[车联网安全自学篇] 汽车威胁狩猎之关于威胁狩猎该如何入门？你必须知道的那些事「7万字详解」

---

也许每个人出生的时候都以为这世界都是为他一个人而存在的，当他发现自己错的时候，他便开始长大

少走了弯路，也就错过了风景，无论如何，感谢经历

---

0x01 前言

---

虽然威胁狩猎，并不完全是新事物，但近年来人们对这一领域的兴趣越来越大，这主要是由于越来越多的攻击绕过了传统的检测技术而引起的

SANS 有一个越来越多的关于这个主题的内容库，2023年在 Google 上搜索也能看到威胁狩猎的信息越来越多（如下图）

第一次接触威胁狩猎，可能会难以掌握互联网上可用的所有方法理论。甚至没有任何同事在威胁狩猎方面有丰富的经验，所以你可能会有点费力想弄清楚具体的狩猎步骤应该是什么（如果有此疑问，那么本系列文章可能会对你有所帮助）

试图思考如何真正开始打猎？首先，我开始调查手头上能用的工具。例如：安全运营平台至少提供了一个基本的查询功能，可以用来寻找攻击的迹象。当你越来越擅长搜索时，可能会注意到一些工具没有提供很好的查询语言，导致限制了搜索的可能性（此时你就需要更强大的查询语言了）… …

注：想了解更多内容，请阅读本系列专栏文章

---

概念：曾经主流的安全防御软件是通过等待安全监控程序的警报时再执行紧急防御措施（被动防御），而这种安全防御系统已经无法适应当前复杂的环境。为了应对日益严峻的网络安全挑战，越来越需要防守方将自身安全建设从被动防御转换到主动防御、反制等主动安全的方向上来，威胁狩猎技术应运而生

威胁狩猎 (国内有多种叫法：威胁狩猎、威胁捕获、威胁搜寻) 不是一种技术，而是一种方法（即，威胁狩猎是一个通常由安全分析师执行的流程）。作为一名安全分析师，威胁狩猎是为了有效地利用安全分析师，以发现设备的任何异常情况

注：威胁狩猎是信息安全界的一个流行概念，但很少有严格的定义。因此，存在许多 “威胁狩猎” 的概念，并且这个想法变得无法定形，从查找入侵指标 (IOC) 到结构化、记录在案的迭代搜索程序

威胁狩猎是网络攻防适应循环中的防御适应之一。它填补了已知攻击与通过检测代码以编程方式形式化攻击之间的差距

注：SANS 网络安全滑动标尺模型把整个安全建设划分为五个阶段：架构安全、被动防御、主动防御、威胁情报和反制

尽管威胁检测和事件响应技术在不断发展，但攻击及其战术也在不断发展。如今，犯罪分子不是一发现漏洞就直接部署恶意软件或进行破坏性攻击，而是慢慢来（例如他们侦察网络，收集机密数据），并寻找能让他们获得更多信息的凭据资源

令人震惊的是，即使是配备了先进防御系统的企业，有时也无法检测到隐蔽的入侵者，从而使攻击者在被发现之前就已经在公司网络中潜伏了数周甚至数月

随着越来越多的攻击和0day (零日) 漏洞案例，在 2021 年达到创纪录的数量，公司必须采取一种新的、主动的网络安全方法

许多安全专家认为，威胁狩猎是必经之路

现在许多大型企业都会在内部，使用基于安全运营平台预先提供录制的安全事件，这些事件是由模拟对抗技术以 JSON 文件的形式生成的，以便于研究人员使用。预先记录的数据按照 ATT&CK 框架定义的平台、攻击组、策略和技术进行分类

ATT&CK框架为威胁狩猎提供了一个统一的术语系统来描述攻击者在做什么，这样信息安全人员就可以在一个通用的语境下来工作以及交流如何处理它

注：威胁狩猎不一定很复杂，但并不适合所有安全从业人员。因为，知道如何开始和结束狩猎，比知道如何进行狩猎更重要，如果需要一个起点，请查看威胁形势的趋势，并专注于没有自动警报/检测的威胁。狩猎是一个创造性的流程，对那些抓住机会的人给予回报。完成一些事情，任何可操作的事情，只要它能提供价值

