第一代威脅獵手成長(zhǎng)史，事件響應(yīng)、取證和安全分析技術(shù)是關(guān)鍵。

[[229808]]

滲透測(cè)試員是很有趣的工作，你可以拿著錢去嘗試突破客戶公司，與超酷的人一起工作，學(xué)到很多東西。最棒的是，即使你沒(méi)能闖入客戶的系統(tǒng)，客戶還會(huì)非常高興，吹噓自己的計(jì)算機(jī)安全防御如何堅(jiān)挺，連持續(xù)的黑客測(cè)試都能撐過(guò)。

而在過(guò)去幾年中，出現(xiàn)了更為菁英的白帽子黑客分支：威脅獵手。威脅獵手，既是先發(fā)制人的黑客，也是取證調(diào)查員，還是入侵檢測(cè)者和事件響應(yīng)(IR)人員。當(dāng)然，IR是他們的重點(diǎn)角色。

Rob Lee 是波士頓地區(qū)的作家、顧問(wèn)和SANS教職研究員，在數(shù)字取證、漏洞發(fā)現(xiàn)、入侵檢測(cè)/預(yù)防和事件響應(yīng)方面有超過(guò)18年的從業(yè)經(jīng)驗(yàn)。他的職業(yè)生涯始于在美國(guó)空軍特別調(diào)查處追蹤黑客，曾是安全公司曼迪安特的部門總監(jiān)，專注跟蹤高級(jí)持續(xù)性威脅(APT)。

威脅獵手這個(gè)概念已經(jīng)出現(xiàn)了大約有6年時(shí)間。在曼迪安特與各種民族國(guó)家公司作斗爭(zhēng)的工作催生了主動(dòng)威脅追捕。我們主動(dòng)搜尋對(duì)手，基本就是在追捕壞人。最近3年這個(gè)詞成為了更加流行的熱詞，幾乎隨處可見(jiàn)，招聘列表和安全大會(huì)上也有，包括SANS自己的威脅追捕與事件響應(yīng)峰會(huì)。

Rob Lee 與人合著了講述蜜罐技術(shù)的《了解你的敵人》( Know Your Enemy )第2版，共同編撰了曼迪安特威脅情報(bào)報(bào)告《M-Trends：高級(jí)持續(xù)性威脅》。同時(shí)，他還是第一批威脅獵手，在威脅追捕這個(gè)術(shù)語(yǔ)出現(xiàn)前就是了。那么，他是如何走上威脅追捕之路的呢?

國(guó)家安全的需求

1998年，作為對(duì)抗俄羅斯“月光迷宮”黑客攻擊行動(dòng)的響應(yīng)團(tuán)隊(duì)一員時(shí)。這還是第一次已知民族國(guó)家黑客(這里指俄羅斯)開(kāi)始出于國(guó)家原因而主動(dòng)攻擊多個(gè)政府網(wǎng)站。在此之前，大多數(shù)黑客行動(dòng)都只是改個(gè)網(wǎng)站首頁(yè)之類的事，但這次這些人是真的專業(yè)級(jí)對(duì)手，他們根本不逃。

過(guò)去，只要被發(fā)現(xiàn)，黑客通常就退出系統(tǒng)或網(wǎng)絡(luò)，逃之夭夭再不回頭了。但這些俄羅斯黑客卻根本不跑。他們確實(shí)靜默了一段時(shí)間，可能一兩個(gè)月吧。但他們從未離開(kāi)。今天，這種持續(xù)性攻擊已成常態(tài)，但那時(shí)確實(shí)是一種全新的反應(yīng)。他們潛伏在那里，觀察我們的做法，甚至用鍵盤記錄記下我們的動(dòng)作，然后重啟他們的攻擊活動(dòng)。我們也在觀察他們，發(fā)現(xiàn)他們非常有耐心。相互觀察間我們了解了很多民族國(guó)家黑客組織的信息。我們必須轉(zhuǎn)變事件響應(yīng)的方法。

威脅獵手≥事件響應(yīng)人員

威脅獵手是主動(dòng)事件響應(yīng)者。普通的事件響應(yīng)人員接到事件通報(bào)才會(huì)行動(dòng)起來(lái)。威脅獵手則是在事件發(fā)生前就在搜尋壞人。他們掌握壞人的部分信息，知道壞人最有可能攻擊哪里，用什么方法攻擊，然后有針對(duì)性地搜索這些壞人。威脅獵手是先于傳統(tǒng)入侵檢測(cè)方法感知到壞人之前，就主動(dòng)查找新威脅的事件響應(yīng)人員和取證調(diào)查人員。

威脅獵手是早期預(yù)警系統(tǒng)。他們縮短了威脅的“駐留時(shí)間”——從初始侵入到被檢測(cè)出來(lái)的時(shí)間間隔。過(guò)去，威脅往往能在網(wǎng)絡(luò)中潛伏數(shù)月之久。而威脅追捕團(tuán)隊(duì)就是要縮短這個(gè)發(fā)現(xiàn)威脅的時(shí)間。

如何成為一名威脅獵手?

