什么是威胁狩猎?为什么需要威胁狩猎

前言| 什么是威胁狩猎

What’s Threat Hunting

在许多组织很快发现网络威胁狩猎是现代安全运营中心 (Security Operation Center, SOC) 发展的下一步，但他们仍然不确定如何开始搜寻或他们在进行威胁狩猎方面走了多远。 本文将阐述威胁狩猎对于一个企业网络安全的重要性。

威胁狩猎使用的是网络安全分析师的技能, 他们搭配自身的技能, 并掌握着一线的技术和威胁情报, 来及时阻止和识别恶意行为. 它能够帮助企业或组织采取积极主动的网络安全方法, 只为在早期阶段阻止攻击并且将对组织的损害降至最低.

威胁狩猎的起点是假设已经发生漏洞并且威胁行为者在网络内部，秘密监视环境并横向移动(黑客常用的内网攻击行为)。 威胁行为者可以秘密地在网络中停留数周或数月，为数据泄露或大规模攻击做准备。

对于高级持续性威胁 (APT) 尤其如此——高度复杂的威胁行为者可以避免被自动安全系统检测到。 威胁狩猎通过主动寻找妥协指标 (IoC) [1]来帮助发现和阻止这些攻击。 基于这些 IoC，他们可以在威胁参与者实现其目标之前识别并以最大程度减轻威胁。

威胁狩猎是如何工作的?

How Threat Hunting Works.

要使威胁搜寻活动取得成功，它必须能够访问来自 IT 环境的丰富安全数据。 这意味着组织必须首先部署监控和安全系统来收集数据。 这些数据可以为威胁猎手提供有价值的线索。

安全分析是将人为因素引入企业安全以补充自动化系统。 他们是经验丰富的 IT 安全专业人员，可以在威胁造成严重问题之前检测、记录、监控和消除威胁。 我们可以称之为威胁狩猎者，可以是内部安全分析师，也可以从外部供应商外包。

威胁搜寻技术寻找环境中的未知因素。 它们超越了传统的检测技术，例如来自安全信息和事件管理 (SIEM) 或端点检测和响应 (EDR) 的警报。 威胁猎手深入探索安全数据以寻找隐藏的恶意软件、攻击迹象或任何可疑的活动模式。

当安全分析师发现威胁时，他们可以提供有关修复 IT 系统的指导，以消除威胁并防止其再次发生。

威胁狩猎需要干什么?他能为企业提供什么信息.

What does threat hunting need to do? What information can he provide for enterprises

搜索(Search)

这包括使用特定搜索条件查询关键的证据。 证据可能包括完整的数据包网络数据、日志、告警、流记录、系统事件、文件转发记录。

这种技术的挑战在于，在开始威胁狩猎时，分析师并不知道要寻找什么，因此搜索范围可能过于广泛。 重要的是要在使搜索足够具体以便可以查看结果，但又不能太窄以致错过重要工件之间找到平衡点。

聚类(Clustering)

该技术依赖于机器学习和人工智能算法。 它涉及根据某些特征或者关键字在更大的数据集中隔离相似数据点的集群。 通过这种方式，分析师可以更广泛地了解他们最关心的数据，发现相似性和相关性，并深入了解组织网络中正在发生的事情。

根据聚类分析获得的数据，分析师可以发现模式并决定下一步的调查。

分组(Grouping)

该技术搜索多个独特的工件并使用预定义的搜索条件来确定它们何时一起出现。 这类似于聚类，但涉及仅检索一组明确的可疑项目。 它通常使用特定的搜索查询而不是机器学习算法来完成。

分析人员使用聚类来筛选非常大的数据集，而分组可用于关注较小数据集中感兴趣的项目或数据的特定区域。

堆栈计数(Stack Counting)

此方法计算特定类型数据的值的出现次数，并分析结果中的异常值。 堆栈计数在分析包含特定查询结果数量相对较少的数据集时效果最佳，前提是查询经过精心设计。

组织、过滤和操作有问题的数据的能力是发现大型数据集中异常的关键。 要使用此技术，分析师应利用数据探索技能并使用数据分析工具——从 Excel 等基本工具到功能齐全的 BI 工具。

威胁搜寻成功的 4 个技巧

以下最佳实践可以帮助你在组织中更有效地进行威胁狩猎。

留出专门的时间进行威胁搜寻

安全团队有多项职责，包括保护基础设施、调查警报和其他职责。 如果同一个团队同时负责安全和 IT，则每个团队成员的责任甚至更多。 危险在于，如果将威胁狩猎与其他职责一起分配给团队成员，那么总会有更紧迫的事情要做。

威胁狩猎通常被视为不太重要，因为它是一种主动活动，不涉及对直接的已知威胁做出响应。 但是，这些早期调查对于检测更高级和未知的威胁至关重要。 为了能够在威胁追踪上投入大量时间，定义一个专门的威胁追踪角色，或者至少定义一个团队成员每周应该花在威胁追踪上的最短时间，而不考虑其他优先级。

使用自动化工具

有效的威胁狩猎需要能够快速证明或反驳对组织威胁的假设。 这包括从组织内外的各种来源收集和分析数据的能力。

安全分析师可以手动收集这些信息，但这很耗时，并且需要大量的知识和专业知识。 投资专门的安全解决方案，例如 SIEM 和暗网监控解决方案，可以显着加快威胁跟踪过程。

根据风险确定优先级

安全分析师可以调查对组织的各种潜在威胁。 可检验的假设总是比威胁猎手实际调查的要多。 因此，在计划调查时，威胁猎手应根据组织的潜在风险确定优先级。 影响优先级的另一个因素是被剥削的可能性。 关注高风险、高概率威胁将有助于最大限度地发挥威胁搜寻活动的价值。

利用外包专家和 XDR

将威胁狩猎外包给外部安全服务提供商有很多好处。 安全供应商拥有专门从事威胁搜寻的团队，其中的人员在该领域拥有专业知识。 他们通常还提供最先进的技术，可以帮助更有效地识别威胁。

一些安全服务提供商提供扩展检测和响应 (XDR) 作为其服务的一部分。 XDR 解决方案可以跨网络、身份管理系统和电子邮件保护系统收集数据，识别异常，并自动为可疑攻击脾胃哦杀伤链。 这可以改变威胁猎手的游戏规则，将调查和发现威胁的时间从几小时或几天缩短到几分钟。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

• 2023届全国高校毕业生预计达到1158万人，就业形势严峻；
• 国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

 “没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。 

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

 2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

 行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

 1.学习路线图 

 攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

 

 （都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。 

  因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。 

 还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

 最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

 因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取