什么是威胁狩猎？

网络威胁的识别难度不断上升，而传统的网络安全工具也难以适应这种变化的形势。

据报道，有涉及高级持续性威胁的攻击事件发生。与2023年相比，2024年的数值高出74%。这会让数据面临风险，同时也会给安全团队带来挑战，迫使他们采取应对措施。威胁狩猎被证明是一种有效的方法来应对那些复杂的、高级别的威胁。这种行为规避了标准的安保措施。

本文将介绍威胁狩猎的过程，探讨常见的工具和技术，并提出一些有效的实施威胁狩猎的最佳实践。

在网络安全领域，什么是威胁狩猎呢？

威胁侦查就是……寻找那些隐蔽性极高的高级网络威胁的过程威胁狩猎是一种主动性的任务，它利用全球范围内的威胁情报数据库来识别那些能够绕过端点防御系统的威胁，并消除这些威胁。

威胁监控非常重要，因为有很多……高级持续性威胁（APTs）能够逃避标准检测系统的识别。成功的APT攻击使得攻击者能够持续监控网络活动，时间长达数月甚至数年。攻击者可以逐步渗透进入网络中的各个部分，收集相关凭据，并找到适合进行数据泄露的目标。这种攻击方式被称为“威胁狩猎”。互补能力这种机制与预防性/检测性措施以及事件响应相结合，能够及时发现那些试图突破现有防御机制的威胁。

威胁狩猎是如何运作的？

威胁狩猎通常来说为自动威胁检测系统提供补充功能这为网络安全体系增添了人为的要素。它涉及到对大量数据的由人类来进行的分析。安全数据包括日志信息、网络流量以及终端设备的活动数据等，这些都能帮助我们发现那些手段高超的攻击者。

威胁猎手们就是那些负责追踪和消除威胁的人。熟练的分析师这些人员要么在组织的安保团队中工作，要么通过第三方安全合作伙伴来实施相关操作。分析师们会根据情报、趋势或异常现象来评估每一种潜在的攻击方式。随后，他们会在整个组织的数字环境中对这种假设进行详细的调查。

关键的点是，猎人不会等待警报的发出。他们……主动寻找有关妥协的证据/迹象对于已确认的问题，需将其上报给事件处理部门，以便采取有效的措施来控制和消除这些问题。

威胁狩猎过程中的步骤

威胁狩猎的方式多种多样，这取决于组织的性质以及其所面临的威胁类型。不过，无论采取何种威胁狩猎方法，其基本步骤都是相似的。威胁狩猎的过程通常包括以下几个阶段：

1. 初始触发因素

威胁探测行动开始追踪某个触发事件或发现的结果。例如，安全分析师可能会注意到一些新的威胁，这些威胁可能源于远程访问协议或那些利用无文件恶意软件来绕过防火墙的新型Rootkit。威胁情报则可能指出正在进行的网络钓鱼攻击，而研究合作伙伴则可能会指出新的威胁行为者及其常用的攻击手段。

分析师们使用触发器来进行分析。确定需要重点关注的区域威胁猎手会分析特定的网络组件或应用程序，以识别潜在的恶意行为。触发因素可以是理论上的（基于假设），也可以是实际存在的（基于当前出现的特定威胁）。

2. 调查/调研

调查/调研深入探究潜在的攻击方式像这样的工具/设备端点检测与响应机制EDR能够提供对端点及其他网络组件的监控能力。分析人员可以通过监控网络连接、文件传输、用户登录行为以及注册表变更等方式，来评估并应对各种攻击。

这一阶段将持续进行，直到各种假设得到验证，相关发现也被记录下来之后。事件响应部门负责事件的遏制与恢复工作。.

