根據(jù)SANS 2023的調(diào)查，熟練的威脅獵手可以為公司扮演雙重角色，既要獵殺威脅參與者，又要確保預(yù)算直接用于增強(qiáng)獵殺能力的工具和技術(shù)，然而，根據(jù)這項(xiàng)對來自SOC分析師、安全經(jīng)理和管理人員的564名受訪者的全球調(diào)查，熟練員工的缺乏正在阻礙威脅追蹤努力的成功。

調(diào)查發(fā)現(xiàn)，除了任務(wù)之外，威脅獵手本身也在尋求更多的培訓(xùn)、教育和管理層的支持。隨著CISO展望2024年及其將帶來的網(wǎng)絡(luò)安全挑戰(zhàn)，他們需要從威脅追捕團(tuán)隊(duì)那里獲得什么，威脅獵手本身應(yīng)該如何加強(qiáng)他們的技能集？ 

當(dāng)今威脅分析師的技術(shù)技能以及他們是如何發(fā)展的 

威脅分析員需要融合傳統(tǒng)和現(xiàn)代的技術(shù)技能，所有與記者交談的專家都表示，要進(jìn)行高效的數(shù)據(jù)分析，Python是不可或缺的，其他需要了解的重要語言和工具包括C、C++、JavaScript、Ruby on rails、SQL、PowerShell、Burp Suite、Nessus和Kali Linux。網(wǎng)絡(luò)和系統(tǒng)的基礎(chǔ)知識、數(shù)據(jù)分析技能、云架構(gòu)知識和逆向工程也被認(rèn)為是有用的。 

威脅獵手需要具備在有限細(xì)節(jié)下研究復(fù)雜問題、解決謎題和評估風(fēng)險的總體傾向，然而，獨(dú)立安全顧問、iANS教員、前SANS高級講師杰克·威廉姆斯表示，出于幾個原因，這項(xiàng)任務(wù)變得更具挑戰(zhàn)性，他在接受記者采訪時表示：“隨著我們的周邊防御系統(tǒng)，如終端檢測和響應(yīng)能力的提高，以及威脅因素的改進(jìn)，搜尋工作變得更加困難，它更加先進(jìn)，需要更多的技能，通常情況下，它會在數(shù)據(jù)中尋找異常情況。” 

Bug Bounty平臺Sajeeb Lohani的網(wǎng)絡(luò)安全總監(jiān)BugCrowd表示，需要熟悉MISP等威脅情報平臺，以及Splunk、LogRythm和ManageEngine等安全信息和事件管理(SIEM)工具，才能識別和檢查威脅暴露。Lohani在接受記者采訪時表示：“MITRE ATT&CK框架的應(yīng)用知識可以幫助識別在某些攻擊過程中使用的不同戰(zhàn)術(shù)和技術(shù)，它可以幫助分析師指出其他人可能會遺漏的不同攻擊模式?！彪S著加密貨幣的崛起將挖掘活動引入網(wǎng)絡(luò)安全擔(dān)憂，像Wazeh這樣的較新的輕量級工具正變得越來越普遍，以幫助識別和管理威脅。 

不要忽視軟技能在威脅追捕中的價值 

除了技術(shù)能力，軟技能也同樣重要，例如，簡明扼要地向各方解釋威脅的能力至關(guān)重要，而對細(xì)節(jié)的關(guān)注、分析思維、壓力管理、創(chuàng)造力和團(tuán)隊(duì)合作都被視為現(xiàn)代威脅獵手的關(guān)鍵技能。 

例如，經(jīng)常迫切需要向不同的受眾傳達(dá)新的漏洞，這就需要為技術(shù)團(tuán)隊(duì)、CISO和董事會成員量身定做溝通。威廉姆斯強(qiáng)調(diào)任務(wù)管理和耐心，特別是在處理不確定或誤導(dǎo)性信息時，最重要的是在不同信息來源之間進(jìn)行協(xié)調(diào)。Williams說：“今天的威脅獵殺在很大程度上與生活在陸地上的事情有關(guān)，在那里你會看到看起來很惡意的東西，因此，你經(jīng)常會提出假設(shè)，這涉及咨詢系統(tǒng)管理員并努力解決問題。”他指出，同樣重要的是，你的思維要靈活，不要把你的思想與這件事或那件事隔絕開來?！澳切┠芡瑫r持有不同觀點(diǎn)的人是最棒的?！?nbsp;