首先在安全分析師的崗位上積累經(jīng)驗(yàn)，然后進(jìn)入IR和網(wǎng)絡(luò)威脅情報(bào)領(lǐng)域。再加上一點(diǎn)攻擊者方法論及技術(shù)的知識(shí)，威脅追捕就成為了炙手可熱的技術(shù)。威脅追捕是當(dāng)今信息安全領(lǐng)域里能獲得的最高級(jí)技術(shù)集之一。威脅獵手的核心技術(shù)包括安全運(yùn)營(yíng)與分析、IR及修復(fù)、攻擊者方法論和網(wǎng)絡(luò)威脅情報(bào)能力。綜合來(lái)看，威脅獵手就是企業(yè)防御與檢測(cè)部門的特種部隊(duì)。

威脅獵手不會(huì)干坐著等通知，會(huì)利用傳統(tǒng)攻擊指標(biāo)(IoC)主動(dòng)出擊。面對(duì)狡猾的對(duì)手，傳統(tǒng)入侵檢測(cè)是沒(méi)什么大用的。這些對(duì)手會(huì)避免觸發(fā)常規(guī)入侵檢測(cè)防御。只有威脅獵手才能找出他們。

每家公司都應(yīng)配備威脅獵手嗎?

不。得有一定規(guī)模的公司才具備這個(gè)條件。首先，你得有專門的安全運(yùn)營(yíng)中心(SOC)，不是很小的或兼職的那種，而是能夠創(chuàng)建、消費(fèi)和利用威脅情報(bào)，并能理解潛在的對(duì)手而不僅僅是IoC的那種。威脅追捕團(tuán)隊(duì)需要威脅情報(bào)，并輔以網(wǎng)絡(luò)運(yùn)維人員、終端維護(hù)人員、惡意軟件分析員和可擴(kuò)展的工具集。

威脅獵手首先得知道搜捕的方向和內(nèi)容，只有專門的SOC能夠獲取到這些信息。就跟打獵似的，總得知道獵物會(huì)出現(xiàn)在哪里，會(huì)有哪些獵物，才能做好相應(yīng)的準(zhǔn)備。比如民族國(guó)家黑客，在進(jìn)行網(wǎng)絡(luò)間諜行動(dòng)，他們最有可能出現(xiàn)在哪里?他們要找什么東西?他們的IoC是什么?知道了這些信息，就可以放出特種部隊(duì)來(lái)搜他們了。

有多少威脅獵手?

很難估算。很多人都自稱威脅獵手，但肯定只有擁有大規(guī)模安全運(yùn)營(yíng)的大型企業(yè)才養(yǎng)得起威脅獵手。財(cái)富200強(qiáng)企業(yè)大多擁有威脅獵手，美國(guó)國(guó)防部和其他政府機(jī)構(gòu)也有。這些機(jī)構(gòu)中大多都有不止一支威脅追捕團(tuán)隊(duì)。遭受大型攻擊的很多大公司，比如塔吉特和微軟，如今就有多支菁英威脅追捕團(tuán)隊(duì)，每一支都專門負(fù)責(zé)不同的業(yè)務(wù)部門。這些公司從安全狀況較差發(fā)展到擁有多支主動(dòng)作為的威脅追捕團(tuán)隊(duì)，反映出安全能力的提升。

量化成效很難

威脅獵手本身和雇傭他們的公司都需要明白，威脅追捕也是有可能失敗的。威脅獵手的工作非常艱難，他們要找出不想被發(fā)現(xiàn)的狡猾對(duì)手，可能來(lái)不及及時(shí)揪出壞人。威脅獵手是個(gè)很有必要的角色，但按傳統(tǒng)意義量化其成功卻很難。只要在主動(dòng)搜捕威脅，威脅獵手們就已履職盡責(zé)。