隨著網(wǎng)絡(luò)攻擊技術(shù)和方法不斷升級換代，攻擊者的攻擊能力正在快速提高。為了應(yīng)對日益嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)，現(xiàn)代企業(yè)需要將自身安全建設(shè)從被動防御轉(zhuǎn)換到主動防御、反制等主動安全的方向上來，威脅狩獵技術(shù)應(yīng)運而生。

企業(yè)希望通過威脅狩獵發(fā)現(xiàn)被忽視的已知威脅和新的未知威脅。但遺憾的是，要想真正落地一項威脅狩獵計劃并不容易，據(jù)《威脅獵人之聲》網(wǎng)站的最新調(diào)查報告發(fā)現(xiàn)，超過半數(shù)的受訪者認(rèn)為當(dāng)前實施的威脅狩獵計劃只取得非常有限的安全效果，甚至部分受訪者表示其威脅狩獵計劃根本無效。研究人員發(fā)現(xiàn)，企業(yè)在實施威脅狩獵計劃時普遍面臨數(shù)據(jù)質(zhì)量、工具性能、可見性以及專業(yè)人員等方面的限制，而導(dǎo)致企業(yè)威脅狩獵行動失敗的主要原因包括以下三個方面：

原因1：缺乏先進的狩獵工具

威脅狩獵分析師需要各種工具和技術(shù)的支持，才能有效地發(fā)現(xiàn)惡意活動、修補漏洞，并擁有應(yīng)對攻擊的情報。報告研究人員發(fā)現(xiàn)，阻礙企業(yè)搜尋威脅的最大因素是沒有使用先進的狩獵工具。

企業(yè)實施威脅狩獵計劃的核心目標(biāo)就是要縮短出現(xiàn)危險和完成攻擊之間的時間差，即所謂的“停留時間”。因此，威脅狩獵需要能夠發(fā)現(xiàn)傳統(tǒng)安全工具未檢測到的風(fēng)險，并幫助企業(yè)分析和提高現(xiàn)有威脅檢測機制和流程的有效性，提出合理的安全性優(yōu)化建議。此外，它們還需要能夠識別新的攻擊手法、戰(zhàn)術(shù)、技術(shù)和程序 (TTP)，從而發(fā)起全新的威脅處置任務(wù)。

建議：

盡管安全分析師可以人工方式完成以上各種任務(wù)，但是在效率和時間上很難滿足企業(yè)的實際應(yīng)用需求。更有效的威脅狩獵工作應(yīng)該是在高度自動化的流程中完成，充分利用UEBA、機器學(xué)習(xí)等技術(shù)手段為分析師提供幫助。企業(yè)在選型威脅狩獵工具時，應(yīng)該重點關(guān)注以下功能：

• 是否能夠為安全分析師提供各種安全事件的信息收集服務(wù)；
• 是否可以聚合數(shù)據(jù)，形成統(tǒng)一的事件記錄情報；
• 是否支持多樣化的威脅檢測策略；
• 是否具有人工分析的選項；
• 自動響應(yīng)設(shè)置能力是否強大；
• 是否可以在正式購買前提供試用。

原因2：未深入了解企業(yè)的安全基線

威脅狩獵行動失敗的另一個主要原因是，狩獵團隊沒有完全了解企業(yè)自身的安全基線。如果深入了解安全基線，需要擁有完備的文檔，并知道什么是“正常的活動”，在這之外的任何“異?；顒印倍夹枰枰哉{(diào)查。

如果不了解企業(yè)的安全基線，狩獵團隊對企業(yè)的數(shù)字化環(huán)境就會缺乏足夠的可見性，或者難以收集足夠準(zhǔn)確的情報來深入分析當(dāng)前的威脅態(tài)勢。此外，如果狩獵團隊不知道正常的安全基線，也意味著分析師無法衡量哪些行為可以接受、哪些不可接受，從而使組織面臨各種惡意活動的威脅。

建議：

為了保證威脅狩獵計劃的效果，企業(yè)需要擁有一套標(biāo)準(zhǔn)化的威脅狩獵流程和程序，在此背景下，深入了解企業(yè)的安全基線就變得尤為重要。要了解企業(yè)的安全基線是什么，企業(yè)需要通過一段時間的數(shù)據(jù)積累，總結(jié)出企業(yè)正常數(shù)字化活動的特征與指標(biāo)參數(shù)。為此需要部署適當(dāng)?shù)谋O(jiān)控技術(shù)和工具，實現(xiàn)全面的數(shù)字化環(huán)境可見性，并能夠從各類型的端點上收集所需要的運行數(shù)據(jù)，這些數(shù)據(jù)可以讓組織更深入地了解誰在訪問系統(tǒng)。

只有在知道“正?；顒印钡幕A(chǔ)上，威脅狩獵團隊才可以實施標(biāo)準(zhǔn)化的威脅誘捕策略和規(guī)程，這些策略和規(guī)程會在考慮整個組織的數(shù)字化應(yīng)用環(huán)境基礎(chǔ)上，定義出對可疑活動的識別和響應(yīng)。

原因3：計劃未獲得管理層的支持

報告研究發(fā)現(xiàn)，近六成（56%）的受訪者表示，他們在實施威脅狩獵計劃難以獲得公司領(lǐng)導(dǎo)層的支持，這也是導(dǎo)致狩獵行動難以取得真正成功的重要原因。盡管企業(yè)的高層都希望組織的數(shù)字化發(fā)展能夠受到保護、安全開展，但他們很難理解實施威脅狩獵計劃的本質(zhì)及其必要性。

而對安全團隊而言，盡管他們非常清楚采取威脅狩獵行動的必要性，但對于管理層提出的各種問題，他們往往難以給出滿意的答案，或者拿出表明其工作價值的數(shù)據(jù)證明。在此情況下，威脅狩獵的計劃和行動之間就會存在脫節(jié)，并影響安全團隊獲得組織資源和財務(wù)上的支持。

建議：

為了取得企業(yè)管理層對威脅狩獵計劃的認(rèn)同和支持。安全管理者應(yīng)該加強和公司的溝通，并學(xué)習(xí)以簡化的術(shù)語表述狩獵計劃和取得的收益，尤其要擯棄安全專業(yè)術(shù)語。同時，狩獵團隊還應(yīng)該準(zhǔn)備一個全面、清晰的案例，讓管理者和其他業(yè)務(wù)部門充分了解威脅狩獵計劃能夠有效幫助公司各部門實現(xiàn)他們的數(shù)字化發(fā)展目標(biāo)。

參考鏈接：https://www.cybersecurity-insiders.com/top-challenges-threat-hunting-teams-face-in-2023-and-how-to-overcome-them-team-cymru/