什么是威脅狩獵

網絡威脅狩獵是指一種主動尋找和識別網絡中潛在威脅的活動。它是一種針對已知和未知威脅的持續監測和調查過程，旨在發現那些可能

已經逃避傳統安全防御措施的威脅行為。

SANS研究所將威脅狩獵定義為：

從本質上講，威脅狩獵是一種主動識別攻擊跡象的方法，與之相反，安全運營中心（SOC）的分析師則采取了更加被動的方法。具有完善狩獵團隊的組織更有可能在攻擊早期就抓住攻擊者。威脅狩獵人員利用工具和豐富的經驗來主動“過濾”網絡和終端數據，持續尋找可疑的異常值或正在進行的攻擊的痕跡。他們利用威脅情報來更好地了解攻擊者的戰術、技術和過程（TTP）。最重要的是，威脅狩獵人員會就可能發生的攻擊如何建立假設，并搜索數據以證明該假設

網絡威脅狩獵通常涉及以下活動：

1、數據分析

對網絡和系統的日志、事件和流量數據進行深入分析，尋找異常模式、異常行為或其他異常跡象。

2、威脅情報利用

利用外部威脅情報（如公開的漏洞信息、惡意IP地址、惡意軟件樣本等）來指導狩獵活動，并與內部數據進行對比。

3、指標定義

定義潛在的威脅指標（Threat Indicators），例如特定的網絡活動、行為模式或異常事件，以幫助識別威脅。

4、線索追蹤

通過跟蹤和分析各種線索，如異常登錄、異常網絡通信、不尋常的文件操作等，來尋找潛在的攻擊行為或惡意活動。

5、威脅模型開發

根據已知的攻擊模式、技術和威脅行為，構建威脅模型，以指導狩獵活動，并發現類似的威脅行為。

6、響應和修復

如果發現潛在的威脅或惡意活動，及時采取措施進行響應、調查和修復。

威脅狩獵的核心思想

威脅狩獵的關鍵是觀念的轉變，從關注攻擊者轉向關注自身。企業的業務通常是有規律可循的，即使大量數據產生，如果安全人員持續觀察自身業務，也能發現微妙的變化。

無論攻擊者采用何種入侵方式，入侵后必然會破壞系統或竊取數據，這將打亂業務規律或產生異常。若安全人員將精力集中在自身上，深入了解自身，找到自身的規律，任何攻擊者的行動都能得到反映。這即是威脅狩獵的核心思想，通過采集自身的精細數據，深度分析并總結出的規律和運轉狀態，以發現異常情況。

為什么狩獵威脅很重要

在當今復雜的數字環境中，網絡威脅在不斷發展，僅靠傳統的防御機制是不夠的。威脅狩獵提供了額外的安全層，以下是它至關重要的幾個原因：

? 主動防御

威脅狩獵不是等待警報，而是主動搜索潛在威脅，從而加快檢測和響應速度。

? 高級威脅檢測

威脅狩獵可以檢測傳統方法經常遺漏的高級和持續威脅。

? 降低風險

威脅狩獵可以通過更早地識別威脅來減輕損害并降低風險。

? 更好地了解威脅

威脅狩獵可以幫助您的組織了解其面臨的威脅類型，從而改進未來的防御和策略。

威脅狩獵技術能用到的工具

您使用的工具取決于您的組織的攻擊面以及您希望保護的程度。有幾種工具可以幫助進行網絡威脅搜索，例如SIEM系統、EDR系統、人工智能和機器學習以及威脅情報平臺。

安全信息和事件管理 （SIEM） 系統

安全信息和事件管理 （SIEM） 系統是網絡安全中不可或缺的工具，可對組織網絡中生成的安全警報進行實時分析。這些系統收集和聚合跨網絡硬件和軟件基礎架構（從主機系統和應用程序到網絡和安全設備）生成的日志數據。通過識別可能暗示安全威脅的模式和異常，SIEM 工具有助于檢測和響應事件，為合規性報告提供有價值的數據并改善整體安全狀況。

端點檢測和響應 （EDR） 系統

端點檢測和響應 （EDR） 系統是監控和分析端點設備活動的網絡安全工具，以識別、預防和響應潛在威脅。這些系統從端點收集和存儲數據，采用高級分析來檢測可疑行為或入侵指標。在發生安全事件時，EDR 系統提供全面的洞察和響應功能，使安全團隊能夠快速調查和緩解威脅。

人工智能和機器學習工具

人工智能 （AI） 和機器學習 （ML）工具是用于創建能夠從數據中學習、進行預測和自動化決策過程的系統。人工智能是機器執行通常需要人類智能的任務的更廣泛概念，而 ML 是人工智能的一個子集，涉及使用算法解析數據、從中學習，然后做出決定或預測。這些工具廣泛應用于從醫療保健到金融的各個行業，推動了圖像識別、自然語言處理和預測分析等領域的進步。

威脅情報平臺

威脅情報平臺 （TIP） 是一種安全工具，可幫助組織收集、關聯和分析來自各種來源的威脅數據，以支持針對網絡安全威脅的防御措施。它們收集有關潛在威脅的數據，例如攻擊者使用的入侵指標 （IOC）、策略、技術和程序 （TTP），并提供可操作的見解，以主動防御未來的攻擊。TIP 有助于實時威脅檢測，并通過更好地了解威脅形勢來促進戰略決策、事件響應和風險管理。

威脅狩獵和ATT&CK框架的聯系

ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge）框架是由MITRE組織開發的一個知識庫，旨在描述和分類對手（攻擊者）在網絡攻擊中使用的戰術、技術和常見知識。

ATT&CK框架的主要目標是提供一個結構化的參考，以幫助安全專業人員了解和對抗不同類型的攻擊者。它詳細記錄了攻擊者在執行攻擊時可能使用的各種戰術、技術和過程。

威脅狩獵團隊可以利用ATT&CK框架作為指南來規劃和執行威脅狩獵活動。他們可以根據ATT&CK框架中的攻擊技術和戰術，模擬和測試組織的防御機制。這有助于發現防御漏洞和弱點，并改進安全策略和控制措施。同時ATT&CK框架通過提供對手行為的共享知識，促進了安全社區之間的情報共享和合作。威脅狩獵團隊可以參與到這種共享中，從其他組織的經驗和發現中獲益，并將自己的發現與社區分享，以提高整個行業的安全水平。

您可以使用我們的虹科網絡安全評級產品來查看網站是否存在上述說到的這些威脅，從而能夠與您的安全團隊進行進一步的安全評估以及安全方案的實行。如果您需要EDR和MTD結合的終端保護方案也可以聯系我們了解這種終端保護方案。

//網絡安全評級//

虹科網絡安全評級是一個安全評級平臺，使企業能夠以非侵入性和由外而內的方式，對全球任何公司的安全風險進行即時評級、了解和持續監測。獲得C、D或F評級的公司被入侵或面臨合規處罰的可能性比獲得A或B評級的公司高5倍。虹科網絡安全評級對企業的安全狀況以及任何組織的安全系統中所有供應商和合作伙伴的網絡健康狀況提供即時可見性。

該平臺使用可信的商業和開源威脅源以及非侵入性的數據收集方法，對全球成千上萬的組織的安全態勢進行定量評估和持續監測。網絡安全評級提供十個不同風險因素評分的詳細報告：

虹科網絡安全評級為各行各業的大小型企業提供最準確、最透明、最全面的安全風險評級。