在數(shù)字化的世界里，每一個(gè)組織都必須具備在危險(xiǎn)環(huán)境中航行的能力，這需要由他們的守護(hù)者——網(wǎng)絡(luò)安全專業(yè)團(tuán)隊(duì)進(jìn)行守護(hù)。在這場沒有終點(diǎn)的攻防博弈中，開展主動威脅狩獵活動是一項(xiàng)重要的安全實(shí)踐，它使防御者能夠先發(fā)制人，破壞對手精心布置的攻擊計(jì)劃，將安全團(tuán)隊(duì)從被動應(yīng)對攻擊的哨兵轉(zhuǎn)變?yōu)橹鲃影l(fā)起攻擊的網(wǎng)絡(luò)戰(zhàn)士。

威脅狩獵是一種主動和可持續(xù)的網(wǎng)絡(luò)安全方法，旨在識別和緩解威脅，避免其對組織造成重大危害。與依賴于反應(yīng)性技術(shù)(如基于簽名的檢測或事件響應(yīng))的傳統(tǒng)安全措施不同，威脅狩獵的核心 是基于假設(shè)妥協(xié)的原則，鼓勵安全專業(yè)人員采取更主動和持續(xù)的監(jiān)控方法，尋找到可能已經(jīng)避開傳統(tǒng)防御措施的威脅痕跡和證據(jù)。

組織實(shí)施威脅狩獵計(jì)劃的核心目標(biāo)就是要縮短出現(xiàn)危險(xiǎn)和完成攻擊之間的時(shí)間差，即所謂的“停留時(shí)間”。當(dāng)攻擊行為者在企業(yè)環(huán)境中停留的時(shí)間越長，他們可能造成的傷害后果就越大。更確切地說，威脅狩獵需要能夠發(fā)現(xiàn)傳統(tǒng)安全工具未檢測到的風(fēng)險(xiǎn)，并幫助企業(yè)分析和提高現(xiàn)有威脅檢測機(jī)制和流程的有效性，提出合理的安全性優(yōu)化建議。此外，它們還需要能夠識別新的攻擊手法、戰(zhàn)術(shù)、技術(shù)和程序 (TTP)，從而發(fā)起全新的威脅處置任務(wù)。

為了幫助組織更有效地開展威脅狩獵工作，本文收集整理了目前應(yīng)用較廣泛的7種威脅狩獵方法，并對其特點(diǎn)進(jìn)行了分析：

1.基于假設(shè)的威脅狩獵

由假設(shè)驅(qū)動的威脅狩獵類似于偵探的工作，主要通過細(xì)致的調(diào)查發(fā)現(xiàn)威脅并檢驗(yàn)它們。在這種方法中，威脅獵人(安全分析師)會運(yùn)用所掌握的攻擊者行為知識，并利用 MITRE ATT &CK?框架作為他們的行動指南。這個(gè)框架詳細(xì)闡明了攻擊者所采用的戰(zhàn)術(shù)、技術(shù)和流程，幫助威脅獵人有針對性地搜索潛在的攻擊行為。

基于假設(shè)的威脅狩獵方法，其最大的價(jià)值在于它能夠有效地引導(dǎo)流程化的狩獵活動，專注于運(yùn)用已知的技術(shù)，去發(fā)現(xiàn)特定的攻擊者行為。它提供了一個(gè)結(jié)構(gòu)化和主動的方法，使獵人保持領(lǐng)先的潛在威脅搜索，并持續(xù)地調(diào)整優(yōu)化組織的防御。通過不斷設(shè)定新的威脅假設(shè)和納入新的情報(bào)，威脅獵人可以更有效地預(yù)測和打擊他們的網(wǎng)絡(luò)對手。

2.基于異常行為的威脅狩獵

相比基于假設(shè)的威脅狩獵活動，以識別異常行為為基礎(chǔ)的威脅狩獵則采取了一個(gè)獨(dú)特的狩獵路徑，強(qiáng)調(diào)對網(wǎng)絡(luò)內(nèi)的異常行為進(jìn)行識別。其狩獵目標(biāo)將會更加全面和廣泛?；诋惓Ｐ袨榈耐{狩獵需要建立一個(gè)代表正?；顒拥男袨榛€，并在出現(xiàn)偏離時(shí)發(fā)出警報(bào)和提醒。這種方法需要大量利用機(jī)器學(xué)習(xí)的能力來檢測可能預(yù)示潛在威脅的異常行為模式。

