威脅追捕，就是主動識別并抑制已在企業(yè)環(huán)境中建立了橋頭堡的對手。這與威脅檢測不同，威脅檢測主要是靠特征碼檢測或系統(tǒng)事件關(guān)聯(lián)等手段，發(fā)現(xiàn)入侵指標(biāo)(IOC)，識別出威脅。此類上下文中的威脅，就是具備做壞事的意圖、能力和機(jī)會的對手。威脅追捕是對威脅檢測的補(bǔ)充。威脅檢測有其局限，且依賴4個先決條件(或者假設(shè))：

• IOC可預(yù)測
• IOC有邏輯且可量化
• IOC靜態(tài)且不可交換
• IOC可見且可發(fā)現(xiàn)

這4個先決條件未必總能滿足，某些情況下，一個都不能滿足。即便前3個都滿足了，最大的挑戰(zhàn)在于最后一個往往滿足不了。監(jiān)測每個可能的系統(tǒng)、網(wǎng)絡(luò)或用戶，是非常難的。更重要的是，時間和金錢的消耗都太大了。產(chǎn)出的大量警報、事件和誤報，也引發(fā)了其自身的一系列問題。而且，即使威脅檢測成功，相關(guān)警報也有可能被漏過，或者事發(fā)后很久才被注意到。威脅駐留時間的統(tǒng)計數(shù)據(jù)，已一次又一次地證實(shí)了這一點(diǎn)。

如果信禪，或許會問：“如果網(wǎng)絡(luò)上出現(xiàn)了一個IOC，而沒人正在監(jiān)視，那還算是威脅嗎?”鑒于高調(diào)數(shù)據(jù)泄露發(fā)生的頻率，該問題的答案無疑是：算!

黑客同樣注意到了這些因素，并據(jù)此對自身戰(zhàn)術(shù)、技術(shù)和流程(TTP)做出調(diào)整，盡可能地消除這些先決條件。這是網(wǎng)絡(luò)安全中自然選擇的基礎(chǔ)，也是黑客與網(wǎng)絡(luò)安全人士間持續(xù)武器競賽的根源。

威脅追捕旨在矯正威脅檢測中的固有弱點(diǎn)。很明顯，如果黑客已經(jīng)出現(xiàn)在內(nèi)部網(wǎng)絡(luò)中，威脅檢測就已失敗，或者說，至少是在初始漏洞利用前沒能做出響應(yīng)。若是前者，發(fā)現(xiàn)自己是否被黑的唯一方法，就是從等待檢測技術(shù)指出威脅，轉(zhuǎn)向人工調(diào)查是否有檢測技術(shù)漏掉的指標(biāo)。若是后者，威脅追捕將專注評估入侵的范圍，旨在肅清攻擊者建立的任何立足點(diǎn)。 

一、威脅追捕的3種風(fēng)格

1. IOC驅(qū)動威脅追捕

檢測已知IOC，并用于識別相關(guān)IOC和TTP，以驅(qū)動對環(huán)境中存在威脅的搜索與分析。

2. 分析驅(qū)動威脅追捕

高級分析、機(jī)器學(xué)習(xí)和行為分析技術(shù)識別出異常或可疑活動，驅(qū)動進(jìn)一步調(diào)查。一定程度上，行為分析技術(shù)已自動化了傳統(tǒng)威脅追捕的某些方面，但承襲了與威脅檢測類似的局限，且產(chǎn)生了一些自身的弱點(diǎn)。

3. 假設(shè)驅(qū)動威脅追捕

特定威脅可能已成功侵入環(huán)境的初始假說或假設(shè)?？赏茢喑雠c該威脅相關(guān)的TTP和IOC，驅(qū)動對威脅的搜索與分析。

聰明的讀者可能已經(jīng)發(fā)現(xiàn)，前兩種風(fēng)格都依賴對至少一個IOC的成功檢測及發(fā)現(xiàn)。因此，這兩種方式主要用于驗(yàn)證入侵是否發(fā)生，并評估威脅的散布范圍。

二、假設(shè)威脅

假設(shè)驅(qū)動威脅追捕不依賴前置檢測。這種方法會假設(shè)有尚未檢測到的威脅可能已經(jīng)針對公司下手了。這其中比較沒那么明顯的一點(diǎn)，是假設(shè)驅(qū)動威脅追捕、威脅評估和威脅模擬之間的關(guān)系。

1. 威脅評估

威脅評估中，可能針對公司的潛在相關(guān)威脅，往往通過利用威脅情報的方式，被識別出來。然后納入風(fēng)險管理過程，用以確定需要部署哪些安全預(yù)警措施，來抵御潛在威脅。

2. 威脅模擬

威脅模擬中，威脅TTP與現(xiàn)有安全技術(shù)、人員和過程相抗衡，借以評估攻擊情況下能否撐住。若能實(shí)際測試，效果會更好。真正的滲透測試或道德黑客活動，或者成熟企業(yè)所謂的紅隊測試，就是該方法的一個樣例。

三、假設(shè)驅(qū)動威脅防御

假設(shè)的一個定義，是“基于有限證據(jù)做出的假設(shè)或提案，用作進(jìn)一步調(diào)查的起點(diǎn)。”對網(wǎng)絡(luò)安全人員來說，“有限證據(jù)”是其中關(guān)鍵詞。

威脅檢測技術(shù)提供有限證據(jù)——或許會發(fā)現(xiàn)一些IOC，但可能提供不了對高級/大范圍入侵的清晰評估。這些技術(shù)可能根本無法成功檢測威脅。威脅情報提供理論上都有些什么的大量證據(jù)，但無法確定到底誰會實(shí)際攻擊你。預(yù)防技術(shù)防護(hù)多種已知攻擊類型，但我們沒有足夠證據(jù)證明可以防住下一波攻擊。

假設(shè)驅(qū)動威脅防御，將這些假設(shè)都整合進(jìn)了單個框架中，用作風(fēng)險管理項(xiàng)目的基礎(chǔ)。威脅假設(shè)、威脅模擬和假設(shè)驅(qū)動威脅追捕，是假設(shè)驅(qū)動安全的三大基石，也是成功威脅緩解的三駕馬車。綜合起來，它們考慮的是：誰可能針對你，他們有沒有可能成功，以及他們是否已經(jīng)成功了。

威脅快速進(jìn)化，技術(shù)不斷涌現(xiàn)，再加上可執(zhí)行證據(jù)和確定性的缺乏，這么一種態(tài)勢下想要成功，假設(shè)，已經(jīng)是我們最逼近預(yù)測的做法了。