ATT&CK 是非常具有指导意义和为安全分析人员提供知识基础的，但在真实场景下仍需进行拆解，并通过安全运营来完善缺失的攻击面和攻击向量

尽管 ATT&CK 框架提供了最佳实践，但需要记住的是威胁狩猎团队的建设和狩猎流程是迭代的、持续演进的，这个流程是没有终结点。ATT&CK框架可以帮助安全分析师们提高狩猎的速度、准确性并不断优化狩猎的步骤，这将使防御体系得到更高级别的保护，以抵御各种不断演进的网络攻击行为

威胁狩猎是一种主动的网络安全实践，即狩猎已经存在于一个组织环境中的隐藏威胁。威胁狩猎是必要的，因为许多攻击者设计他们的攻击，以绕过一个组织的边界和防御，以便潜入而不被发现（例如基本的安全分析已经构建了起来，以检测遵循预定义模式的已知恶意软件，但新的未知恶意软件更难检测）

威胁狩猎是一个持续的流程，也是一个闭环的主动防御流程。基本都是基于假设作为狩猎的起点，发现IT资产中的一些异常情况，就一些可能事件提前做一些安全假设。然后借助工具和相关技术展开调查，调查结束后可能发现新的攻击方式和手段（TTP），然后增加到分析平台或者以情报的形式输入到SIEM中，可能触发后续的事件响应，从而完成一次闭环

因此，威胁狩猎作为一个流程，用于了解攻击的运作方式。这种以情报为导向的工作，明确关注威胁者在入侵过程中所采用的行为、战术和技术。通过了解和分析攻击的传统技术，分析人员可以确定攻击行为的趋势和共同点，并开始确定进一步研究和调查的优先项目

有些企业会卖威胁狩猎服务，例如阿里云威胁狩猎服务（传统安全）通过简单、轻量的部署以及专家运营模式，提供精准威胁情报服务，帮助客户精度定位攻击者，进一步加强客户侧纵深防御体系。威胁狩猎通过攻击混淆的方式，延缓攻击过程、分析攻击行为、获取攻击情报，实现攻击行为取证和溯源。可用于以下场景：

• 日常系统遭受攻击时，精准定位攻击者加强防御体系
• 在重要时期需要安全保障时，通过蜜罐布置陷阱降低或延缓攻击

CAR模型是威胁狩猎的重要模型，APT 组织的行为步骤为从左到右，安全团队的行为步骤是从右到左，在“分析”列进行交汇。APT 组织使用攻击技术进行渗透，安全团队利用安全数据进行数据分类及分析，在“分析”环节进行碰撞。所以威胁狩猎的核心思想是基于细粒度的数据采集，并通过深度分析发现异常情况

从本质上讲，网络世界中的威胁狩猎可能与现实世界中的狩猎非常相似。它需要具有独特技能的专业人员，他们具有一定的耐心，批判性思维，创造力和敏锐的洞察力，通常以网络行为异常的形式发现猎物

安全运营中大规模数据分析的困难来自于攻守的不平衡性。可持续的安全运营的目标是在合理的投入产出比下，持续的监控并降低企业和组织的系统安全风险。安全运营的目标不仅仅是在态势感知大屏上看到威胁趋势，而是真正要发现并处置真实威胁，例如进行针对高隐匿性、低频的高级威胁的威胁狩猎

威胁狩猎为成熟的安全运营中心增加了一个新的保护层

威胁狩猎的定义很多（不同的威胁狩猎安全从业人员，都有自己思考问题的方法或方式，研究人员也是如此），就我而言将其定义为：主动和迭代地搜索网络，以检测和隔离绕过现有安全解决方案的高级威胁的过程

例如：假设你的安全团队主动地对你的 Active Directory (目录) 环境的异常帐户活动进行评估，并发现了大量的 Windows 事件日志，表面成功登录（EventID 4624 )，登录类型 10（远程交互式登录：当用户通过终端服务、远程协助或远程桌面登录时发生）。在这样做的过程中，他们运用了威胁狩猎的核心组成部分（主动性）。与被动等待因 Windows 事件日志达到指定阈值而触发警报相比，他们主动搜索潜在的 “攻击者”

为了使这个例子更加复杂，如果他们发现负责生成远程交互式登录事件的帐户属于域管理员组，又该怎么办？他们是否知道这可能会产生什么影响，或者他们应该采取哪些步骤来遏制、减轻和补救任何潜在的入侵或违规行为？正是在这一点上，我们看到了威胁狩猎的弊端。由于个人的经验、知识或能力各不相同，安全团队可能不知道如何处理大量的 Windows 事件日志，甚至无法在堆积如山的日志中找到 “攻击者”

