Crowdstrike：2021年威胁猎人报告（英文版）（59页）.pdf

1、在又一年的时间里，通过提前识别恶意活动并阻止对手，守望先锋挫败了创纪录数量的交互式入侵尝试。本报告分享了守望先锋从2020年7月1日至2021.3年6月30日的全天候威胁追踪的见解。今年的报告首先对守望先锋广泛的数据集进行了详细的分析，这些数据集涵盖了互动威胁行为，我们在报告中将其称为“入侵活动”。它使用这些数据来检查威胁行为者是如何在受害者环境中操作的，突出了对手正在使用的罕见和常见的技术。守望先锋的任务是利用人类的专业知识增强猎鹰平台强大的自主保护能力。在人类创造力和受专利保护的工作流程的共同作用下，守望先锋系统地筛选了1万亿件日常事件，以发现潜在的动手入侵，平均每8分钟就有1件。Over

2、Watch以快速和大规模的方式运行，几乎实时地通知受害者组织恶意活动，确保在入侵之前识别并中断包含新型间谍技术的入侵尝试。alcon OverWatchTM是基于CrowdStrike FalconR平台的crowd射手管理威胁搜索服务。守望风云在365年7月24日的基础上进行彻底的人类分析，无情地寻找异常或新型攻击者谍报技术，旨在逃避其他探测技术。OverWatch是一个精英的跨学科团队，利用CrowdStrike威胁GraphR数据库的力量，并丰富了CrowdStrike威胁情报，持续搜索客户环境中的威胁活动。拥有每天收集的超过1万亿终端相关事件的云级遥测技术，以及对160多个敌方组织的详

3、细谍报技术，守望者拥有无与伦比的能力，可以看到和阻止最复杂的威胁让对手无处藏身。”本报告以详细的案例研究为特色，分享了对守望先锋每日跟踪的实践活动的见解，并为寻求加强其安全程序的防御者提供了建议。请注意，这份报告的调查结果与守望先锋跟踪的交互式(即动手操作)有针对性的入侵和eCrime入侵有关，并不能代表守望先锋或猎鹰平台所阻止的攻击的全部范围。此外，术语“入侵”被用来描述OverWatch在受害者环境中发现的任何恶意交互活动。术语“入侵”不是“安全破坏”的同义词，不应该被理解为威胁行为者能够实现他们的目标。守望先锋的任务是发现技术本身无法发现的威胁。威胁捕猎发生在敌人和防御者之间的战斗前线。每年守望先锋都会看到更多的敌人，新的谍报技术和更快的入侵。在这种情况下，找到威胁只是战斗的一半;利用这些洞察力大规模地瓦解对手是赢得这场战役的关键。在2020年7月1日至2021年6月30日的12个月里，守望先锋的人类威胁者直接识别出了超过65,000个潜在入侵，或大约每8分钟1个潜在入侵每天24小时，一年365天。这代表了守望先锋分析师发现的数千个对手积极寻求逃避自动检测技术的例子。当考虑对手在短短几分钟内开始在受害者环境中移动的能力时整个报告都显示了这些数字表明了持续威胁捕猎的重要性。