在剛剛結束不久的RSA會議上，研究人員表示如果實施得當，威脅追蹤可以幫助企業保持對威脅的領先。

許多已經實施了網絡威脅追蹤能力的組織并沒有從中獲得充分的好處，原因是他們缺乏必要的技能組合，或者是因為他們沒有完全將其作為網絡安全計劃的一部分。

Digital Guardian公司的CISO和管理安全服務副總裁Tim Bandos說，公司常犯的錯誤包括低估了所需的時間和沒有得到自上而下的支持。

Bandos說："不管是在內部還是通過管理服務提供商進行威脅搜索，都是整體網絡安全戰略的一個重要組成部分。威脅追蹤不是等待事件發生，而是為企業提供一種方法，通過設置陷阱和尋找環境中暗示可疑活動的行為來主動尋找潛在問題。"他說："但是，除非它是你的計劃的一個正式部分，否則你不可能在這方面取得成功。

近年來，人們對主動獵取威脅以保持對新的和正在出現的威脅的興趣越來越大。安全研究人員將其描述為給企業提供了一種方法，試圖發現可能已經溜走或繞過入侵檢測和預防控制的威脅。威脅搜索的想法是假設一個漏洞已經發生，然后使用攻擊者可能會使用的相同技術追蹤它可能發生的所有不同方式。重點不在于單獨追捕已知的威脅，而在于發現新的威脅。

Gartner以前曾描述過網絡威脅搜索的作用，特別是對于那些已經最大限度地提高了他們的警報分流、檢測和響應過程，并正在尋求進一步改善其安全狀況的組織。

Bandos說，威脅搜索是企業需要持續進行的工作，以MITRE的ATT&CK框架等資源為起點。該框架提供了不同的技術和子技術，威脅者通常采用這些技術作為攻擊鏈的一部分。安全團隊可以通過搜索他們的環境，尋找任何這些技術被用來啟用或混淆惡意活動的跡象，從而學到很多。他說：“你可以在整個星期內通過你的環境搜索這些技術中的任何一個，潛心研究。”

同樣，企業可以從他們的端點環境的日志中了解到很多，或者通過對過去一周可能創建的所有賬戶進行分析，將合法的賬戶與可能更可疑的賬戶區分開來。

成功的威脅獵殺需要對新的和正在出現的攻擊者戰術、技術和程序有所了解。同樣，它也需要有不斷回頭看老技術的意愿，因為攻擊者往往傾向于堅持使用他們熟悉的、以前對他們有用的戰術。

為了進行有效的威脅追蹤，安全團隊需要有一個可靠的數據源，如安全信息和事件管理系統，該系統具有來自多個來源的集中式日志。即使是來自個別環境的日志--如端點檢測和響應、防病毒工具、網絡和數據丟失預防(DLP)系統，也足以用于威脅追蹤。一旦定義了數據源，威脅獵手就需要使用不同的技術對其進行搜索。

例如，目標可能是獵取環境中的憑證傾銷跡象。他說：“你要匯總所有你知道的關于憑證轉儲程序和命令的威脅情報，并圍繞你要圍繞這些日志積極尋找的東西建立一個游戲手冊。同樣的方法可以應用于MITRE ATT&CK等框架中列出的每一種不同的攻擊技術。”

他說："我將從關注一個特定的技術開始，然后從那里爆發出一個點，你可以從你的環境中的每一個端點收集一個特定的工件，并通過這些數據進行搜索。"這就是你開始提高你在威脅追蹤領域的能力的時候。作為一個例子，他指出了存儲在所有機器上的應用程序兼容性緩存。緩存包含在特定機器上運行的所有進程的記錄。僅僅圍繞這一數據源，企業就可以開展整個獵殺活動。

正確的技能組合

要想做好這個工作，威脅獵手需要對安全架構、資產安全、應用安全和其他基礎知識有堅實的了解。他們還需要一定程度的事件響應技能，包括日志分析、惡意軟件分析、取證和威脅情報處理。此外，威脅獵手需要有分析能力、耐心和不懈的努力，Bandos說。這項工作可能很乏味，那些沒有正確態度的人可能很快就會感到沮喪。

獵取威脅的一個挑戰是衡量成功。有時可能不清楚，威脅獵取演習一無所獲是因為演習本身沒有正確進行，還是因為確實沒有什么可發現的。特別是在較小的環境中，威脅獵手可能經常沒有發現任何新的或隱藏的威脅。