隨著網(wǎng)絡(luò)攻擊技術(shù)和方法不斷升級(jí)換代，攻擊者的攻擊能力正在快速提高。為了應(yīng)對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)，現(xiàn)代企業(yè)需要將自身安全建設(shè)從被動(dòng)防御轉(zhuǎn)換到主動(dòng)防御、反制等主動(dòng)安全的方向上來，威脅狩獵技術(shù)應(yīng)運(yùn)而生。

企業(yè)希望通過威脅狩獵發(fā)現(xiàn)被忽視的已知威脅和新的未知威脅。但遺憾的是，要想真正落地一項(xiàng)威脅狩獵計(jì)劃并不容易，據(jù)《威脅獵人之聲》網(wǎng)站的最新調(diào)查報(bào)告發(fā)現(xiàn)，超過半數(shù)的受訪者認(rèn)為當(dāng)前實(shí)施的威脅狩獵計(jì)劃只取得非常有限的安全效果，甚至部分受訪者表示其威脅狩獵計(jì)劃根本無效。研究人員發(fā)現(xiàn)，企業(yè)在實(shí)施威脅狩獵計(jì)劃時(shí)普遍面臨數(shù)據(jù)質(zhì)量、工具性能、可見性以及專業(yè)人員等方面的限制，而導(dǎo)致企業(yè)威脅狩獵行動(dòng)失敗的主要原因包括以下三個(gè)方面：

原因1：缺乏先進(jìn)的狩獵工具

威脅狩獵分析師需要各種工具和技術(shù)的支持，才能有效地發(fā)現(xiàn)惡意活動(dòng)、修補(bǔ)漏洞，并擁有應(yīng)對(duì)攻擊的情報(bào)。報(bào)告研究人員發(fā)現(xiàn)，阻礙企業(yè)搜尋威脅的最大因素是沒有使用先進(jìn)的狩獵工具。

企業(yè)實(shí)施威脅狩獵計(jì)劃的核心目標(biāo)就是要縮短出現(xiàn)危險(xiǎn)和完成攻擊之間的時(shí)間差，即所謂的“停留時(shí)間”。因此，威脅狩獵需要能夠發(fā)現(xiàn)傳統(tǒng)安全工具未檢測(cè)到的風(fēng)險(xiǎn)，并幫助企業(yè)分析和提高現(xiàn)有威脅檢測(cè)機(jī)制和流程的有效性，提出合理的安全性優(yōu)化建議。此外，它們還需要能夠識(shí)別新的攻擊手法、戰(zhàn)術(shù)、技術(shù)和程序 (TTP)，從而發(fā)起全新的威脅處置任務(wù)。

建議：

盡管安全分析師可以人工方式完成以上各種任務(wù)，但是在效率和時(shí)間上很難滿足企業(yè)的實(shí)際應(yīng)用需求。更有效的威脅狩獵工作應(yīng)該是在高度自動(dòng)化的流程中完成，充分利用UEBA、機(jī)器學(xué)習(xí)等技術(shù)手段為分析師提供幫助。企業(yè)在選型威脅狩獵工具時(shí)，應(yīng)該重點(diǎn)關(guān)注以下功能：

• 是否能夠?yàn)榘踩治鰩熖峁└鞣N安全事件的信息收集服務(wù)；
• 是否可以聚合數(shù)據(jù)，形成統(tǒng)一的事件記錄情報(bào)；
• 是否支持多樣化的威脅檢測(cè)策略；
• 是否具有人工分析的選項(xiàng)；
• 自動(dòng)響應(yīng)設(shè)置能力是否強(qiáng)大；
• 是否可以在正式購買前提供試用。

原因2：未深入了解企業(yè)的安全基線

威脅狩獵行動(dòng)失敗的另一個(gè)主要原因是，狩獵團(tuán)隊(duì)沒有完全了解企業(yè)自身的安全基線。如果深入了解安全基線，需要擁有完備的文檔，并知道什么是“正常的活動(dòng)”，在這之外的任何“異常活動(dòng)”都需要予以調(diào)查。