威脅獵手的角色正在發(fā)生怎樣的變化？ 

威脅獵手的職責(zé)已從傳統(tǒng)的網(wǎng)絡(luò)監(jiān)控轉(zhuǎn)變?yōu)橹鲃拥耐{搜索和情報收集，這意味著大幅提高技能和新的優(yōu)先事項(xiàng)。數(shù)字信任專家兼ISACA非執(zhí)行董事Niel Harper告訴記者：“與過去不同，現(xiàn)在對黑名單的人工研究和輸入更少，對入侵檢測系統(tǒng)的依賴也更少。”能夠分析大量數(shù)據(jù)的工具已經(jīng)出現(xiàn)在框架中，“這些威脅檢測工具正在為威脅獵手提供有意義的、可操作的情報和威脅的優(yōu)先順序?！? Harper說。 

然而，它造成了許多誤報，這意味著威脅分析師需要接受培訓(xùn)，分析虛假信號，以找到妥協(xié)的跡象?，F(xiàn)在，隨著ML和AI以及更多的自動化，這個角色繼續(xù)演變。Harper看到了威脅獵手的研究和分析技能的巨大價值，“它有助于將來自各種工具的信息轉(zhuǎn)化為可操作的情報?！? Harper說。 

Chaucer Group的安全運(yùn)營專家Christian Scott指出，其職權(quán)范圍還擴(kuò)大到包括云安全監(jiān)控以及了解日志集中和分析。Christ Scott對記者說：“攻擊者對這些空間的攻擊越來越頻繁。”在與一些大型公司合作過后，他親眼目睹了這種轉(zhuǎn)變。“有人會在云中制造一些東西，這會打開另一個攻擊面，所以你需要有人主動尋找漏洞。” 

這也是一種心理游戲，威脅獵手需要高度適應(yīng)，因?yàn)橥{每天都在變化，有時甚至是每小時一次。SentinelOne負(fù)責(zé)威脅追蹤、情報和DFIR的副總裁Brian Hussey表示：“你需要與他們一起改變，永遠(yuǎn)不要讓僵化的思維滲透到你的作戰(zhàn)方法中。”同時，你還需要透過樹木看到森林。Hussey告訴記者：“通常，威脅行為者會對其攻擊模式進(jìn)行表面上的改變，但核心操作方式保持不變，即使在新的攻擊到來之前，也留下了識別和消除新攻擊的重要機(jī)會?！?nbsp;

ML和AI有一席之地，但不是一切 

SANS的調(diào)查顯示，近75%的公司需要更多的培訓(xùn)和熟練的員工，AI和ML技術(shù)可能會發(fā)揮作用。專家們一致認(rèn)為，ML和AI在增強(qiáng)威脅狩獵檢測能力方面的重要性日益增長。“它可以在短時間內(nèi)分析大量信息，我們從這些工具中看到了更多的情報，因?yàn)樗鼈兛梢詾槟闾峁┐┩改繕?biāo)的最佳行動方案，這可以優(yōu)化你的利用效率。” Harper說。 

例如，根據(jù)Williams的說法，異常值分析曾經(jīng)是手動完成的，但現(xiàn)在正在被納入工具中，因此對數(shù)據(jù)科學(xué)和ML工具包有一些了解，其中許多工具包是通過Python公開的，可以顯著增強(qiáng)威脅檢測能力。你可以立即利用這些功能來幫助你找到非常常見的東西或非常不常見的東西。 

同樣，他們也告誡不要過度依賴ML和AI，并強(qiáng)調(diào)人類監(jiān)督的必要性，例如，AI降低了技能障礙，但這些技術(shù)無法像人類那樣推斷或質(zhì)疑。Chaucer Group的斯科特指出，這些工具永遠(yuǎn)不應(yīng)該削弱人類好奇心的力量，他們會問“為什么”?！斑@是在問為什么會有東西這么做？這是美國廣播公司的規(guī)則，什么都不假設(shè)，什么都不相信，一切都是肯定的?！?nbsp;

