隨著網絡技術不斷發展，網絡攻擊方法和能力不斷升級，威脅利用也從已知到未知不斷發展變化，網絡攻擊逐步形成一道黑色產業鏈，防守方也需隨之升級防御方案，變被動防守為主動“威脅狩獵”。

| 什么是威脅狩獵？

威脅狩獵，是安全人員在網絡安全中定位各類威脅攻擊，它不是一款產品，而是一種方法，憑此方法可有效發現并阻斷網絡環境中的異常情況。

| 為什么需要威脅狩獵？

攻擊者常通過高級威脅攻擊、漏洞利用、惡意軟件等方式避開各類安全規則，利用內網環境滲透行為獲取目標主機數據或執行某種破壞行為。面對當下復雜多變的定向攻擊，我們需要采用主動檢測和實時響應的方式，獲取攻擊痕跡，發現潛伏在內網環境中的威脅，以此達到縮短攻擊者潛伏時間等目標。

| 威脅狩獵的方式有哪些？

事前防御是威脅狩獵的主要思想，通過事前主動掃描發現可繞過安全設備的未知威脅。獵人狩獵通常采用人工測試+機器輔助的方式，安全人員收集相關入侵證據，定位隱匿的攻擊，同時安全設備收集相關攻擊信息，協助安全人員發現潛在風險。

為應對當下場景，天融信通過自適應安全防御系統構建主機側防御閉環，融合自適應安全架構及CWPP核心理念，解決傳統防護手段的被動局面，通過對主機進行持續的監控與分析，多角度定位安全風險與入侵攻擊，為獵人提供豐富的原始數據。

光說不練假把式

話不多說

實戰見真章！

9月X日 | 實戰日記

我是天融信自適應安全防御系統，今天的工作任務是巡檢某市數據管理局的多臺主機。

首先，我通過資產管理功能，仔細梳理出主機龐雜的數據資產，展示主機進程、端口、計劃任務等重點資產信息，方便安全人員構建主機側資產指紋庫；

隨后，我利用風險發現功能，對主機系統漏洞、中間件漏洞、數據庫漏洞、弱口令等安全風險進行全面掃描，并提出具體修復建議，幫助市局快速改進脆弱點，縮小風險面；

此時，我在一臺IP為XX.X.XXX.206的主機內發現異常，拉響警報，進入應急響應模式！

經天融信專家團隊追溯研判，確認存在病毒利用某系統漏洞進行攻擊，攻擊者試圖進行本地提權，總局立刻采取響應措施：

第一步，通過威脅檢測模塊對病毒進行查殺，阻止病毒進一步擴散，降低主機損失持續擴散；

第二步，配置隔離策略，及時阻斷非法流量，解決安全威脅在主機間橫向移動等問題；

第三步，對相關主機進行安全加固，對漏洞、弱口令、賬號風險、文件完整性等提供持續掃描與修復，掃除主機內部安全隱患；

最后，通過本系統快速分析和響應下，威脅解除，有效抵擋主機“刺客”！

天融信自適應安全防御系統

主機安全運營響應流程

四步緩解安全人員威脅捕獲數據繁雜煩惱

TOPSEC

隨著高級威脅攻擊等威脅不斷迭代更新，企業需要威脅捕獲等主動檢測的方法來減少攻擊者帶來的影響，提高主機安全能力。未來，天融信將繼續深耕主機安全領域，為各行業客戶提供更為穩固優質的產品、解決方案與服務，積極應對新的安全威脅與挑戰，打造主機安全新體系！