3. 缓解措施

最后一步就是……报告调查结果，并将其移交给事件处理部门处理。该工具能够实施控制、根除以及恢复措施，从而恢复正常运营。威胁猎手会为安全团队和其他相关方编制详细的报告。这些报告包括了关于威胁情况的详细信息。表明必要的安保措施并有助于持续进行安全监控工作。

威胁猎手所提供的信息，并非仅仅提供给技术人员或管理人员。他们还会将这些信息与其他相关人士共享。构建关于过去和当前威胁的数据库这些信息详细揭示了攻击者的动机和目的，有助于各组织提升其安全防护措施，从而预防未来的类似事件。

网络威胁侦查的类型

简单来说，网络安全威胁的追踪工作可以概括为：结构化或非结构化各组织可以采取双管齐下的策略，同时采用这两种方法，或者只专注于其中一种方法来实现其安全目标。

有组织的狩猎行为

有组织的狩猎行为以情报为主导的整个过程遵循一个预先定义的框架。威胁猎手首先根据来自威胁情报的触发点来开始工作，比如某种新的攻击手段或策略。然后，他们会系统地查询网络环境中的安全数据，以检测是否存在这种特定的攻击行为。

结构化的狩猎方式在应对这种情况时非常有效。已知的威胁。威胁猎手首先会将公开可用的威胁数据与网络活动进行比对。不过，当面对未知或复杂的威胁时，这种方法的效果就不那么好了。

不过，结构化的方法具有一致性且易于实施。组织可以利用诸如MITRE ATT&CK这样的公共框架来识别潜在的威胁以及攻击者的常见行为模式。安全团队不必过于依赖复杂的内部监控系统。

无组织的狩猎行为

无组织的狩猎方式更为危险。探索性方法。任何异常或可疑的迹象都可能引发调查。例如，一个可疑的日志记录可能会引发内部警报。威胁检测团队也可能会发现情报数据库中有新的恶意软件哈希值。

威胁猎手可能并不清楚具体的威胁来源或攻击手段。相反，非结构化的侦查方法则依靠各种触发点作为线索来发现潜在的威胁。这种方法往往能够发现那些被结构化侦查方式所忽略的、隐藏着的威胁。

由实体驱动的威胁狩猎

还有第三种威胁应对方式需要考虑。这种威胁应对方式……优先考虑高价值且高风险资产安全团队正在寻找与那个“实体”相关的威胁。例如，分析师可能会重点关注那些高管或管理人员的账户，或者那些存储着私人健康信息的数据容器。

威胁探测工具与技术

威胁猎手们依靠一系列安全工具和技术来指导他们的行动，对威胁进行调查，并确保能够采取有效的应对措施。

威胁检测工具

• 端点检测与响应（EDR）EDR工具能够持续收集安全数据，从而让威胁检测人员能够找到各种证据，比如进程执行过程中的异常行为，或是那些试图绕过自动化安全控制的可疑连接。
• 安全信息与事件管理（SIEM）SIEM工具会记录用户的操作以及网络中的各种事件。这些日志数据可以帮助威胁检测人员分析长期的趋势，并将网络中的数据与外部的威胁行为情报进行比对。
• 扩展的检测与响应机制（XDR）：XDR不仅涵盖了EDR的功能。它还能为威胁检测团队提供对内部事件的监控能力，比如网络资产之间的横向移动等。此外，XDR还将终端设备、应用程序以及云平台的数据进行整合，从而更容易地将各种指标进行关联分析。
• 行为监控工具这些专门的监控工具会将网络活动与基准数据进行比较，从而发现可疑的行为模式。这些分析结果为调查人员提供了有价值的线索，帮助他们进一步开展调查工作。

威胁狩猎技术

• 搜索结果：简单的查询方式使得威胁猎手能够匹配特定的指标，从而生成可用于进一步分析的数据集。
• IOC全面审查：通过“扫描”网络环境来寻找潜在的安全漏洞，从而扩展简单的搜索功能。
• 聚类分析：分析师们会将数据按照逻辑上相关的类别进行分类。例如，流量波动和登录尝试可能会表现出类似的行为，这很可能表明存在某种协同攻击行为。
• 分组：分析师会创建包含相似证据点的群组。例如，这些群组可以包含所有在网络中活跃的IP地址。这些群组通常是从那些被标记为可疑的数据中生成的。这样做可以减少误报的情况，从而让系统能够更专注于那些具有较高威胁性的情况。
• 堆栈计数：威胁猎手会分析网络事件发生的频率，从而得出基准数据。然后，他们利用这些数据来识别那些异常现象。这是一种初步的行为分析方法，通常能够提前发现潜在的威胁。
• 异常检测机器学习算法能够保持动态的标准基线，并持续模拟网络活动中的“正常”行为。
• 主成分分析（PCA）：通过专注于那些最能反映恶意活动的指标，从而减少大型数据集中的噪声。
• 欺骗：威胁猎手会主动引诱攻击者，从而揭露他们的活动。例如，他们会使用伪造的文件或凭据作为“诱饵”，只有攻击者才会尝试访问这些“诱饵”。

