根據(jù)SANS 2023的調(diào)查，熟練的威脅獵手可以為公司扮演雙重角色，既要獵殺威脅參與者，又要確保預(yù)算直接用于增強(qiáng)獵殺能力的工具和技術(shù)，然而，根據(jù)這項(xiàng)對(duì)來(lái)自SOC分析師、安全經(jīng)理和管理人員的564名受訪者的全球調(diào)查，熟練員工的缺乏正在阻礙威脅追蹤努力的成功。

調(diào)查發(fā)現(xiàn)，除了任務(wù)之外，威脅獵手本身也在尋求更多的培訓(xùn)、教育和管理層的支持。隨著CISO展望2024年及其將帶來(lái)的網(wǎng)絡(luò)安全挑戰(zhàn)，他們需要從威脅追捕團(tuán)隊(duì)那里獲得什么，威脅獵手本身應(yīng)該如何加強(qiáng)他們的技能集？ 

當(dāng)今威脅分析師的技術(shù)技能以及他們是如何發(fā)展的 

威脅分析員需要融合傳統(tǒng)和現(xiàn)代的技術(shù)技能，所有與記者交談的專(zhuān)家都表示，要進(jìn)行高效的數(shù)據(jù)分析，Python是不可或缺的，其他需要了解的重要語(yǔ)言和工具包括C、C++、JavaScript、Ruby on rails、SQL、PowerShell、Burp Suite、Nessus和Kali Linux。網(wǎng)絡(luò)和系統(tǒng)的基礎(chǔ)知識(shí)、數(shù)據(jù)分析技能、云架構(gòu)知識(shí)和逆向工程也被認(rèn)為是有用的。 

威脅獵手需要具備在有限細(xì)節(jié)下研究復(fù)雜問(wèn)題、解決謎題和評(píng)估風(fēng)險(xiǎn)的總體傾向，然而，獨(dú)立安全顧問(wèn)、iANS教員、前SANS高級(jí)講師杰克·威廉姆斯表示，出于幾個(gè)原因，這項(xiàng)任務(wù)變得更具挑戰(zhàn)性，他在接受記者采訪時(shí)表示：“隨著我們的周邊防御系統(tǒng)，如終端檢測(cè)和響應(yīng)能力的提高，以及威脅因素的改進(jìn)，搜尋工作變得更加困難，它更加先進(jìn)，需要更多的技能，通常情況下，它會(huì)在數(shù)據(jù)中尋找異常情況。” 

Bug Bounty平臺(tái)Sajeeb Lohani的網(wǎng)絡(luò)安全總監(jiān)BugCrowd表示，需要熟悉MISP等威脅情報(bào)平臺(tái)，以及Splunk、LogRythm和ManageEngine等安全信息和事件管理(SIEM)工具，才能識(shí)別和檢查威脅暴露。Lohani在接受記者采訪時(shí)表示：“MITRE ATT&CK框架的應(yīng)用知識(shí)可以幫助識(shí)別在某些攻擊過(guò)程中使用的不同戰(zhàn)術(shù)和技術(shù)，它可以幫助分析師指出其他人可能會(huì)遺漏的不同攻擊模式。”隨著加密貨幣的崛起將挖掘活動(dòng)引入網(wǎng)絡(luò)安全擔(dān)憂，像Wazeh這樣的較新的輕量級(jí)工具正變得越來(lái)越普遍，以幫助識(shí)別和管理威脅。 

不要忽視軟技能在威脅追捕中的價(jià)值 

除了技術(shù)能力，軟技能也同樣重要，例如，簡(jiǎn)明扼要地向各方解釋威脅的能力至關(guān)重要，而對(duì)細(xì)節(jié)的關(guān)注、分析思維、壓力管理、創(chuàng)造力和團(tuán)隊(duì)合作都被視為現(xiàn)代威脅獵手的關(guān)鍵技能。 

例如，經(jīng)常迫切需要向不同的受眾傳達(dá)新的漏洞，這就需要為技術(shù)團(tuán)隊(duì)、CISO和董事會(huì)成員量身定做溝通。威廉姆斯強(qiáng)調(diào)任務(wù)管理和耐心，特別是在處理不確定或誤導(dǎo)性信息時(shí)，最重要的是在不同信息來(lái)源之間進(jìn)行協(xié)調(diào)。Williams說(shuō)：“今天的威脅獵殺在很大程度上與生活在陸地上的事情有關(guān)，在那里你會(huì)看到看起來(lái)很惡意的東西，因此，你經(jīng)常會(huì)提出假設(shè)，這涉及咨詢(xún)系統(tǒng)管理員并努力解決問(wèn)題。”他指出，同樣重要的是，你的思維要靈活，不要把你的思想與這件事或那件事隔絕開(kāi)來(lái)?！澳切┠芡瑫r(shí)持有不同觀點(diǎn)的人是最棒的。” 

