机构的网络中有隐藏的威胁的机会非常高。有边界防护是不够的，因为边界已经消失了，因为新技术和互联设备已经出现。单靠预防系统不足以应对攻击者，他们知道如何绕过大多数安全和监控工具，例如，使他们的攻击看起来像正常的活动。

预防系统和工具有助于减少攻击者的机会，并帮助分析人员更有效分析。然而，真正的关键是不断寻找绕过安全系统的攻击，并抓住入侵，而不是在攻击者完成攻击并对业务造成更严重的损害之后才采取行动。这个过程被称为“网络威胁追踪（hunting）”。许多组织今天都在做一些正式或非正式的追踪（hunting）。例如，他们不是等待“你被攻击”的通知，而是定期或不断地通过网络搜索来寻找威胁活动的证据。

本文将解释什么是威胁追踪（hunting）（什么不是），为什么需要，何时进行威胁追踪（hunting）是适当的，成熟度是什么，如何开始以及谁负责做追踪（hunting）。

（一）What, Why, When and Where

威胁追踪（hunting）是一种集中和迭代的方法，用来搜索、识别和理解进入网络内部的攻击者 。

 1.1 什么是威胁追踪（hunting）？

威胁追踪（hunting）着重在威胁上。而作为一个威胁，对手必须有三件事：意图、能力和机会造成伤害。威胁追踪（hunting）人员将搜索重点放在具有这三个特征的对手上（攻击者已经在网络和系统内），他们有权力收集数据和部署对策。

很多安全人员会觉得自己已在进行这种类型的活动了，至少在一定程度上进行了，在威胁追踪（hunting）出现之前。在一些情况下，这是事实。最近对威胁追踪（hunting）的强调不在于重塑多年来防护者所做的努力，是关于对分析人员有意识地确定和对抗可能已经在环境中的对手提出的。威胁追踪（hunting）需要一些具体的分析技能，例如对企业熟悉企业、提前假设和调查的能力。使用自动化攻击的分析人员，使这些追踪更快，更容易，更频繁和更准确。（自动化将在本文后面讨论。）

1.2  为什么要追踪（hunting）？

威胁是人。威胁是对手，而不仅仅是他们的工具，如恶意软件。这些对手是持久和灵活的，经常逃避网络防御。这些威胁通常被认为是高级持续威胁（APT），而不仅仅是因为对手所拥有的能力，而且还因为他们有能力发起和维持长期的攻击。

 专注的和有资助的攻击者不会被网络上的安全措施所退缩。威胁追踪（hunting）人员并不只是等待响应警报或攻击指标（IOC）。他们正在积极寻找威胁以防止或最小化损害。

1.3 何时进行追踪（hunting）？

正如我们前面所说，威胁追踪（hunting）已经在组织的许多层面发生，基于熟悉环境的分析师的直觉。许多组织面临的挑战是使威胁追踪（hunting）过程是可实现和可重复的过程，产生价值。

这个挑战中最重要的部分是将威胁追踪（hunting）有机地整合到现有的工作流中，以便它补充当前的安全工作。威胁追踪（hunting）通常由安全成熟度不同的组织执行。然而，为了充分利用威胁追踪（hunting），组织必须投资于安全基础设施，威胁追踪（hunting）工具和实践所需的基础设施。

 将威胁追踪（hunting）成熟度，需要一种安全实例（stance），包括工具、人员、流程和决策者的buy-in，从而使防护者者能够追踪。组织应制定关于角色、责任和使用威胁追踪（hunting）方式的基本规则。例如，追踪（hunting）团队不应该被视为一个一站式服务来照顾网络上的每一个问题。因此，组织必须将威胁追踪（hunting）作为其总体安全战略的一部分，并从自上而下地予以理解。

简单地说，威胁追踪（hunting）是所有人都可以访问的，但组织必须足够成熟度才能从中获得适当的投资回报，并使其成为可重复和一致的过程。有几种模型可以帮助组织评估其安全成熟度。