基于異常行為分析的威脅狩獵的優(yōu)勢在于它能夠發(fā)現(xiàn)一些未知的新威脅。通過對比網(wǎng)絡(luò)中的規(guī)律性模式和安全行為基線，可以迅速識別和調(diào)查出現(xiàn)的行為偏差。這種方法在檢測內(nèi)部威脅或新型復(fù)雜網(wǎng)絡(luò)攻擊時(shí)特別有用。

不過需要說明的是，基于異常行為的威脅狩獵也存在很多挑戰(zhàn)，比如如何有效區(qū)分真異常和良性異常就是一項(xiàng)非常復(fù)雜的任務(wù)。威脅獵人也必須投入大量的時(shí)間和精力來不斷優(yōu)化其檢測機(jī)制，以最大限度地減少誤報(bào)，確保他們的調(diào)查重點(diǎn)是那些真正的威脅。

3.與簽名無關(guān)的威脅狩獵

組織在尋求威脅檢測的過程中，一些與簽名無關(guān)的狩獵活動會讓安全分析師脫離了常規(guī)的監(jiān)測路徑，此時(shí)需要大膽地超越傳統(tǒng)的基于簽名的威脅檢測方法。簽名不可知的威脅狩獵活動挑戰(zhàn)了預(yù)定義的檢測規(guī)則和簽名的局限性，能夠發(fā)現(xiàn)那些動態(tài)變化中的模糊威脅。在這種狩獵模式下，要求威脅獵人仔細(xì)檢查大量的安全指標(biāo)，包括可疑的行為模式、惡意代碼片段以及出現(xiàn)異常的網(wǎng)絡(luò)設(shè)施。

這種方法的優(yōu)點(diǎn)在于它能夠檢測出目標(biāo)性很強(qiáng)的APT威脅。攻擊者通常采用自定義惡意軟件、零日漏洞或混淆技術(shù)來逃避基于簽名的防御措施。通過尋找簽名特征以外的特征，威脅獵人可以識別出與任何已知模式都不匹配的惡意攻擊，因此對發(fā)現(xiàn)APT攻擊以及一些不斷調(diào)整攻擊手段和戰(zhàn)術(shù)的復(fù)雜攻擊特別有效。

與簽名無關(guān)的威脅狩獵要求威脅獵人對攻擊者的技術(shù)有非常深入的了解，并有能力分析多種安全數(shù)據(jù)和指標(biāo)。它要求威脅獵人能夠像攻擊者一樣思考，預(yù)測他們的行動，并根據(jù)他們的潛在行為和意圖檢測威脅。

4.以情報(bào)為導(dǎo)向的威脅狩獵

以情報(bào)為導(dǎo)向的威脅狩獵主要利用集體知識的力量，將海量的威脅情報(bào)轉(zhuǎn)化為組織的主動防御能力。在這種方法中，威脅獵人需要廣泛利用從各種來源所獲取的威脅情報(bào)，包括廠商通報(bào)、安全研究機(jī)構(gòu)、安全社區(qū)，以及一些暗網(wǎng)監(jiān)測平臺。通過收集和分析關(guān)鍵入侵指標(biāo)(IOC)，如惡意IP地址、域或文件哈希，威脅獵人可以主動搜索組織內(nèi)特定威脅的存在或潛在影響。

有一個(gè)典型的狩獵場景:威脅情報(bào)源向威脅獵人發(fā)出警報(bào)，提示攻擊者已經(jīng)開始在針對性的攻擊中使用了一種新的惡意軟件。以情報(bào)為導(dǎo)向的威脅狩獵將全面分析這種惡意軟件的特征，例如它的命令和控制基礎(chǔ)設(shè)施或獨(dú)特的網(wǎng)絡(luò)簽名。然后，威脅獵人就會在企業(yè)的網(wǎng)絡(luò)環(huán)境中主動尋找這些指標(biāo)，并檢測任何妥協(xié)或正在進(jìn)行的攻擊跡象。