威脅獵手的角色正在發(fā)生怎樣的變化？ 

威脅獵手的職責(zé)已從傳統(tǒng)的網(wǎng)絡(luò)監(jiān)控轉(zhuǎn)變?yōu)橹鲃?dòng)的威脅搜索和情報(bào)收集，這意味著大幅提高技能和新的優(yōu)先事項(xiàng)。數(shù)字信任專(zhuān)家兼ISACA非執(zhí)行董事Niel Harper告訴記者：“與過(guò)去不同，現(xiàn)在對(duì)黑名單的人工研究和輸入更少，對(duì)入侵檢測(cè)系統(tǒng)的依賴(lài)也更少。”能夠分析大量數(shù)據(jù)的工具已經(jīng)出現(xiàn)在框架中，“這些威脅檢測(cè)工具正在為威脅獵手提供有意義的、可操作的情報(bào)和威脅的優(yōu)先順序。” Harper說(shuō)。 

然而，它造成了許多誤報(bào)，這意味著威脅分析師需要接受培訓(xùn)，分析虛假信號(hào)，以找到妥協(xié)的跡象?，F(xiàn)在，隨著ML和AI以及更多的自動(dòng)化，這個(gè)角色繼續(xù)演變。Harper看到了威脅獵手的研究和分析技能的巨大價(jià)值，“它有助于將來(lái)自各種工具的信息轉(zhuǎn)化為可操作的情報(bào)?！? Harper說(shuō)。 

Chaucer Group的安全運(yùn)營(yíng)專(zhuān)家Christian Scott指出，其職權(quán)范圍還擴(kuò)大到包括云安全監(jiān)控以及了解日志集中和分析。Christ Scott對(duì)記者說(shuō)：“攻擊者對(duì)這些空間的攻擊越來(lái)越頻繁?！痹谂c一些大型公司合作過(guò)后，他親眼目睹了這種轉(zhuǎn)變?！坝腥藭?huì)在云中制造一些東西，這會(huì)打開(kāi)另一個(gè)攻擊面，所以你需要有人主動(dòng)尋找漏洞?！?nbsp;

這也是一種心理游戲，威脅獵手需要高度適應(yīng)，因?yàn)橥{每天都在變化，有時(shí)甚至是每小時(shí)一次。SentinelOne負(fù)責(zé)威脅追蹤、情報(bào)和DFIR的副總裁Brian Hussey表示：“你需要與他們一起改變，永遠(yuǎn)不要讓僵化的思維滲透到你的作戰(zhàn)方法中?！蓖瑫r(shí)，你還需要透過(guò)樹(shù)木看到森林。Hussey告訴記者：“通常，威脅行為者會(huì)對(duì)其攻擊模式進(jìn)行表面上的改變，但核心操作方式保持不變，即使在新的攻擊到來(lái)之前，也留下了識(shí)別和消除新攻擊的重要機(jī)會(huì)?！?nbsp;

ML和AI有一席之地，但不是一切 

SANS的調(diào)查顯示，近75%的公司需要更多的培訓(xùn)和熟練的員工，AI和ML技術(shù)可能會(huì)發(fā)揮作用。專(zhuān)家們一致認(rèn)為，ML和AI在增強(qiáng)威脅狩獵檢測(cè)能力方面的重要性日益增長(zhǎng)?！八梢栽诙虝r(shí)間內(nèi)分析大量信息，我們從這些工具中看到了更多的情報(bào)，因?yàn)樗鼈兛梢詾槟闾峁┐┩改繕?biāo)的最佳行動(dòng)方案，這可以?xún)?yōu)化你的利用效率。” Harper說(shuō)。 

例如，根據(jù)Williams的說(shuō)法，異常值分析曾經(jīng)是手動(dòng)完成的，但現(xiàn)在正在被納入工具中，因此對(duì)數(shù)據(jù)科學(xué)和ML工具包有一些了解，其中許多工具包是通過(guò)Python公開(kāi)的，可以顯著增強(qiáng)威脅檢測(cè)能力。你可以立即利用這些功能來(lái)幫助你找到非常常見(jiàn)的東西或非常不常見(jiàn)的東西。 

同樣，他們也告誡不要過(guò)度依賴(lài)ML和AI，并強(qiáng)調(diào)人類(lèi)監(jiān)督的必要性，例如，AI降低了技能障礙，但這些技術(shù)無(wú)法像人類(lèi)那樣推斷或質(zhì)疑。Chaucer Group的斯科特指出，這些工具永遠(yuǎn)不應(yīng)該削弱人類(lèi)好奇心的力量，他們會(huì)問(wèn)“為什么”。“這是在問(wèn)為什么會(huì)有東西這么做？這是美國(guó)廣播公司的規(guī)則，什么都不假設(shè)，什么都不相信，一切都是肯定的?！?nbsp;

