來源：https://www.darkreading.com/operations/5-things-to-consider-with-a-threat-hunting-program/d/d-id/1325903

心態(tài)的改變（change in mindset）和像惡意黑客一樣思考（ability to think like a malicious hacker）的能力是兩個關(guān)鍵要求。

網(wǎng)絡(luò)攻擊者通過最堅固的企業(yè)防御系統(tǒng)的能力不斷發(fā)展，這加大了組織開發(fā)更好的威脅檢測和響應(yīng)能力的壓力。

這種關(guān)注的一個結(jié)果是，人們對被許多人稱為“威脅狩獵”(threat hunting)的東西越來越感興趣?！巴{狩獵”的概念是，主動搜索網(wǎng)絡(luò)上的惡意活動，而不是坐等壞事先發(fā)生。

SANS研究所最近的一項調(diào)查顯示，許多組織在某種程度上已經(jīng)在從事威脅狩獵活動。SANS調(diào)查的494名IT專業(yè)人士中，有86%的人表示他們已經(jīng)實施了威脅狩獵程序。約59%的人聲稱，威脅狩獵增強了他們的攻擊反應(yīng)能力，75%的人認為這一過程減少了他們的攻擊面。

Sqrrl Data Inc.的安全技術(shù)專家戴維·比安科(David Bianco)開發(fā)了一個用于威脅狩獵的威脅狩獵成熟度模型，他將威脅狩獵描述為“用于檢測安全事件的任何手動或機器輔助技術(shù)的統(tǒng)稱”。

Bianco說，這個過程的核心是用于搜索的數(shù)據(jù)的質(zhì)量，用于訪問和分析數(shù)據(jù)的工具，以及負責(zé)使用數(shù)據(jù)搜索安全威脅的分析師的技能水平。

他指出，獵人用來追捕入侵者的實際技術(shù)可能各不相同，很難指出單一的方法是最好的。事實上，對于獵人來說，熟悉各種各樣的方法是更好的，這樣他們就能知道最適合特定情況的方法。

在您的組織中實現(xiàn)威脅查找過程時，需要考慮以下五件事:

一、改變你的心態(tài)

端點檢測和響應(yīng)技術(shù)供應(yīng)商Cybereason的首席技術(shù)官兼聯(lián)合創(chuàng)始人約納坦?斯特里姆?阿米特(Yonatan Striem Amit)表示，與其說威脅搜索是一項新技術(shù)，不如說是一種心態(tài)的根本轉(zhuǎn)變。

其重點是利用人類的聰明才智來偵察出惡意活動，而不是僅僅依賴安全警報工具。預(yù)感和“直覺”在威脅搜索中扮演的角色與受害指標、其他技術(shù)指標和警報一樣多。

Amit說:“由于對復(fù)雜攻擊的一般情況缺乏了解，人們往往把大量注意力集中在如何防止最初的入侵上?！痹诹私馊肭终咴谧畛醯耐讌f(xié)之后可能會做什么方面的關(guān)注較少。

IT-Harvest首席研究分析師理查德?斯廷農(nóng)(Richard Stiennon)表示:“要想進行威脅狩獵，你必須承認，攻擊者很可能正在突破你現(xiàn)有的防御?！薄半m然你不應(yīng)該停止加強這些防御，但你必須尋找擊敗它們的對手?！蹦憧梢酝ㄟ^威脅狩獵來做到這一點。

阿米特將這種態(tài)度上的差異比作交警和刑事調(diào)查人員在應(yīng)對事故時采取的方法上的差異。阿米特說:“當(dāng)你是一名交警時，通常認為事故的發(fā)生是由于注意力不集中和其他意外原因?！?/p>

他表示:“但如果你是一名正在調(diào)查謀殺案的警察，你會認為涉案人員有一個惡毒的理由，然后去調(diào)查，弄明白為什么會發(fā)生這樣的事情?！?/p>

二、像黑客一樣思考

阿米特說，要想擅長威脅狩獵，你絕對需要像一個惡意黑客那樣思考。例如，如果您的組織是這樣一種組織，它通過您在一個小時內(nèi)可以關(guān)閉的故障票據(jù)的數(shù)量和修復(fù)問題的速度來衡量成功，那么攻擊者很可能也知道這一點。

“如果我在進行黑客活動，我會發(fā)送大量已知的惡意軟件，只是為了給你很多工作?！比绻銢]有每次都深入調(diào)查事件的習(xí)慣，我知道你會很容易受到影響。

