威脅追捕，就是主動識別并抑制已在企業環境中建立了橋頭堡的對手。這與威脅檢測不同，威脅檢測主要是靠特征碼檢測或系統事件關聯等手段，發現入侵指標(IOC)，識別出威脅。此類上下文中的威脅，就是具備做壞事的意圖、能力和機會的對手。威脅追捕是對威脅檢測的補充。威脅檢測有其局限，且依賴4個先決條件(或者假設)：

• IOC可預測
• IOC有邏輯且可量化
• IOC靜態且不可交換
• IOC可見且可發現

這4個先決條件未必總能滿足，某些情況下，一個都不能滿足。即便前3個都滿足了，最大的挑戰在于最后一個往往滿足不了。監測每個可能的系統、網絡或用戶，是非常難的。更重要的是，時間和金錢的消耗都太大了。產出的大量警報、事件和誤報，也引發了其自身的一系列問題。而且，即使威脅檢測成功，相關警報也有可能被漏過，或者事發后很久才被注意到。威脅駐留時間的統計數據，已一次又一次地證實了這一點。

如果信禪，或許會問：“如果網絡上出現了一個IOC，而沒人正在監視，那還算是威脅嗎?”鑒于高調數據泄露發生的頻率，該問題的答案無疑是：算!

黑客同樣注意到了這些因素，并據此對自身戰術、技術和流程(TTP)做出調整，盡可能地消除這些先決條件。這是網絡安全中自然選擇的基礎，也是黑客與網絡安全人士間持續武器競賽的根源。

威脅追捕旨在矯正威脅檢測中的固有弱點。很明顯，如果黑客已經出現在內部網絡中，威脅檢測就已失敗，或者說，至少是在初始漏洞利用前沒能做出響應。若是前者，發現自己是否被黑的唯一方法，就是從等待檢測技術指出威脅，轉向人工調查是否有檢測技術漏掉的指標。若是后者，威脅追捕將專注評估入侵的范圍，旨在肅清攻擊者建立的任何立足點。 

一、威脅追捕的3種風格

1. IOC驅動威脅追捕

檢測已知IOC，并用于識別相關IOC和TTP，以驅動對環境中存在威脅的搜索與分析。

2. 分析驅動威脅追捕

高級分析、機器學習和行為分析技術識別出異常或可疑活動，驅動進一步調查。一定程度上，行為分析技術已自動化了傳統威脅追捕的某些方面，但承襲了與威脅檢測類似的局限，且產生了一些自身的弱點。

3. 假設驅動威脅追捕

特定威脅可能已成功侵入環境的初始假說或假設。可推斷出與該威脅相關的TTP和IOC，驅動對威脅的搜索與分析。

聰明的讀者可能已經發現，前兩種風格都依賴對至少一個IOC的成功檢測及發現。因此，這兩種方式主要用于驗證入侵是否發生，并評估威脅的散布范圍。

二、假設威脅

假設驅動威脅追捕不依賴前置檢測。這種方法會假設有尚未檢測到的威脅可能已經針對公司下手了。這其中比較沒那么明顯的一點，是假設驅動威脅追捕、威脅評估和威脅模擬之間的關系。

1. 威脅評估

威脅評估中，可能針對公司的潛在相關威脅，往往通過利用威脅情報的方式，被識別出來。然后納入風險管理過程，用以確定需要部署哪些安全預警措施，來抵御潛在威脅。

2. 威脅模擬

威脅模擬中，威脅TTP與現有安全技術、人員和過程相抗衡，借以評估攻擊情況下能否撐住。若能實際測試，效果會更好。真正的滲透測試或道德黑客活動，或者成熟企業所謂的紅隊測試，就是該方法的一個樣例。

三、假設驅動威脅防御

假設的一個定義，是“基于有限證據做出的假設或提案，用作進一步調查的起點。”對網絡安全人員來說，“有限證據”是其中關鍵詞。

威脅檢測技術提供有限證據——或許會發現一些IOC，但可能提供不了對高級/大范圍入侵的清晰評估。這些技術可能根本無法成功檢測威脅。威脅情報提供理論上都有些什么的大量證據，但無法確定到底誰會實際攻擊你。預防技術防護多種已知攻擊類型，但我們沒有足夠證據證明可以防住下一波攻擊。

假設驅動威脅防御，將這些假設都整合進了單個框架中，用作風險管理項目的基礎。威脅假設、威脅模擬和假設驅動威脅追捕，是假設驅動安全的三大基石，也是成功威脅緩解的三駕馬車。綜合起來，它們考慮的是：誰可能針對你，他們有沒有可能成功，以及他們是否已經成功了。

威脅快速進化，技術不斷涌現，再加上可執行證據和確定性的缺乏，這么一種態勢下想要成功，假設，已經是我們最逼近預測的做法了。