威脅獵手應(yīng)該如何跟上不斷變化的威脅格局？ 

作為一名威脅獵手，持續(xù)學(xué)習(xí)和適應(yīng)能力是與時(shí)俱進(jìn)的關(guān)鍵，初學(xué)者需要從網(wǎng)絡(luò)和安全的基礎(chǔ)知識(shí)開(kāi)始，逐步進(jìn)入更復(fù)雜的領(lǐng)域，參與在線社區(qū)和利用在線資源也是獲取信息的有效方式，網(wǎng)絡(luò)安全方面的實(shí)踐經(jīng)驗(yàn)是關(guān)鍵。Williams建議，在進(jìn)入威脅追蹤之前，要在安全運(yùn)營(yíng)中心工作幾年或從事事件應(yīng)對(duì)工作。 

Harper建議初學(xué)者從網(wǎng)絡(luò)和安全的基礎(chǔ)知識(shí)開(kāi)始，利用在線和社區(qū)提供的資源作為指導(dǎo)?！芭c從業(yè)者社區(qū)和專(zhuān)業(yè)協(xié)會(huì)建立聯(lián)系是共享工具和信息并在學(xué)習(xí)道路上取得進(jìn)展的一種方式?！彼f(shuō)。 

威脅獵手面臨的道德責(zé)任威脅 

威脅獵手被忽視的一個(gè)方面是，需要有一個(gè)強(qiáng)大的個(gè)人道德框架，而不是泄露敏感的商業(yè)信息或?yàn)E用利用漏洞或其他有關(guān)潛在漏洞的信息。 

SentinelOne的Hussey說(shuō)：“在你的職業(yè)生涯中，你會(huì)遇到幾個(gè)道德方面的問(wèn)題?！焙诳瓦€擊，或?qū)ν{參與者采取攻擊性行動(dòng)，劫持攻擊者的加密貨幣，與勒索軟件威脅參與者談判等等?！芭c你的法律團(tuán)隊(duì)和同事溝通你的行動(dòng)是至關(guān)重要的。當(dāng)好人走到一起做正確的事情時(shí)，這會(huì)讓這些棘手的話題更容易定義?！比缓笮枰?fù)責(zé)任和透明地處理敏感信息，并遵守法律標(biāo)準(zhǔn)。Harper說(shuō)：“它通過(guò)強(qiáng)大的訪問(wèn)控制，確保你以安全的方式保護(hù)和存儲(chǔ)信息，如果你與第三方分享這些信息，他們是可信的。” 

同樣重要的是，當(dāng)涉及到某些調(diào)查時(shí)，威脅獵手要保持中立，比如商業(yè)間諜活動(dòng)或調(diào)查個(gè)人。有必要避免從某些假設(shè)開(kāi)始，避免做出任何假設(shè)，而是專(zhuān)注于不偏不倚。Chaucer Group的Scott強(qiáng)調(diào)了威脅追捕的潛在倫理影響，強(qiáng)調(diào)了保持不偏不倚和保護(hù)敏感信息的責(zé)任?！八裱瑼BC規(guī)則，不做任何假設(shè)，專(zhuān)注于數(shù)據(jù)，甚至確保更廣泛的數(shù)據(jù)范圍，以避免得出預(yù)先確定的結(jié)論。” 

在招聘威脅獵手時(shí)還需要考慮哪些因素 

威脅追捕團(tuán)隊(duì)中缺乏熟練的工作人員是成功的主要障礙。與其他面臨技能缺口的網(wǎng)絡(luò)安全領(lǐng)域一樣，多元化招聘可能是一種解決方案，但這如何轉(zhuǎn)化為威脅追捕？ 

哈珀倡導(dǎo)對(duì)網(wǎng)絡(luò)安全采取包容性的方法，他說(shuō)，來(lái)自不同教育背景的個(gè)人可以在這一領(lǐng)域出類(lèi)拔萃。“我認(rèn)為你不需要有嚴(yán)格的計(jì)算機(jī)科學(xué)或信息技術(shù)背景，只要你有興趣、愿意和熱情去學(xué)習(xí)?！?nbsp;

讓人們能夠超越威脅的機(jī)制，甚至考慮攻擊者的更大目標(biāo)或動(dòng)機(jī)，這也是有幫助的。BugCrowd的Lohani說(shuō)：“通過(guò)掌握攻擊背后的‘原因’，分析人員可以更好地理解攻擊的‘方式’和‘時(shí)間’，從而能夠更有效地分析對(duì)手，并加強(qiáng)針對(duì)特定威脅媒介的安全措施?！边@有助于為風(fēng)險(xiǎn)評(píng)估提供信息，確定防御工作的優(yōu)先順序，并為用戶開(kāi)發(fā)更有針對(duì)性的安全教育計(jì)劃，掌握網(wǎng)絡(luò)安全的人的因素對(duì)于全面的防御戰(zhàn)略至關(guān)重要。