威脅搜尋是當(dāng)前網(wǎng)絡(luò)安全行業(yè)的熱門(mén)話(huà)題之一。然而在如此多的熱議之下，即使是最有經(jīng)驗(yàn)的安全專(zhuān)業(yè)人士也很難從現(xiàn)實(shí)中辨別出炒作。

要做到這一點(diǎn)，首先需要了解任何威脅搜尋練習(xí)的主要目標(biāo)，即主動(dòng)進(jìn)行網(wǎng)絡(luò)搜索，在造成破壞和破壞之前，識(shí)別新類(lèi)型的威脅或現(xiàn)有的活動(dòng)攻擊。企業(yè)再也無(wú)法維持一種被動(dòng)的安全防護(hù)方法，因?yàn)橄冗M(jìn)的持續(xù)性威脅非常擅長(zhǎng)規(guī)避傳統(tǒng)的防護(hù)并且很難盡快被發(fā)現(xiàn)——通常持續(xù)數(shù)月甚至數(shù)年之后。

威脅搜尋通常由專(zhuān)門(mén)的安全專(zhuān)家執(zhí)行，利用最新的行為監(jiān)控工具來(lái)主動(dòng)檢測(cè)可疑的行為模式，并盡可能將平均檢測(cè)和響應(yīng)時(shí)間縮短到幾分鐘之內(nèi)，因此威脅搜尋對(duì)于減少攻擊的傳播和有效性至關(guān)重要。

[[243316]]

擁有合適的工具

探索妥協(xié)指標(biāo)(IOCs)和攻擊者采取的策略，技術(shù)和程序(TTP)需要結(jié)合手動(dòng)和機(jī)器輔助操作。

安全信息和事件管理(SIEM)平臺(tái)是威脅獵人用于監(jiān)控網(wǎng)絡(luò)活動(dòng)并了解什么構(gòu)成常規(guī)和惡意活動(dòng)的關(guān)鍵技術(shù)。

日志分析對(duì)于幫助識(shí)別可疑活動(dòng)至關(guān)重要，獵人將定期設(shè)置新的SIEM關(guān)聯(lián)規(guī)則，用來(lái)提醒可能表明入侵的網(wǎng)絡(luò)事件序列。

最新的用戶(hù)和實(shí)體行為分析(UEBA)，機(jī)器學(xué)習(xí)、端點(diǎn)檢測(cè)和響應(yīng)技術(shù)也常被用來(lái)進(jìn)行威脅搜尋。這使得安全小組能夠獲得更廣泛的事件可見(jiàn)性，進(jìn)行深入的取證以分析致命的攻擊鏈，設(shè)置監(jiān)視列表，并通過(guò)在攻擊擴(kuò)散之前隔離和消除攻擊來(lái)促進(jìn)更快的事件響應(yīng)。

整合情報(bào)

任何成功的威脅搜尋行動(dòng)也嚴(yán)重依賴(lài)威脅情報(bào)。威脅交換，威脅情報(bào)平臺(tái)，內(nèi)部研究和攻擊性安全演習(xí)(如紅隊(duì)作戰(zhàn))都是重要的信息來(lái)源，可以幫助獵人提高對(duì)IOCs和TTPs的理解。

一旦發(fā)現(xiàn)并控制了特定的威脅，獵人通常會(huì)借助惡意軟件分析和逆向工程等技術(shù)來(lái)更加仔細(xì)的觀察這一威脅。

一個(gè)專(zhuān)門(mén)的獵人團(tuán)隊(duì)

僅僅擁有合適的工具是徒勞，還需要合適的人使用它們。為了逃避偵測(cè)，耐心和持久的黑客經(jīng)常在“防御區(qū)“之外徘徊，因此能夠采用攻擊性安全思維來(lái)改善網(wǎng)絡(luò)防御是任何成功的威脅獵手的先決條件。

制定關(guān)于威脅行為的假設(shè)也是該角色必須要考慮的事情，這意味著良好的態(tài)勢(shì)感知和批判性思維技能也很重要。

傳統(tǒng)上，藍(lán)色團(tuán)隊(duì)安全分析師的角色一直是調(diào)查，分析和做出響應(yīng)，但是越來(lái)越多的組織需要威脅搜尋，這意味著安全分析師的工作職責(zé)范圍正在不斷變大，以便在這一領(lǐng)域承擔(dān)更多責(zé)任。

安全協(xié)調(diào)、自動(dòng)化和響應(yīng)(SOAR)市場(chǎng)的發(fā)展將有助于促進(jìn)這種轉(zhuǎn)變，因?yàn)镾OC內(nèi)部的效率提高將使人們能夠投入更多的時(shí)間和精力用于檢測(cè)而非常規(guī)流程。。

迭代方法

培養(yǎng)所有包括內(nèi)部和外包團(tuán)隊(duì)在內(nèi)的安全人員之間的協(xié)作文化，對(duì)于任何威脅搜尋行動(dòng)的成功同樣至關(guān)重要。

分享知識(shí)和情報(bào)的過(guò)程對(duì)于幫助集體理解和產(chǎn)生可行的措施辦法是必要的，另外還需要有一個(gè)持續(xù)的反饋循環(huán)，以確保經(jīng)常對(duì)搜尋過(guò)程和控制進(jìn)行評(píng)估。

正確的支持和建議

隨著威脅變得越來(lái)越復(fù)雜，那些為威脅搜尋投入時(shí)間和資源的組織可能會(huì)最大程度地改善其網(wǎng)絡(luò)安全成熟度。

威脅狩獵絕對(duì)不僅僅是炒作，雖然通過(guò)前瞻性規(guī)劃并尋求合適的支持以幫助指導(dǎo)和利用投資。雖然在一夜之間不太可能實(shí)現(xiàn)這方面的熟練操作，越早進(jìn)行有關(guān)方面的培養(yǎng)越早收益。