防御网络攻击是联邦 IT 专业人员的一项重要职责,但网络威胁的性质和复杂性在不断变化。为了跟上黑客和不法分子的步伐,各机构可以使用威胁猎手主动监控系统漏洞并防范重大入侵。
在最近的一次培训中,GovLoop 采访了三位专家,了解威胁猎手如何在机构内运作并改善政府网络安全。美国国务院外交安全网络威胁部门负责人 Chuck Steel、Splunk 产品营销总监 Jae Lee 和约翰霍普金斯应用物理实验室防御性网络运营经理 Anthony Talamantes 介绍了各机构如何更好地保 斯里兰卡电话号码 护政府 IT 系统。他们还分享了自己使用威胁猎手打击黑客的经验。
首先,斯蒂尔概述了国务院威胁搜寻计划的运作方式。威胁搜寻计划不同于标准的外围网络安全,因为斯蒂尔表示,“我们会在自己的网络中四处搜寻,看看有什么异常。”为了发现潜在威胁,成功的威胁搜寻者(其中许多人与能够分析大数据集的数据科学家合作)必须开发和部署有关系统内常见行为以及黑客使用的常见攻击技术的情报。通过持续监控数据和 IT 系统是否存在异常,威胁搜寻者可以在网络威胁演变成全面入侵之前检测到它们。
Talamantes 亲身体验了威胁搜寻和开发威胁情报如何防范黑客。经验丰富的黑客两次将他的组织作为目标。通过检查每次攻击,他的团队可以分析和了解对手的行为,这有助于防范未来的攻击。当他被请去帮助一个受到同样黑客攻击的合作伙伴组织时,他对对手有了更多的了解。从这次攻击中,他进一步了解了对手在数据中隐藏恶意软件的不断发展的技术,并运用这些知识帮助他识别自己系统中的更多漏洞。
威胁搜寻不仅仅是确定基线和潜在威胁。Lee 补充说,威胁搜寻计划涉及将机构的网络安全心态从被动转变为主动。“与其寻找像漏洞这样值得注意的东西,不如有一个假设,知道你在寻找什么,并尝试验证你的怀疑,”他说。“这是关于主动性的。”
专家们一致认为,威胁猎手的必要资格与普通网络安全专业人员略有不同。斯蒂尔指出,在聘请威胁猎手时,机构应该寻找具有分析能力和“修补匠”精神的网络安全专业人员。这意味着他们不断提出问题以获得更深入的知识,并且喜欢在系统中寻找错综复杂的问题。
塔拉曼特斯表示同意。他解释道:“他们应该是具有深厚分析能力、能够理解威胁本质的人,而不仅仅是能够设置防火墙的人。”
最后,专家建议,实施威胁搜寻计划的最佳方式是从您已有的资源开始。尽管预算和人员有限,但 IT 专业人员可以通过展示对组织有帮助的早期成果来展示威胁搜寻的价值。Lee 认识到,您不需要额外的人员来了解您的环境或引导您的心态积极应对威胁。
塔拉曼特斯指出:“不完美的开始也比未实施的计划更好。”
黑客正在学习制造更复杂的网络攻击,威胁搜寻是防范这些不断发展的技术的一种方法。通过了解您的环境、了解威胁并积极搜索机构数据和 IT 系统中的漏洞和异常,IT 专业人员可以更好地防范违规行为并确保机构能够继续履行其使命。
有关威胁搜寻的更多信息,请在此处收听整个在线培训。