以情報(bào)為導(dǎo)向的威脅狩獵方法主要優(yōu)勢在于它能夠提供狩獵活動的背景和重點(diǎn)。通過了解特定威脅者的戰(zhàn)術(shù)、目標(biāo)和工具，獵人可以設(shè)計(jì)出更有針對性的檢測策略。這種方法還可以實(shí)現(xiàn)安全社區(qū)內(nèi)的協(xié)作和信息共享，共同加強(qiáng)防御并破壞對手的活動。

5.基于攻擊者畫像的威脅狩獵

以攻擊者畫像為基礎(chǔ)的威脅狩獵將威脅獵人的工作重點(diǎn)聚焦到對主流威脅團(tuán)體的廣泛特點(diǎn)研究上。在這種方法中，獵人研究和分析特定威脅團(tuán)體或攻擊事件中所采用的方法、技術(shù)和流程(TTP)。通過了解這些活動中使用的行為、工具和基礎(chǔ)設(shè)施，威脅獵人可以設(shè)計(jì)有針對性的檢測策略。

例如，一個(gè)以網(wǎng)絡(luò)釣魚攻擊和使用自定義惡意軟件而聞名的威脅行動者團(tuán)體可能會成為基于攻擊者畫像的追捕對象。獵人會深入研究該組織以前的攻擊，剖析他們的TTP，并確定與他們之前攻擊事件相關(guān)的獨(dú)特模式或基礎(chǔ)設(shè)施。然后，這些知識將被用來設(shè)計(jì)旨在檢測組織網(wǎng)絡(luò)內(nèi)的類似攻擊模式的威脅搜索。

以攻擊者畫像為基礎(chǔ)的威脅狩獵可以讓威脅獵人在持續(xù)和有針對性的威脅面前保持領(lǐng)先地位。通過了解對手的攻擊行為和動機(jī)，威脅獵人可以相應(yīng)地調(diào)整其檢測策略，加強(qiáng)對特定威脅行為體或活動的防御，降低組織的風(fēng)險(xiǎn)性。

6.自動化威脅狩獵

自動化的威脅狩獵活動可利用安全協(xié)調(diào)、自動化和響應(yīng)(SOAR)工具以及安全分析平臺的功能，簡化威脅檢測流程。這種方法利用AI技術(shù)高效地分析大量數(shù)據(jù)、識別威脅模式并檢測潛在威脅。而自動搜索規(guī)則和機(jī)器學(xué)習(xí)模型可用于持續(xù)監(jiān)控組織的網(wǎng)絡(luò)環(huán)境，并在檢測到可疑活動時(shí)觸發(fā)警報(bào)。

自動化威脅狩獵的優(yōu)勢在于它的速度和可擴(kuò)展性。由于大大減少了手動分析所需的時(shí)間和工作量，使安全團(tuán)隊(duì)能夠?qū)Ｗ⒂诟呒墑e的任務(wù)和戰(zhàn)略決策。

7.協(xié)作式威脅狩獵

協(xié)作式威脅狩獵方法強(qiáng)調(diào)安全社區(qū)和情報(bào)信息共享的力量。在這種方法中，威脅獵人應(yīng)該認(rèn)識到，沒有一個(gè)組織是完全封閉的，而通過聯(lián)合力量，他們可以集體加強(qiáng)他們的防御。通過與同行合作，參與信息共享社區(qū)，并利用威脅情報(bào)平臺，威脅獵人可以獲得更廣泛的知識和建議。

協(xié)作式威脅狩獵能夠促進(jìn)對抗網(wǎng)絡(luò)威脅的統(tǒng)一戰(zhàn)線。它使每個(gè)組織都能夠利用安全社區(qū)的集體經(jīng)驗(yàn)和專業(yè)知識，增強(qiáng)他們檢測、響應(yīng)和防止各種攻擊的能力。通過團(tuán)結(jié)一致，威脅獵人能夠加強(qiáng)了其組織的威脅監(jiān)測能力和整體安全態(tài)勢。

參考鏈接：https://hackernoon.com/game-of-threats-winning-strategies-for-proactive-cyber-defense。