但可以与更具确定性的检测方法一起使用，以提高保真度并为警报添加重要颜色。例如，拥有高风险分数，同时又产生异常的网络流量的用户。

使用该方法，对所分析数据的质量和清洁度要求很高，同时在将结果传达给分析师时，如何丰富结果也很重要，因为算法的数学输出需要被人类分析师转换成可消耗的东西。

"网鉴"流量高级威胁检测系统，是一款采用DPI技术、高效沙箱动态分析、丰富的特征库、二次研判模型、海量的威胁检测情报、机器学习等技术进行深度分析，发现网络入侵攻击、恶意代码传播、远程控制及渗透行为等攻击和控制行为。

随着网络威胁的持续上升，企业比任何时候都需要拥有安全运营解决方案。它不仅能全面了解其整个环境，无论是在本地、云端还是两者兼而有之，同时也能够提供自动响应功能的网络安全平台，可以通过检测和响应功能来帮助阻止这些威胁。这些功能可以保护有价值的数据安全，同时确保客户和公司都受到保护。

15859296631 (章老师)（南区）

18931218718（朱老师）（北区）

参考来自：

https://www.helpnetsecurity.com/2022/12/14/3-major-threat-detection-methods-explained/