网络威胁侦查的最佳实践

威胁检测是提升组织安全态势的有效手段。然而，如果检测方法效率低下，那么不仅会增加成本，还会让威胁得以隐藏起来，从而继续对组织造成危害。以下的最佳实践将有助于您有效地、安全地实施威胁检测。

• 了解那些至关重要的资产识别出那些最容易受到高级威胁攻击的数据容器、应用程序以及用户账户。同时，要重点防范那些对高风险资产造成威胁的威胁，避免将资源浪费在价值较低的目标上。
• 创建可靠的活跃度基准数据：使用自动化工具来生成准确的用户和网络活动基线数据。
• 广泛收集安全相关数据：在可能的情况下，应利用EDR、SIEM和XDR来覆盖所有终端设备和内部网络资产。通过日志进行实时监控，以收集关于隐藏威胁的尽可能多的信息。
• 利用威胁情报有效的威胁狩猎依赖于外部情报的收集。需要将内部数据收集与关于当前威胁行为者及攻击手段的情报相结合起来。
• 利用智力来提出相关的假设：这种以假设为驱动的框架在检测特定高级威胁时效果很好。可以通过使用像MITRE ATT&CK这样的开源数据库或第三方服务来识别高风险威胁。
• 实现威胁检测任务的自动化：自动化和机器学习工具能够减少威胁检测团队的工作负担。将IOC扫描和相关性分析的工作交给自动化工具来处理，而让人类专家专注于对正在进行的威胁的侦查工作。
• 提升内部团队的技能，使他们能够熟练进行威胁检测工作。内部安全团队可能尚未准备好实施主动式的威胁检测工作。因此，需要培训团队成员掌握行为分析技巧，同时利用威胁情报、取证分析手段，以及使用EDR或SIEM工具来应对各种威胁。
• 从威胁狩猎的结果中学习吧。调查与分析的结果应该作为持续改进过程的依据。利用这些结果来优化检测规则，减少误报，同时降低诸如停留时间或响应时间等指标的数值。年度威胁监控审计应评估各项指标的表现，并提出改进建议。

威胁狩猎的方法论

这些方法都是特定的威胁狩猎模型。组织可以采用三种主要的威胁狩猎方法，这些方法的复杂程度和能力水平各不相同。

• 基于假设的威胁检测这些组织会利用众包方式来获取有关新兴和活跃威胁的信息。安全团队会分析各种战术、技术和程序，以识别可能对其网络造成威胁的威胁源。之后，威胁猎手们会利用行为分析工具来判断其网络中是否存在已知的威胁源。
• 表示妥协或攻击的指标：这种分析方法利用了更广泛的情报数据来源。分析师们会利用战术性威胁情报来检测并识别各种攻击行为。例如，IOCs可能包括多次失败的登录尝试或异常的文件传输模式；IOAs则包括可疑的端口活动以及命令执行行为。分析师会将这些情报与威胁情报相结合，从而完善他们的事件应对流程，并识别出不同类型的攻击行为。
• 基于机器学习和人工智能的分析技术：下一代威胁狩猎技术利用机器学习和人工智能来分析海量的网络数据。这些分析工具能够发现那些表明存在攻击行为的异常行为，包括APT攻击所留下的隐蔽痕迹。当工具发出警报时，人类分析师会接管处理工作，从而进行更深入的分析和持续的威胁追踪。

为什么您的组织需要一种威胁狩猎策略呢？

在当今的网络安全环境中，威胁狩猎确实具有明显优势。高级威胁对现代组织构成了严重的威胁，而且这些威胁往往能够逃避传统安全工具的拦截。威胁猎手通过主动寻找、识别并消除那些可能造成伤害的威胁来应对这种安全漏洞。

威胁狩猎是现代安全策略中的一个核心组成部分。能够增强企业的韧性，同时降低企业面临的风险。当被动式的安全措施无法奏效时，主动式的防护手段就变得至关重要了。