---

1）小插曲知识

安全运维或分析人员一般都熟知典型的被动响应式（Reactive）安全管理中心的工作流，如下：

• 系统生成警报
• 安全归类分组分析
• 上报调查或结案

上述所说的分层系统，在现实的安全管理工作中非常普遍，但随着黑客武器工具以及威胁形势的发展，SOC工作流程应亟需改变以应对不断变化的外部要求,即目前用户在安全工作中，要求SOC的工作流改变为更加主动（Proactive，又称作前摄的）的方式：

• 持续监控
• 触发安全问题分诊、上报和调查程序等动作
• 继而引发新一轮的威胁追捕，这需要检索过往威胁情报数据的过程开始，一旦有了这些数据，安全分析就有了主动使用数据的能力

---

那么，对于威胁分析人员来说，有时候真的和 “盲人摸象” 和 “管中窥豹” 的故事比较类似，往往需要通过单一线索关联出更多，并且通过碎片化的证据还原攻击的全貌（如果想要更全面的还原整个攻击活动的情况，除了需要对其攻击载荷进行更细致的分析外，还依赖于一些日志数据等，去补齐我们所缺失的观察部分）

另外，通常安全专家谈及网络威胁的细分时，通常会提及二八定律（又名80/20定律、帕累托法则（定律）也叫巴莱特定律、最省力的法则、不平衡原则等，被广泛应用于社会学及企业管理学等。）。二八定律的概念为：80% 的网络威胁攻击者通常比较“低能”，而剩下 20% 则非常先进，如果给定的时间和资源充足，这 20% 的攻击者可以入侵任何网络

针对威胁狩猎，许多 CEO 可能会问 “猎人到底在寻找什么呢？以及为什么我们需要它们？“ 。既然，我们已经实施了最新的网络安全解决方案，以及部署了最新的网络安全设备，那么我们企业的系统是否得到了充分的保护？这个问题很好问题，无非就是三大真相，如下：

• 不可能防止所有的攻击
• 企业网络难免会遭遇攻击
• 不存在 100% 的安全

注：从上面可以看出，即使使用最好、最新的技术，也总是存在一些高级威胁能够逃避你的防御方案和安全设备，而这正是威胁狩人正在寻找的东西。简单的来说，就是大多数公司通常只会部署一系列的安全解决方案，一旦部署好后便能抵御大多数已知攻击（例如，针对冰蝎工具的异常流量检测，如果它在特定的版本内的话，安全设备是能正常拦截并产生告警的，可是只要冰蝎工具的开发者，更新了新的流量传输加密的方法，此时安全设备就有很大可能失效，而这正是威胁猎人正在寻找的东西

这就是为什么需要威胁狩猎的原因，它创建了一个新的安全方式：它假设由于不可能阻止每一次攻击，因此公司网络将受到威胁，但你可以通过猎物留下的痕迹，去追踪猎物，发现攻击行为

大多数安全从业人员都明白，良好的网络习惯和边界网络安全将缓解底层 80% 的攻击者。在安全运维中心（SOC），阻止和处理技术可以应对超过 90% 的攻击者。而那剩下的10%，就属于威胁狩猎的领域

安全分析师可以调查数据源找到单靠机器无法检测到的威胁证据。例如，寻找异常的分析师可以发现攻击者的指示器（Indicator），以及执行攻击者的部分杀伤链，并在对方采取行动前加以阻止

对于 APT 分析来说，可分为四个分析维度：

• 技术分析：即对攻击的样本，使用的漏洞利用工具等进行分析，一方面分析其具体使用了哪些技术手段，用来做什么，另一方面是提取指纹特征
• 战术分析：需要去对应当前的攻击阶段，是初始立足阶段，还是横向移动过程
• 意图分析：攻击的意图可以是短期的，也可以是中长期的，短期意图可以是一阶段载荷和初步的信息收集，而中长期的可能是要拿下一个内网核心节点，目标数据库或是制定的战略目标
• 归属分析：归属分析是可以对攻击来源的可信程度的判断，其用于归属判定的依据可以是一个具体的 IP、终端设备或者地域区域，也可以是一个网络 ID 或者真实的人。对于归属分析和如何利用证据来作证判定结果，最好的案例就是去年美国 DoJ对朝鲜黑客的指控书

