网络威胁搜寻的新范式

迅速查明这些威胁至关重要，但传统的大海捞针的方法往往难以奏效。

现在有了一个独特的机会，可以获得更可行、更有效的威胁搜寻能力，这源于一项最不寻常的努力：重新思考广域网的方法。

当我们看看今天的网络杀戮链时，有两个主要阶段，感染和感染后。安全专家承认，无论组织的安全控制有多好，它们都可能受到感染。

简单的事实是，感染媒介变化迅速且持续。攻击者使用新的传递方法，从社会工程到零日开发–；而且它们通常是有效的。

在大多数情况下，感染是一个单一的事件。交付方法是单一的，这降低了安全控制的检测机会，旨在防止威胁进入。

不幸的是，大多数组织仍然将更多资源集中在预防而不是检测上。他们现在部署的主要工具包括防火墙、反垃圾邮件、沙箱、IPS（入侵防御）、情报源、URL过滤、反恶意软件和反机器人。

这些解决方案被设计成在周围剩余的区域前面，以防止感染尝试。然而，一旦威胁从周界溜走，工具就无法看到或阻止它。

威胁狩猎正在上升

这就产生了“威胁搜寻”的概念，也就是主动搜索网络中逃避现有安全措施的威胁的过程。

寻找威胁需要转变为感染后的心态，以及一系列工具，如SIEM（安全事件和事件管理）、EDR（端点检测和响应）和NDR（网络检测和响应）。

即使有了这些工具，出于各种原因，寻找威胁也是一项挑战。首先，这些解决方案是“沉重的”它们需要某种类型的数据收集，包括在端点上安装代理和/或在网络上安装硬件。对于大型企业来说，这可能会非常昂贵。

此外，它可能会错过未安装collection agent的移动设备的流量。另一个问题是，这些解决方案依赖于单个时间点的可用实质性数据。这些数据缺乏更广泛的背景和历史视角。

例如，当SIEM工具从许多不同的点安全解决方案接收警报和日志时，警报会彼此分离，这样，如果没有警报背后的原始数据，每个结论都是不同的。

有太多事件没有足够的背景，安全分析人员无法确定感染。此外，很少有组织拥有分析数据和识别持续威胁的技能和资源。

寻找威胁的新机会

奇怪的是，企业转向了软件定义的广域网（SD-WAN）作为一种基于云的服务，现在提供了一种替代方法来进行威胁搜索，以解决现有方法的缺点。

基于云的SD-WAN是一种新的网络架构，典型企业网络的所有实体，总部办公室、数据中心、分支机构、作为外部网络一部分的云基础设施（即AWS、Azure等）以及移动用户，都连接到云中的网络中。

这些元素通过一系列全球存在点（POP）连接到云网络主干。这将创建一个统一的网络，它承载了连接的各种企业实体的所有业务，包括企业互联网+广域网业务。将所有这些流量集中在一个网络上形成了一个有价值的威胁搜寻数据集。

卡托网络已经确定了利用这一单一、统一的数据源（流经其Cato云网络）作为新威胁搜索服务输入的机会。

这扩展了Cato的融合安全产品，该产品已经包括防火墙即服务、下一代防火墙、安全web网关和高级威胁保护。

是什么让通过基于云的网络进行威胁搜索变得独一无二

传统的网络安全解决方案是在单个分支网络的级别上构建的。他们检查的所有流量都是孤立的，并且仅限于特定的位置，例如分支或地理位置。

由于Cato有自己的网络主干网，它在其中具有完全的可视性，服务提供商可以看到来自世界各地所有客户的所有网络流量。这种对如此多网络流和如此多数据的可视性是独一无二的，它使Cato能够构建模型，基于无限的原始数据进行全面的威胁搜索。

Cato的模型演化了数据上下文的三个方面：客户分类、目标和时间(see Figure 1).让我们来看看这些元素中的每一个，以及将这三个元素放在一起如何提供对网络上存在威胁的高度信心。

图1:Cato声称通过使用原始网络数据而不仅仅是安全日志，然后在三维空间中扩展上下文来提高检测精度—；客户、目标和时间。

客户分类

它从客户分类开始。当其他安全解决方案使用流检查源客户端时，会考虑源IP、用户名和设备名称等实体。

通常，这些信息用于区分网络上的不同设备，但很少用于实际决策流量是否恶意。

Cato已将客户机分类扩展到更广泛的方案中，使用了诸如HTTP或TLS是否是主要通信的一部分、各种浏览器的独特指纹以及它们使用的库类型等元素。这些项目提供了更多细节，通过使用机器学习分析这些数据，Cato可以非常准确地对其网络上的不同客户机进行分类。

目标

Cato使用的下一个上下文元素是target，客户端连接到的IP或域地址。目标通常是流的一部分，用于决定某个东西是否是恶意的。大多数安全解决方案只是将目标与安全源列表进行比较。

卡托更进一步，为它看到的每个目标创建一个“人气分数”。分数是根据客户与目标沟通的次数计算的。所有目标的得分都会被扣掉，得分最低的目标通常是恶意或命令和控制网站的指标。

随着时间的推移进行沟通

Cato的最后一个上下文参数是时间。随着时间的推移，活跃的恶意软件会保持通信；例如，从C&amp；C服务器，或进行数据过滤。其他安全解决方案通常不考虑时间（重复性），而Cato将其视为一个重要的数据元素。

外部通信重复的次数越多，产生这种流量的机器或机器人的可能性就越大，因此恶意流量的可能性就越大。

一个真实的例子

图2：下面是一个例子，展示了Cato如何识别客户网络上的Conflicker。注意整个过程中客户端、目标和时间的使用。

下面的例子来自一位真正的Cato客户。Cato云网络上有一台机器，它试图连接到大约150个域，其中90%以上是未解析的DNS请求。域本身看起来像是生成它们的算法（见图2）

回顾历史，分析人士可以看到，这一事件每三小时发生一次，这表明它可能是机器人流量。一些域被解析，之后有一个HTTP会话，允许分析人员解析客户端。

根据客户机分类算法，Cato在网络提供商获得的所有数据中都不知道该客户机。在这一点上，可以得出结论，一个未知的机器人经常与一个人气较低的目标网站进行通信。对拥有这台机器的客户的进一步分析表明，它感染了恶意软件。

Cato能够在没有任何外部源或IPS签名的情况下自动检测到这种威胁。这一发现纯粹是研究网络流的结果。不需要额外的代理或硬件来收集数据，因为所有数据都来自通常通过Cato网络的流。

最终客户没有花费任何努力来追踪这一威胁，只是查看了卡托认定为涉嫌窝藏恶意软件的机器。这确实是一个寻找威胁的新范例。