威脅獵手應(yīng)該如何跟上不斷變化的威脅格局？ 

作為一名威脅獵手，持續(xù)學(xué)習(xí)和適應(yīng)能力是與時俱進(jìn)的關(guān)鍵，初學(xué)者需要從網(wǎng)絡(luò)和安全的基礎(chǔ)知識開始，逐步進(jìn)入更復(fù)雜的領(lǐng)域，參與在線社區(qū)和利用在線資源也是獲取信息的有效方式，網(wǎng)絡(luò)安全方面的實(shí)踐經(jīng)驗(yàn)是關(guān)鍵。Williams建議，在進(jìn)入威脅追蹤之前，要在安全運(yùn)營中心工作幾年或從事事件應(yīng)對工作。 

Harper建議初學(xué)者從網(wǎng)絡(luò)和安全的基礎(chǔ)知識開始，利用在線和社區(qū)提供的資源作為指導(dǎo)。“與從業(yè)者社區(qū)和專業(yè)協(xié)會建立聯(lián)系是共享工具和信息并在學(xué)習(xí)道路上取得進(jìn)展的一種方式。”他說。 

威脅獵手面臨的道德責(zé)任威脅 

威脅獵手被忽視的一個方面是，需要有一個強(qiáng)大的個人道德框架，而不是泄露敏感的商業(yè)信息或?yàn)E用利用漏洞或其他有關(guān)潛在漏洞的信息。 

SentinelOne的Hussey說：“在你的職業(yè)生涯中，你會遇到幾個道德方面的問題?！焙诳瓦€擊，或?qū)ν{參與者采取攻擊性行動，劫持攻擊者的加密貨幣，與勒索軟件威脅參與者談判等等?！芭c你的法律團(tuán)隊(duì)和同事溝通你的行動是至關(guān)重要的。當(dāng)好人走到一起做正確的事情時，這會讓這些棘手的話題更容易定義?！比缓笮枰?fù)責(zé)任和透明地處理敏感信息，并遵守法律標(biāo)準(zhǔn)。Harper說：“它通過強(qiáng)大的訪問控制，確保你以安全的方式保護(hù)和存儲信息，如果你與第三方分享這些信息，他們是可信的?！?nbsp;

同樣重要的是，當(dāng)涉及到某些調(diào)查時，威脅獵手要保持中立，比如商業(yè)間諜活動或調(diào)查個人。有必要避免從某些假設(shè)開始，避免做出任何假設(shè)，而是專注于不偏不倚。Chaucer Group的Scott強(qiáng)調(diào)了威脅追捕的潛在倫理影響，強(qiáng)調(diào)了保持不偏不倚和保護(hù)敏感信息的責(zé)任?！八裱瑼BC規(guī)則，不做任何假設(shè)，專注于數(shù)據(jù)，甚至確保更廣泛的數(shù)據(jù)范圍，以避免得出預(yù)先確定的結(jié)論?！?nbsp;

在招聘威脅獵手時還需要考慮哪些因素 

威脅追捕團(tuán)隊(duì)中缺乏熟練的工作人員是成功的主要障礙。與其他面臨技能缺口的網(wǎng)絡(luò)安全領(lǐng)域一樣，多元化招聘可能是一種解決方案，但這如何轉(zhuǎn)化為威脅追捕？ 

哈珀倡導(dǎo)對網(wǎng)絡(luò)安全采取包容性的方法，他說，來自不同教育背景的個人可以在這一領(lǐng)域出類拔萃?！拔艺J(rèn)為你不需要有嚴(yán)格的計(jì)算機(jī)科學(xué)或信息技術(shù)背景，只要你有興趣、愿意和熱情去學(xué)習(xí)。” 

讓人們能夠超越威脅的機(jī)制，甚至考慮攻擊者的更大目標(biāo)或動機(jī)，這也是有幫助的。BugCrowd的Lohani說：“通過掌握攻擊背后的‘原因’，分析人員可以更好地理解攻擊的‘方式’和‘時間’，從而能夠更有效地分析對手，并加強(qiáng)針對特定威脅媒介的安全措施。”這有助于為風(fēng)險評估提供信息，確定防御工作的優(yōu)先順序，并為用戶開發(fā)更有針對性的安全教育計(jì)劃，掌握網(wǎng)絡(luò)安全的人的因素對于全面的防御戰(zhàn)略至關(guān)重要。