威脅搜尋是當前網絡安全行業的熱門話題之一。然而在如此多的熱議之下，即使是最有經驗的安全專業人士也很難從現實中辨別出炒作。

要做到這一點，首先需要了解任何威脅搜尋練習的主要目標，即主動進行網絡搜索，在造成破壞和破壞之前，識別新類型的威脅或現有的活動攻擊。企業再也無法維持一種被動的安全防護方法，因為先進的持續性威脅非常擅長規避傳統的防護并且很難盡快被發現——通常持續數月甚至數年之后。

威脅搜尋通常由專門的安全專家執行，利用最新的行為監控工具來主動檢測可疑的行為模式，并盡可能將平均檢測和響應時間縮短到幾分鐘之內，因此威脅搜尋對于減少攻擊的傳播和有效性至關重要。

[[243316]]

擁有合適的工具

探索妥協指標(IOCs)和攻擊者采取的策略，技術和程序(TTP)需要結合手動和機器輔助操作。

安全信息和事件管理(SIEM)平臺是威脅獵人用于監控網絡活動并了解什么構成常規和惡意活動的關鍵技術。

日志分析對于幫助識別可疑活動至關重要，獵人將定期設置新的SIEM關聯規則，用來提醒可能表明入侵的網絡事件序列。

最新的用戶和實體行為分析(UEBA)，機器學習、端點檢測和響應技術也常被用來進行威脅搜尋。這使得安全小組能夠獲得更廣泛的事件可見性，進行深入的取證以分析致命的攻擊鏈，設置監視列表，并通過在攻擊擴散之前隔離和消除攻擊來促進更快的事件響應。

整合情報

任何成功的威脅搜尋行動也嚴重依賴威脅情報。威脅交換，威脅情報平臺，內部研究和攻擊性安全演習(如紅隊作戰)都是重要的信息來源，可以幫助獵人提高對IOCs和TTPs的理解。

一旦發現并控制了特定的威脅，獵人通常會借助惡意軟件分析和逆向工程等技術來更加仔細的觀察這一威脅。

一個專門的獵人團隊

僅僅擁有合適的工具是徒勞，還需要合適的人使用它們。為了逃避偵測，耐心和持久的黑客經常在“防御區“之外徘徊，因此能夠采用攻擊性安全思維來改善網絡防御是任何成功的威脅獵手的先決條件。

制定關于威脅行為的假設也是該角色必須要考慮的事情，這意味著良好的態勢感知和批判性思維技能也很重要。

傳統上，藍色團隊安全分析師的角色一直是調查，分析和做出響應，但是越來越多的組織需要威脅搜尋，這意味著安全分析師的工作職責范圍正在不斷變大，以便在這一領域承擔更多責任。

安全協調、自動化和響應(SOAR)市場的發展將有助于促進這種轉變，因為SOC內部的效率提高將使人們能夠投入更多的時間和精力用于檢測而非常規流程。。

迭代方法

培養所有包括內部和外包團隊在內的安全人員之間的協作文化，對于任何威脅搜尋行動的成功同樣至關重要。

分享知識和情報的過程對于幫助集體理解和產生可行的措施辦法是必要的，另外還需要有一個持續的反饋循環，以確保經常對搜尋過程和控制進行評估。

正確的支持和建議

隨著威脅變得越來越復雜，那些為威脅搜尋投入時間和資源的組織可能會最大程度地改善其網絡安全成熟度。

威脅狩獵絕對不僅僅是炒作，雖然通過前瞻性規劃并尋求合適的支持以幫助指導和利用投資。雖然在一夜之間不太可能實現這方面的熟練操作，越早進行有關方面的培養越早收益。