什么是威胁检测

威胁情报平台（TIP）能够从多个来源（包括商业和开源情报源）收集和整合威胁数据，以各种格式（如CSV、STIX、XML和JSON）呈现。这使得组织能够获得对手的情报，检测其存在，阻止其攻击，并降低其基础设施能力。TIP将精心策划的相关威胁情报输送到安全工具（如SIEM和入侵检测系统）中，帮助安全团队与可信圈内的其他组织共享威胁信息，并获得实施协调对策的指导。

组织还可以实施身份威胁检测与响应（ITDR）来保护身份管理基础设施免受攻击。ITDR能够阻挡和检测威胁、验证管理员凭证、响应各种攻击并恢复正常运行。ITDR使用行业标准框架监控身份系统的滥用和入侵情况，并将多因素身份认证等基础IAM控制与监控相结合。

入侵检测系统（IDS）能够识别并快速响应网络攻击。现代IDS解决方案利用机器学习和数据分析来发现组织计算基础设施中潜伏的威胁，并为安全团队提供数据线索来发现安全事件的源头。

组织可以利用Amazon Key Management Service等云加密服务，控制数据加密并防止未经授权访问存储在云中的敏感数据。

终端检测与响应（EDR）软件能够持续监控终端设备，快速检测和响应安全事件。EDR工具会记录终端活动，实时分析事件以检测可疑行为，并为安全团队提供全面的可见性。

将EDR与其他终端安全技术（如防病毒、防火墙等）整合到终端保护平台中，可以为组织提供全面的防御，应对各种安全风险。

安全分析有助于在威胁影响系统之前加以检测。安全分析可以识别常见威胁、确定恶意行为者身份，并分析攻击技术，从而提高组织的整体安全态势。

利用人工智能分析大量有关漏洞、威胁和攻击策略的数据，可以更准确地识别异常网络活动，从而提高网络检测和响应（NDR）系统检测新兴攻击模式的能力，降低误报率。

人工智能模型可以根据受影响资产、可利用性和潜在影响等因素评估NDR警报的严重程度，从而帮助安全团队在人员短缺的情况下有效地对警报进行分类和处理。

尽管目前尚未广泛采用，但人工智能有望使NDR平台能够自主执行诸如隔离终端等遏制措施，并由人工智能识别和推荐响应行动供分析师审批。

NDR供应商正在探索与自然语言人工智能的集成，以生成事件报告和指标，使其不仅对技术安全人员，对业务领导者也易于理解。

这是一种主动和迭代的过程，通过搜索网络来检测和隔离那些可能逃避现有安全解决方案的高级威胁，与传统的威胁管理措施不同，后者是在潜在威胁或事件发生后才做出反应。

这种方法利用机器学习和用户/实体行为分析（UEBA）来开发风险评分，作为威胁搜寻的线索。通过分析用户和系统行为的异常情况，可以发现潜在的恶意活动。

这种方法通过分析企业的核心资产、风险评估以及员工/网络趋势等情况，来制定威胁检测假设。它关注企业内部的安全状况，以及可能存在的薄弱环节。

这种方法利用威胁情报报告、情报源、恶意软件分析和漏洞扫描等外部信息，来指导威胁搜寻的方向。通过收集和分析最新的网络威胁情报，可以提前预防和发现攻击。

终端检测与响应（EDR）是一种持续监控终端设备的网络安全技术，旨在检测和缓解恶意威胁。它增强了身份和访问管理（IAM）的检测和响应能力。

威胁情报平台（TIP）帮助组织获得对抗威胁的优势，具备检测威胁、阻止攻击和降低攻击者基础设施的能力。TIP使安全团队能够共享威胁情报并协调应对措施。

异常检测是入侵检测系统中常用的一种方法，用于识别异常活动，这些活动可能表明存在安全威胁。它利用阈值、统计和机器学习等技术来建立正常行为模型，并标记偏离正常模式的活动。

大型安全运营中心（SOC）使用的安全工具每天可能会产生数亿次安全事件和警报。过滤出可疑事件进行分类处理变得非常困难，需要高度可扩展和高效的处理能力。

随着团队和企业规模的扩大以及威胁数量的增加，通过电子邮件、电子表格或门户系统共享威胁数据的传统方式已经无法满足需求，效率低下。面对攻击源的快速变化，需要更加协调和自动化的方式在安全团队和社区之间共享威胁情报。

在部署异常检测策略时，客户往往面临扩展运营以支持该技术的挑战。建立适当的数据阈值也是一个难题，这确保了一旦解决方案部署，整体的完整性不会受到损害。

与传统SIEM解决方案相比，安全分析更加动态，能够识别常见威胁并精确定位恶意行为者。传统SIEM解决方案可能会被恶意行为者不断变化的技术所迷惑，而安全分析则使用预测方法来描述这些技术并识别新的行为以保护系统。

人工智能在网络检测和响应（NDR）工具中的应用日益增长，安全团队正在探索AI提高NDR能力的潜力。NDR中AI的主要用例包括：

一些研究机构的研究和调查发现，61%的受访者报告了至少11%的整体安全状况可测量改善，23.6%的人经历了"显著改善"，缩短了威胁驻留时间。威胁搜寻涉及分析师通过研究大量网络数据来验证假设，结果存储用于改进自动检测系统，并为未来的假设奠定基础。

安全分析可以帮助组织在威胁影响系统之前检测、调查和响应威胁。它可以防止未经授权的访问，并帮助分析威胁特征和记录补救措施，为未来的攻击节省时间和资源。异常检测是安全分析的一个关键组成部分，可以识别超出正常模式的可疑活动，使组织能够在问题扩散之前将其定位和解决，从而节省成本并维护客户信任。

2019年左右，网络流量分析（NTA）解决方案开始出现，为快速识别和响应潜在威胁提供了更好的网络活动可见性。到2020年，NTA在实时威胁检测领域的采用率不断增长，87%的组织使用NTA，43%的组织将其视为"第一道防线"。

随着时间的推移，该领域的重点转向创建可以高效部署在大型复杂网络环境中的解决方案，以适应不断增长的各种安全威胁和现代计算基础架构的动态性。这导致了NTA向网络检测和响应（NDR）的演进，NDR将检测功能与事件响应工作流程相结合，实现了对网络威胁的实时检测和响应。

2017年的WannaCry勒索病毒和2020年的SolarWinds供应链攻击等重大事件凸显了NDR等解决方案的需求，因为传统的边界防御和基于签名的工具已经无法应对现代威胁。NDR市场在2022年的估值为29亿美元，预计到2032年将达到85亿美元。

访问控制是威胁检测的第一道防线，通过用户账户控制和加密技术来限制对系统和数据的访问。合理的访问控制策略能有效防止未经授权的访问，降低被攻击的风险。

监控系统是威胁检测的核心部分，包括入侵检测系统（IDS）、终端检测与响应（EDR）技术、身份威胁检测与响应（ITDR）等。它们持续监控网络、终端和身份系统，以发现可疑活动和攻击行为。

安全分析利用机器学习和数据分析技术，对组织的计算基础设施进行全面检查，发现潜在威胁并追查攻击源头。它能够在威胁影响系统之前就将其识别出来，从而提高安全防护能力。

异常检测是威胁检测的关键组成部分，能够识别偏离正常行为模式的可疑活动。及时发现异常行为有助于实时保护系统，避免造成财务损失或损害客户信任度。