注：对于 APT 攻击来说，攻击工具和基础设施是易变的，但制定的攻击目的不会轻易的变化

• 安全事件（event），日志中命中一定规则后形成的事件，安全事件不一定意味着入侵成功
• 安全报警（alert），综合一定的安全事件分析出成功的入侵事件，形成安全报警，这是整个系统的核心安全能力，即发现并呈现有效入侵行为，将安全工程师从海量报警之中解放出来

要想做好威胁狩猎或是异常检测/溯源，最重要的或者说前提条件是【高质量的数据源】，如果没有准确的数据，任你的检测算法说的神乎其神，那也是瞎扯淡，巧妇难为无米之炊。当然，在（现实）企业中做安全，前期不可能面面俱到，但是抓重点还是必要的，先找出能覆盖大多数场景的数据，然后不断地采集、优化，只要你能做到这种程度，你就已经比大多数人做的要好了

1.1 威胁狩猎工作原理

成功的威胁狩猎计划基于环境的数据可繁殖性。换句话说，组织必须首先有一个企业安全系统来收集数据。从该系统收集到的信息为威胁狩猎者提供了宝贵的线索

网络威胁狩猎者为企业安全带来人为元素，补充了自动化系统的不足。他们是技能熟练的IT安全专业人员，能够在威胁可能导致严重问题之前搜索、记录、监控并消除威胁。理想情况下，他们是公司 IT 部门的安全分析师，熟知公司的运营情况，但有时也会是外部分析师。

威胁狩猎的艺术在于发现环境中的未知数。它超越了传统的检测技术，例如 安全信息和事件管理 (SIEM)、端点检测和响应 (EDR) 等等。威胁狩猎者会梳理安全性数据。他们会搜索隐藏的恶意软件或攻击者，寻找计算机可能遗漏或误判为已解決的可疑活动模式。他们还会协助修补企业的安全系统，防止此类网络攻击再次发生

1.1.1 什么是威胁狩猎？

尽管威胁检测和事件响应技术在不断发展，但攻击及其战术也在不断发展。如今，犯罪分子不是一发现漏洞就直接部署恶意软件或进行破坏性攻击，而是慢慢来（例如他们侦察网络，收集机密数据），并寻找能让他们获得更多信息的凭据资源

令人震惊的是，即使是配备了先进防御系统的企业，有时也无法检测到隐蔽的入侵者，从而使攻击者在被发现之前就已经在公司网络中潜伏了数周甚至数月

随着越来越多的攻击和0day (零日) 漏洞案例，在 2021 年达到创纪录的数量，公司必须采取一种新的、主动的网络安全方法

许多安全专家认为，威胁狩猎是必经之路

SANS 将威胁狩猎正式定义为：

“威胁狩猎的正式实践[它]旨在发现现有检测技术尚未发现的环境中存在的攻击战术、技术和过程（TTP）的存在”

换句话说就是，威胁狩猎是基于我们已经被入侵的假设，但我们现有的检测能力没有检测到任何东西

真正的威胁狩猎是主动的和先发制人的。安全团队成员走出去，并积极寻找正在发生的入侵的间接迹象，而不是等待某事情发生或被检测到。我们假设已经被入侵，但我们的攻击者正在积极地逃避被发现和被检测到

威胁狩猎 (国内有多种叫法：威胁狩猎、威胁捕获、威胁搜寻) 不是一种技术，而是一种方法（即，威胁狩猎是一个通常由安全分析师执行的流程）。作为一名安全分析师，威胁狩猎是为了有效地利用安全分析师，以发现设备的任何异常情况

威胁狩猎是网络攻防适应周期中的防御性适应措施之一。它填补了已知攻击和通过检测代码进行形式化攻击之间的空白

简单地说，威胁狩猎是一套流程，包括主动狩猎已绕过检测，并可能在后台运行的威胁。然而，这与调查监控期间发现的 IoC 不同（威胁狩猎，假设攻击者已经绕过了任何安全防御措施）

威胁狩猎是一项持续的、主动的工作，旨在试图在攻击发生之前就发现威胁。这一流程通常是数据驱动的狩猎或基于假设的狩猎

数据驱动的威胁狩猎是一个过程，在该过程中，安全专家通过企业基础设施内各种数据源的日志文件，寻找任何可疑的活动或异常情况。虽然，筛选如此大量的数据可能很耗时，但对于威胁猎手来说，这是检查最近对基础设施的购买或了解公司的攻击面的一个好方法，特别是如果以前从未进行过这项工作