1.3.1 追踪（hunting）成熟度模型

成熟的模型侧重于追踪（hunting）的三个重要概念：组织需要注意收集的数据质量，用于访问和分析数据的工具以及进行追踪的分析人员的技能。追踪（hunting）成熟度模型提出了五个不同类别：初始、最小化、程序、创新和领先（见图1）。

 这个模型的主要目的是了解威胁追踪（hunting）不是一个单一的状态，而是连续发展。组织应尽量最大限度地收集数据，有效分析数据，然后适当地利用其分析人员。用这种模式正确使用追踪人员的天赋，意味着用自动化取代可重复的任务，机器学习应该把追踪重点放在数据优先级别和分析上。

1.3.2 Scaling Your Program

The Sliding Scale of Cyber Security在许多方面类似于追踪成熟度模型，但它定义了组织的五个投资阶段，可为网络安全做出贡献。图5显示了这五个滑动阶段 – 架构、被动防御、主动防御、情报和进攻。

在图中，架构是指设计的所有方面，包括网络及其系统，因此这一阶段包括解决漏洞。被动防御是将工具和系统添加到架构，可以增加网络的视角而不需要持续性的人员参与，如防火墙，入侵检测系统和端点安全解决方案。 主动防御涵盖了与分析师监测威胁相关的各种活动，向他们学习并利用其内部环境信息。

1.3.3 威胁追踪（hunting）适合的地方

 威胁追踪（hunting）包含在主动防御类别中，并集成了一些最好的情报产品。 情报是从收集数据开始，将其转化为信息和分析潜在竞争信息来产生有用知识的过程和产品。最后一个类别的犯罪，涉及组织或国家根据其法律采取的自我防护的对策。

不管组织的安全成熟程度，组织只要执行安全行动就已经在追踪（hunting）（通常是非正式的）。然而，如果按照规模进行的适当投资，例如投资监控基础设施，以进行主动的防御行动，团队会产生更多的产出。这样一来，威胁追踪（hunting）就是一种持续性活动，不断为组织成长带来越来越大的价值。

 1.3.4 基础设施第一

如果组织无法支持安全成熟度，Sliding
Scale of Cyber
Security是一个简单的方法，来看威胁追踪（hunting）是否有效性。例如，如果架构不正确，并充满了漏洞，被动防御未正确调整，那么网络将会出现难以寻找威胁的问题。因此，可能会在网络上产生诸如由基本恶意软件造成的噪声，这可能会掩盖追踪（hunting）中所需的实际数据。通过适当投资于健壮和可防御的网络，威胁追踪（hunting）变得更加容易，投资回报更高。

与被分析驱动的过程一样，威胁追踪（hunting）应该几乎总是从一个问题开始，例如“现在一个威胁如何逃避当前的被动防御”？这是因为威胁追踪（hunting）是过程，旨在解决单个高级或攻击指标处理不了的问题。重要的是，初始的问题也必须是可测试的。

1.4 如何追踪

 从一个好的假设开始，组织已存在威胁，如何利用用户或业务流程绕过安全设备。例如，追踪人员可以考虑分析：识别对组织使命最重要的资产和信息，以便对工作进行优先排序，使用被动防御和加强技术来降低风险，并做出假设对手如何会攻击资产。在假设中，追踪人员结合对他们的环境的理解和对手可能是谁。

准备追踪（hunting）的组织必须关注两个关键领域：哪些数据可用于搜索以及如何对其进行排序。

 搜索什么：分析师需要大量数据。任何在事件响应中工作的人都熟悉的一个概念是，没有数据，取证没法进行。这同样适用于威胁追踪（hunting）。追踪人员需要数据，使他们能够从单个数据重新组合，到最终揭示威胁性。没有技术人员或昂贵的工具可以弥补从数据的缺乏，例如流记录，日志，高级，系统事件，数字图像，内存dump和从整个组织收集的其他信息。Sliding
Scale of Cyber Security的架构和被动防御阶段的投资要确保数据随时可用。

