隨著攻擊技術的演進，網絡安全防御者也需要不斷升級企業的防御方案，將網絡安全建設從被動防御轉換到主動防御、積極反制的方向上來，主動威脅搜索技術應運而生，并逐漸成為現代企業網絡安全防護計劃的重要組成部分。

主動威脅搜索有別于目前企業中常見的SOC、IDS、滲透測試和安全掃描等安全防護方案，其主要由安全分析師利用多種威脅分析工具、威脅情報和實踐經驗來排查和尋找可疑的攻擊痕跡。主動威脅搜索是一種更加積極的新一代安全防護策略，通過主動尋找和調查網絡中的任何可疑行為，可以幫助安全人員比網絡攻擊者搶先一步采取行動。

主動威脅搜索的最佳實踐

如果能夠有效實現主動威脅搜索，企業組織將會受益匪淺。以下是關于主動威脅搜索的六個最佳實踐經驗，可以幫助企業更好地實現主動威脅搜索。

1、充分了解企業的數字環境

如果要及時發現網絡中的威脅，一個基本的要求是要了解網絡正常時的狀態是什么樣子。安全分析師只有非常熟悉網絡的運行情況，才能充分獲得這方面信息。例如，如果企業充分了解不同時間段進入網絡的流量情況，就可以準確識別出流量異常的情況，并對此展開進一步調查，這樣就很可能會發現威脅。安全分析師還有必要了解各種網絡流量的來源和IP地址。如果突然發現從陌生來源的流量，應及時驗證這些來源的真實性和安全性。

2、緊密跟隨攻擊技術發展趨勢

今天的網絡攻擊者不會是孤軍奮戰，他們會經常利用暗網平臺，相互交流探討最新的攻擊技術，并不斷設計出新的手法來實施網絡攻擊。對于安全防護者而言，如果能夠獲得攻擊者的第一手信息，將對防護新型攻擊大有助益。安全分析師需要尋找機會與這些黑客打交道，這樣就有機會了解他們的手法，并利用這些信息來加強防御。

3、從攻擊者的角度思考

身處企業網絡內部的安全人員往往看不到外部黑客能看到的東西，特別是網絡系統中的漏洞和不足。從攻擊者的角度思考可以更快速了解企業在網絡防御方面的缺陷。企業如果要有效地開展威脅搜索活動，需要定期開展網絡攻擊演練活動，梳理企業的IT資產、尋找漏洞和攻擊路徑，以便更好地發現和應對風險。通過實戰化的攻防演練，可以幫助企業積累寶貴的攻擊技能，其作用不僅僅在于主動發現安全問題，對系統開發人員深入了解計算機系統也會大有幫助。

4、獲取全面的可見性

可見性是指對企業內部及所覆蓋的整個網絡流量進行收集、監控、分析，發現惡意訪問、影子資產、異常流量。對網絡安全防護人員而言，網絡的可見性是安全防護的前提，因為他們無法保護不知道的東西。這通常意味著需要了解所有設備、用戶和應用程序的行為和活動，還包括它們之間發生的交互。部署應用有效的網絡監控工具可以全面地洞察網絡中的各種活動，還可以提供反映系統安全運營情況的實時性報告。

5、利用新一代AI工具

如今，網絡犯罪分子正在積極使用機器學習、人工智能等新技術，更深入地了解其攻擊目標的行為，并發動更精準的攻擊。因此，企業組織有必要利用同樣的技術，實施安全防護和威脅檢測，做到比網絡犯罪分子領先一步。基于AI的工具可以對海量數據進行自動化檢測，快速識別異常情況，并從錯誤中學習。通過有效部署人工智能和機器學習工具，企業可以優化現有的威脅搜索策略，提升主動威脅搜索能力。

6、永遠保持警惕

主動威脅搜索并非一蹴而就的活動。網絡犯罪分子在不斷尋找網絡中的漏洞，所以企業的威脅獵手須時刻保持警惕，才能及時發現并捕獲他們。網絡攻擊者會采取不同的策略來躲避檢測。網絡威脅分析師必須對所有活動保持警惕，留意微小的細節，以識別可疑或惡意的攻擊途徑，忽略任何一些小細節都可能會導致企業遭受嚴重的網絡安全攻擊。

5個熱門威脅搜索工具

目前，市面上有一些熱門工具有助于企業主動搜索威脅。這些工具提供了自動化功能，可以減少安全人員的手動工作，用戶只需要正確配置就可以快速使用。

1、Phishing Catcher

攻擊者通過網絡釣魚手段，誘騙疏于防范的受害者泄露敏感信息。這是一種常見的攻擊，這些黑客將他們偽造的網站、電子郵件和文本信息冒充為合法內容。反釣魚威脅搜索工具Phishing Catcher可以近乎實時地將使用惡意傳輸層安全(TLS)證書的域名標注出來，它使用了一種標記語言(YAML)配置文件，為TLS證書域名中的字符串分配數字。

傳送門：

??https://github.com/x0rz/phishing_catcher??

2、CyberChef

CyberChef是一種可靠的安全威脅搜索軟件，可用于數據編碼、解碼、加密、解密和格式化。這個工具通過Web應用部署，便于用戶使用，可以處理Base64或XOR之類的基本編碼，也可以處理高級加密標準(AES)和數據加密標準(DES)之類的復雜編碼。

傳送門：https://gchq.github.io/CyberChef/

3、DNSTwist

DNSTwist主要監控試圖訪問網絡域名的可疑行為細節，以識別惡意活動或網絡攻擊，其算法能夠檢測異常，比如域名欺騙、品牌假冒和釣魚攻擊。一旦用戶在系統中輸入要訪問的域名，它會創建一個監測列表，列出可能的域名變體，并檢查列表中是否有相關域名是活躍的。

傳送門：http://dnstwist.it/

4、YARA

YARA是一個針對惡意軟件的威脅搜索工具，可以對各個惡意軟件家族進行分類。用戶只需編寫一組字符串以執行指定的函數，就可以使用它。YARA可以與多種操作系統兼容。它還提供了一個Python擴展，以便用戶創建自定義Python腳本。

傳送門：https://github.com/VirusTotal/yara

5、AttackerKB

AttackerKB是一個威脅搜索工具，可以用來檢測系統中的各種類型安全漏洞，并根據它生成的數據構建主動安全防御系統。AttackerKB的主要能力包括利用漏洞、技術分析和防御建議。用戶可以根據漏洞的影響來確定漏洞修補優先級，以收到最大成效。

傳送門：https://attackerkb.com/

參考鏈接：

??https://www.makeuseof.com/best-threat-hunting-practices-and-tools/??