如果不了解企業(yè)的安全基線，狩獵團(tuán)隊(duì)對(duì)企業(yè)的數(shù)字化環(huán)境就會(huì)缺乏足夠的可見性，或者難以收集足夠準(zhǔn)確的情報(bào)來深入分析當(dāng)前的威脅態(tài)勢(shì)。此外，如果狩獵團(tuán)隊(duì)不知道正常的安全基線，也意味著分析師無法衡量哪些行為可以接受、哪些不可接受，從而使組織面臨各種惡意活動(dòng)的威脅。

建議：

為了保證威脅狩獵計(jì)劃的效果，企業(yè)需要擁有一套標(biāo)準(zhǔn)化的威脅狩獵流程和程序，在此背景下，深入了解企業(yè)的安全基線就變得尤為重要。要了解企業(yè)的安全基線是什么，企業(yè)需要通過一段時(shí)間的數(shù)據(jù)積累，總結(jié)出企業(yè)正常數(shù)字化活動(dòng)的特征與指標(biāo)參數(shù)。為此需要部署適當(dāng)?shù)谋O(jiān)控技術(shù)和工具，實(shí)現(xiàn)全面的數(shù)字化環(huán)境可見性，并能夠從各類型的端點(diǎn)上收集所需要的運(yùn)行數(shù)據(jù)，這些數(shù)據(jù)可以讓組織更深入地了解誰在訪問系統(tǒng)。

只有在知道“正常活動(dòng)”的基礎(chǔ)上，威脅狩獵團(tuán)隊(duì)才可以實(shí)施標(biāo)準(zhǔn)化的威脅誘捕策略和規(guī)程，這些策略和規(guī)程會(huì)在考慮整個(gè)組織的數(shù)字化應(yīng)用環(huán)境基礎(chǔ)上，定義出對(duì)可疑活動(dòng)的識(shí)別和響應(yīng)。

原因3：計(jì)劃未獲得管理層的支持

報(bào)告研究發(fā)現(xiàn)，近六成（56%）的受訪者表示，他們?cè)趯?shí)施威脅狩獵計(jì)劃難以獲得公司領(lǐng)導(dǎo)層的支持，這也是導(dǎo)致狩獵行動(dòng)難以取得真正成功的重要原因。盡管企業(yè)的高層都希望組織的數(shù)字化發(fā)展能夠受到保護(hù)、安全開展，但他們很難理解實(shí)施威脅狩獵計(jì)劃的本質(zhì)及其必要性。

而對(duì)安全團(tuán)隊(duì)而言，盡管他們非常清楚采取威脅狩獵行動(dòng)的必要性，但對(duì)于管理層提出的各種問題，他們往往難以給出滿意的答案，或者拿出表明其工作價(jià)值的數(shù)據(jù)證明。在此情況下，威脅狩獵的計(jì)劃和行動(dòng)之間就會(huì)存在脫節(jié)，并影響安全團(tuán)隊(duì)獲得組織資源和財(cái)務(wù)上的支持。

建議：

為了取得企業(yè)管理層對(duì)威脅狩獵計(jì)劃的認(rèn)同和支持。安全管理者應(yīng)該加強(qiáng)和公司的溝通，并學(xué)習(xí)以簡(jiǎn)化的術(shù)語表述狩獵計(jì)劃和取得的收益，尤其要擯棄安全專業(yè)術(shù)語。同時(shí)，狩獵團(tuán)隊(duì)還應(yīng)該準(zhǔn)備一個(gè)全面、清晰的案例，讓管理者和其他業(yè)務(wù)部門充分了解威脅狩獵計(jì)劃能夠有效幫助公司各部門實(shí)現(xiàn)他們的數(shù)字化發(fā)展目標(biāo)。

參考鏈接：https://www.cybersecurity-insiders.com/top-challenges-threat-hunting-teams-face-in-2023-and-how-to-overcome-them-team-cymru/