如何搜索：分析师盲目查看数据是毫无意义的;他们需要搜索和可视化工具来帮助他们。威胁追踪（hunting）人员知道，数据科学对于能够有效追捕十分重要。IOC、高级和其他信息很有用，但有经验的追踪可以使用机器学习和分析工具，通过可视化显示来分类这些信息，帮助回答他们的问题，并在大数据中精确定位异常行为。

 如何聚焦：当数据有丰富有用的上下文信息和标识数据集之间数据可视化的链接时，分析通常效果最好。例如，分析师在查看单个报警的历史数据以识别模式和异常时最有效。定制的分析和机器学习使这成为可能，并且可以自动化。诸如可视化链接分析等工具中的功能可以帮助分析人员识别对手在组织内的行动，即使在网络噪声和大数据的背景下也有帮助。

自动化多少：尽管存在常见的误解，但威胁追踪（hunting）不能完全自动化。许多过程和任何可重复的步骤
-例如，搜索已知的网络威胁指标，重新使用新的威胁数据以及执行机器学习任务，
可以而且应该是自动化的，但总是需要分析人员参与。威胁追踪（hunting）的强大之处在于，人对抗人。关键是找到合适的分析师并赋予他们权力。

1.5  谁是合适的追踪人员？

即使他们在双重角色下，例如事件响应者/威胁追踪人员、安全操作中心分析师/威胁追踪人员，追踪人员必须致力于积极追击对手。这些防御者在确定真实威胁时增加了最大的价值，而不仅限于响应告警或网络维护问题（如修补漏洞）。

在团队结构中，威胁追踪人员与组织中的其他网络和安全团队一起工作，而不是与他们竞争。许多追踪（hunting）队伍位于SOC中，或作为计算机安全事件响应小组的一部分。

威胁追踪人员有好奇心，他们充满激情他们熟练掌握多种工具，了解和推动改进工具的局限性。最重要的是，猎人是创新的分析师，他们了解他们的威胁全景，了解组织，足以提出正确的问题并找到答案。在许多方面，自动化工具应能反映威胁追踪人员的行为，将其复制并使其自动化。

威胁追踪人员应结合主动防守技能和情报分析手段。考虑具有企业安全经验和事件响应经验的威胁追踪人员。企业的安全技能使追踪人员了解环境中可以产生良好日志和视角的工具，以及了解其限制。事件响应技巧可以知道需要哪些数据，以及在发现新的威胁之后要做的实际建议。

有了情报分析，防御人员作出假设，分析竞争的信息来源，并在过程中搜索和跟踪对手。此外，追踪人员应该知道情报的价值和局限性，以使宝贵的资源不被浪费。

举例来说，成熟度模型（HMM）0级专注于自动化告警和常规数据收集。这些告警可能来自网络上的防护系统，如防火墙或入IDS。这是一种反应性的方法;它不是在追踪（hunting），一旦他们超越了HMM 0级，团队就可以开始积极的追踪（hunting）过程。

随着分析人员扩大技能，他们做出更好假设，并提出关于网络上可能存在的对手及对手隐藏在哪儿。他们提升HMM级别，开始纳入威胁数据和IOC。追踪人员开始了解对手的策略、技术和程序，并通过数据分析程序（HMM
2）能够访问其环境中的数据，甚至创建自己的程序（HMM 3）。所有的追踪人员都应该期望到达HMM
4，这将以前成功的追踪（hunting）自动化。

虽然没有追踪人员的正确技能的组合，好的追踪人员将拥有各种背景和热情。

1.6 追踪（hunting）作为主动防御

特别熟练的追踪人员（更成熟的组织）也将熟悉安全模型，并应用于Sliding
Scale of Security
Maturity的主动防御和情报类别。专家知道什么时候和如何使用这些模型，因为它们适用于他们的组织，但他们不完全依赖于它们。虽然模型可以帮助分析师分析数据及响应，但是不能限制他们的创造力。尽管如此，模型也可以作为最高级分析师的帮助工具。