組織必須認識到，初始入侵通常是復(fù)雜攻擊的最簡單的第一步。他說，一旦你明白了這一點，許多其他事情就會水到渠成。阿米特說:“你要了解你的對手是如何工作的，以及推動敵對活動的過程和動機，”了解他們可能在你的網(wǎng)絡(luò)上做什么，以及他們最有可能潛伏在哪里。

三、不要只關(guān)注惡意軟件

攻擊者在你的網(wǎng)絡(luò)上使用的惡意軟件只是達到目的的一種手段。所以僅僅找到并根除惡意軟件樣本是不夠的。

SANS研究所(SANS Institute)新興安全趨勢主任約翰?佩斯卡托雷(John Pescatore)表示，威脅狩獵不僅僅是在主機上搜索ioc的指標?！皩嶋H上，這只不過是一種基于主機的入侵檢測，它使用了一個奇特的簽名?！?/p>

威脅狩獵需要主動的威脅監(jiān)視和定向探測的結(jié)合。佩斯卡托雷說:“也就是說，我知道主動危險威脅是如何運作的，我知道他們將以我的哪些資產(chǎn)為目標，以及(他們)是否主動針對這些資產(chǎn)。”

Amit警告說，過于專注于查找惡意軟件，還可能會忽略攻擊者使用合法工具和網(wǎng)絡(luò)訪問憑證正在進行的惡意活動。通常，設(shè)法在系統(tǒng)上獲得初始訪問權(quán)的攻擊者將試圖找出一種方法，通過利用PowerShell、Windows工具(如WMI)和其他類似功能來升級特權(quán)并在網(wǎng)絡(luò)中悄然移動。惡意軟件檢測工具無法幫助發(fā)現(xiàn)此類活動。

四、提供正確的數(shù)據(jù)

安全供應(yīng)商Acuity Solutions總裁克里斯?洛夫喬伊(Kris Lovejoy)表示，良好的數(shù)據(jù)和情報是有效網(wǎng)絡(luò)搜索能力的關(guān)鍵。

安全系統(tǒng)、SIEM和分析平臺以及網(wǎng)絡(luò)監(jiān)控工具收集的數(shù)據(jù)可以提供關(guān)于網(wǎng)絡(luò)健康狀況的大量信息。她說，通過正確的篩選，這些數(shù)據(jù)可以在幫助威脅獵人對他們可能在網(wǎng)絡(luò)上看到的或追蹤到的東西有更深入的了解方面發(fā)揮至關(guān)重要的作用。

洛夫喬伊說:“想想看，網(wǎng)絡(luò)搜索就像在Facebook上監(jiān)控兒童色情照片一樣?！盕acebook上負責(zé)監(jiān)控照片的工作人員有時必須根據(jù)經(jīng)驗和Facebook系統(tǒng)收集的情報做出決定，以幫助他們解釋所看到的東西。

Stiennon補充說，威脅搜索就是將不同的數(shù)據(jù)拼湊在一起，構(gòu)建正在進行的攻擊的圖像?！斑@可能是UEBA(用戶和實體行為分析)解決方案報告的異常行為。它可能是流量峰值或由您的netflow監(jiān)控解決方案識別的異常連接，”他說。也可以是一份針對SIEM或端點監(jiān)視的威脅情報。

“除了技術(shù)，你還需要數(shù)字偵探來拉動所有這些現(xiàn)代工具的杠桿，”斯蒂農(nóng)說。這個角色的理想人選是解謎者和天生好奇的人。

他說，在IT部門的任何地方都要尋找這些特點?！鞍阉鼈兎旁谝粋€控制臺前，讓它們對大量數(shù)據(jù)進行鏈接和圖表分析。”給他們提供大量的數(shù)據(jù)。退后一步，看看會發(fā)生什么。

五、做瘋狂伊萬

洛夫喬伊說，做一些意想不到的事情是找出網(wǎng)絡(luò)中隱藏的入侵者的好方法。

其中一個例子就是冷戰(zhàn)時期的一種名為“瘋狂伊萬”(Crazy Ivan)的數(shù)字化戰(zhàn)術(shù)，潛艇指揮官曾使用這種戰(zhàn)術(shù)來探測是否有另一艘潛艇在他們身后尾隨。洛夫喬伊說，這種戰(zhàn)術(shù)包括突然急轉(zhuǎn)彎和其他機動，這樣一艘尾隨另一艘的潛艇就會暴露出來。

她說，在數(shù)字世界中，做同樣事情的一種方法是出人意料地更改密碼，看看是否有人在嘗試破解密碼。Lovejoy說，另一種策略是清除DNS緩存，以便更容易看到試圖解析為僵尸網(wǎng)絡(luò)和惡意服務(wù)器的任何受損端點。