前言| 什么是威胁狩猎

What’s Threat Hunting

在许多组织很快发现网络威胁狩猎是现代安全运营中心 (Security Operation Center, SOC) 发展的下一步，但他们仍然不确定如何开始搜寻或他们在进行威胁狩猎方面走了多远。 本文将阐述威胁狩猎对于一个企业网络安全的重要性。

威胁狩猎使用的是网络安全分析师的技能, 他们搭配自身的技能, 并掌握着一线的技术和威胁情报, 来及时阻止和识别恶意行为. 它能够帮助企业或组织采取积极主动的网络安全方法, 只为在早期阶段阻止攻击并且将对组织的损害降至最低.

威胁狩猎的起点是假设已经发生漏洞并且威胁行为者在网络内部，秘密监视环境并横向移动(黑客常用的内网攻击行为)。 威胁行为者可以秘密地在网络中停留数周或数月，为数据泄露或大规模攻击做准备。

对于高级持续性威胁 (APT) 尤其如此——高度复杂的威胁行为者可以避免被自动安全系统检测到。 威胁狩猎通过主动寻找妥协指标 (IoC) [1]来帮助发现和阻止这些攻击。 基于这些 IoC，他们可以在威胁参与者实现其目标之前识别并以最大程度减轻威胁。

威胁狩猎是如何工作的?

How Threat Hunting Works.

要使威胁搜寻活动取得成功，它必须能够访问来自 IT 环境的丰富安全数据。 这意味着组织必须首先部署监控和安全系统来收集数据。 这些数据可以为威胁猎手提供有价值的线索。

安全分析是将人为因素引入企业安全以补充自动化系统。 他们是经验丰富的 IT 安全专业人员，可以在威胁造成严重问题之前检测、记录、监控和消除威胁。 我们可以称之为威胁狩猎者，可以是内部安全分析师，也可以从外部供应商外包。

威胁搜寻技术寻找环境中的未知因素。 它们超越了传统的检测技术，例如来自安全信息和事件管理 (SIEM) 或端点检测和响应 (EDR) 的警报。 威胁猎手深入探索安全数据以寻找隐藏的恶意软件、攻击迹象或任何可疑的活动模式。

当安全分析师发现威胁时，他们可以提供有关修复 IT 系统的指导，以消除威胁并防止其再次发生。

威胁狩猎需要干什么?他能为企业提供什么信息.

What does threat hunting need to do? What information can he provide for enterprises

搜索(Search)

这包括使用特定搜索条件查询关键的证据。 证据可能包括完整的数据包网络数据、日志、告警、流记录、系统事件、文件转发记录。

这种技术的挑战在于，在开始威胁狩猎时，分析师并不知道要寻找什么，因此搜索范围可能过于广泛。 重要的是要在使搜索足够具体以便可以查看结果，但又不能太窄以致错过重要工件之间找到平衡点。

聚类(Clustering)

该技术依赖于机器学习和人工智能算法。 它涉及根据某些特征或者关键字在更大的数据集中隔离相似数据点的集群。 通过这种方式，分析师可以更广泛地了解他们最关心的数据，发现相似性和相关性，并深入了解组织网络中正在发生的事情。

根据聚类分析获得的数据，分析师可以发现模式并决定下一步的调查。

分组(Grouping)

该技术搜索多个独特的工件并使用预定义的搜索条件来确定它们何时一起出现。 这类似于聚类，但涉及仅检索一组明确的可疑项目。 它通常使用特定的搜索查询而不是机器学习算法来完成。

分析人员使用聚类来筛选非常大的数据集，而分组可用于关注较小数据集中感兴趣的项目或数据的特定区域。

堆栈计数(Stack Counting)

此方法计算特定类型数据的值的出现次数，并分析结果中的异常值。 堆栈计数在分析包含特定查询结果数量相对较少的数据集时效果最佳，前提是查询经过精心设计。

组织、过滤和操作有问题的数据的能力是发现大型数据集中异常的关键。 要使用此技术，分析师应利用数据探索技能并使用数据分析工具——从 Excel 等基本工具到功能齐全的 BI 工具。

威胁搜寻成功的 4 个技巧

以下最佳实践可以帮助你在组织中更有效地进行威胁狩猎。

留出专门的时间进行威胁搜寻

安全团队有多项职责，包括保护基础设施、调查警报和其他职责。 如果同一个团队同时负责安全和 IT，则每个团队成员的责任甚至更多。 危险在于，如果将威胁狩猎与其他职责一起分配给团队成员，那么总会有更紧迫的事情要做。

威胁狩猎通常被视为不太重要，因为它是一种主动活动，不涉及对直接的已知威胁做出响应。 但是，这些早期调查对于检测更高级和未知的威胁至关重要。 为了能够在威胁追踪上投入大量时间，定义一个专门的威胁追踪角色，或者至少定义一个团队成员每周应该花在威胁追踪上的最短时间，而不考虑其他优先级。

使用自动化工具

有效的威胁狩猎需要能够快速证明或反驳对组织威胁的假设。 这包括从组织内外的各种来源收集和分析数据的能力。

安全分析师可以手动收集这些信息，但这很耗时，并且需要大量的知识和专业知识。 投资专门的安全解决方案，例如 SIEM 和暗网监控解决方案，可以显着加快威胁跟踪过程。

根据风险确定优先级

安全分析师可以调查对组织的各种潜在威胁。 可检验的假设总是比威胁猎手实际调查的要多。 因此，在计划调查时，威胁猎手应根据组织的潜在风险确定优先级。 影响优先级的另一个因素是被剥削的可能性。 关注高风险、高概率威胁将有助于最大限度地发挥威胁搜寻活动的价值。

利用外包专家和 XDR

将威胁狩猎外包给外部安全服务提供商有很多好处。 安全供应商拥有专门从事威胁搜寻的团队，其中的人员在该领域拥有专业知识。 他们通常还提供最先进的技术，可以帮助更有效地识别威胁。

一些安全服务提供商提供扩展检测和响应 (XDR) 作为其服务的一部分。 XDR 解决方案可以跨网络、身份管理系统和电子邮件保护系统收集数据，识别异常，并自动为可疑攻击脾胃哦杀伤链。 这可以改变威胁猎手的游戏规则，将调查和发现威胁的时间从几小时或几天缩短到几分钟。