已经在行业中广泛使用的两个网络威胁情报模型，与成熟度模型结合在一起。两个模型是the
Cyber Kill Chain和the Diamond Model of Intrusion
Analysis，有助于识别入侵，并深挖入侵，并识别和理解对手的行为。这两个都属于主动网络防御周期。

 The Cyber Kill Chain是起源于美军Kill Chain，它试图找出对手为实现目标而采取的行动阶段。The Cyber Kill Chain已经以各种方式使用。其最重要的用途之一是详细介绍各个入侵的阶段，为每个阶段提取指标，并识别跨多个入侵的模式。

The Diamond Model of Intrusion Analysis直接补充了Kill Chain分析。它通常用于产生情报，而不是消耗它，本文不做讨论，但值得深入研究。钻石模型帮助分析师在Kill Chain中观察到的结构指标来定义和了解对手的活动。这种能力允许威胁追踪人员长时间对抗攻击者，而不是打击单一入侵。

The Active Cyber Defense Cycle采取了使用前两个模型产生的威胁情报，并将其置于主动防御的上下文中。此模式用于摄取威胁情报，识别和应对威胁，同时利用防御者的优势。该模型包括四个阶段，作为一个持续的过程：威胁情报消耗、资产识别和网络安全监控，事件响应、威胁和环境操纵。这个循环的强大之处在于，防御者可以通过与对手的互动增强实力，同时利用他们对环境的了解。

与对手的这些互动反馈到网络Kill Chain和钻石模型，创造了一个可以生成和消费威胁情报的前后过程。这个过程中，有效的追踪（hunting）可以实现和利用。

图3显示了这三个模型如何结合在一起，用于生成和消费情报，以支持威胁搜索过程。

追踪（hunting）成熟度模型（前面的图1所示）作为追踪（hunting）成熟度的衡量标准，使得该过程成为分析师驱动和成功。

1.7 自动追踪（hunting）

有了自动化，追踪人员追踪对手不必从头开始搜索过程。大多数分析师都熟悉使用自制脚本或开源工具，但专业工具和服务正在出现，以帮助企业网络中追踪威胁。

对手领先是他们了解攻击目标的能力，并拥有后勤和协调来开展长期攻击行为。这些相同的原则必须适用于威胁追踪（hunting）技术：他们应该使防御者了解自己的环境，在追踪（hunting）开始时保持一致性，并拥有后勤和协调，以便随时间追踪（hunting）和对抗对手。

当选择适合威胁追踪（hunting）的平台时，请查看自动化的具体内容，它们如何合并各种数据源，以及识别和关联模式以及充分调查和发现对手活动的能力。这些攻击与合适的人员相结合，确保了任何组织的成功。

（二）结论

 持久性和有针对性的对手已经在许多企业中。他们提出了一个安全挑战，需要专门的和有能力的威胁追踪人员，他们知道如何尽可能早地发现攻击者，缩小差距，并创造可重复的过程，用于未来追捕。

总体目标应该是建立一种针对组织及其威胁形式的方法。传统的方法，等待直到攻击周期完成，然后对响应威胁是昂贵和危险的
–
损坏已经造成，数据已经丢失，维护成本很高。关键是要建立威胁追踪（hunting）能力，尽可能早地早在kill chain中接受威胁信息，分析并采取准确的行动，并重新利用经验教训。

威胁追踪（hunting）是一种主动的方式来识别对手，而不是被动地等待告警消失。大多数组织今天在某种程度上正在进行威胁追踪（hunting）。了解自己的追踪（hunting）成熟度将有助于增长能力。在这一点上，组织需要通过正确的人员培训，数据集成和自动化平台成为分析驱动的防御者。