谈到基于假设的威胁狩猎，安全专家首先会根据安全数据或触发因素提出假设。然后，威胁猎手不会狩猎所有资产，以寻找所有类型的异常，而是缩小狩猎范围，并检查特定环境，以寻找特定类型的威胁

1.1.2 威胁狩猎至关重要

网络安全解决方案远非完美。有效的威胁搜寻可主动防止检测解决方案可能失败的高级攻击造成的损害。事实上，在2019 年 SANS 威胁搜寻调查中，12% 的组织表示威胁搜寻将其组织的安全态势提高了 50% 以上

1.1.3 为何威胁狩猎如此重要？

威胁狩猎之所以重要，是因为缜密复杂的威胁可以突破自动化网络安全防线。尽管自动化安全工具以及第一层和第二层安全运营中心 (SOC) 分析师应该能够处理大约 80% 的威胁，但你仍然需要为剩下的 20% 而担忧。这剩下的 20% 的威胁更有可能包含可导致重大损害的复杂威胁。如果有足够的时间和资源，他们将会闯入任何网络，平均会在长达 280 天的时间里安然躲避检测。有效的威胁狩猎就有助于缩短从入侵到发现的时间，从而减少攻击造成的损害

在被发现之前，攻击者往往已潜伏数周乃至数月。他们耐心地等待时机窃取数据，并发现足够的机密信息或凭证，以解锁进一步的访问权限，从而为重大数据泄露做好准备。潜在威胁会造成多大程度的损害？根据"《数据泄露损失报告》，"一次数据泄露平均会让一家公司损失近 400 万美元。数据泄露的有害影响可能会持续数年。系统故障和部署响应之间的时间越长，组织耗费的成本也就越高

1.2 威胁狩猎类型

狩猎类型（不同的威胁狩猎安全从业人员，都有自己思考问题的方法或方式，研究人员也是如此（就我而言，看下面介绍的威胁狩猎五种类型））例如狩猎的 3 种类型，如下：

• 威胁情报：针对特定指标的搜索，这些都是容易实现的目标，随后应将指标添加到存在的任何警报机制中。将重点放在威胁参与者的TTP上，而不要关注包含数百个指标的摘要
  • 自动化：IoC 提取，应由 SIEM 和 SOAR 执行
    • 安全信息和事件管理 (SIEM) ：扩大你的 SIEM 基础，制定一个可以随着时间变化而扩充的综合计划，来识别内部威胁、跟踪终端设备、保护云并管理合规性
    • 安全编排、自动化与响应 (SOAR) ：威胁检测只完成了安全工作的一半，为了改进你的安全运营中心 (SOC)，你还应该考虑智能事件响应、以及具有托管服务的单一集成安全编排、自动化与响应 (SOAR) 平台
  • 持续：态势感知和行为分析，如果这些可以变成警报搜索，那就更好了，否则，应该以合理的时间间隔安排
  • 按需：寻找特定活动，这通常具有时间元素，例如对给定智能的响应
• 态势感知：狩猎用于查看正常的系统和网络操作，并识别正常操作之外的活动，这可能包括事件的数量/频率、某些活动的方法或与某些事件相关的特定数据点的变化（依赖于我们确定组织内最重要的资）
  • 最大的威胁狩猎技能之一，不仅是查看哪些数据不属于，还要查看哪些数据丢失
• 领域专业知识：这种类型的假设是威胁猎人专业知识的产物。猎人产生的假设是由他们自己决定的背景和经验。猎人过去进行的狩猎也将影响猎人的假设。在这里，文档化过程对于记录已学习的课程并将其与团队中的其他成员共享非常重要。有经验的猎人必须非常意识到自身的不足。尝试避免不良的分析习惯，并实施偏差预防技术

注：随着企业探索威胁狩猎技术的使用，他们可以从学习中受益的一个重要概念是结构化狩猎（有时称为基于假设的威胁狩猎）。如今，大多数企业仍未充分利用这种类型的狩猎，但当他们将结构化威胁狩猎纳入其威胁狩猎计划时，成熟的计划可以从他们的努力中获得一些最大的收益

其它的一些威胁狩猎类型：狩猎者从基于安全数据或触发器的假设开始。该假设或触发器可作为对潜在风险进行更深入调查的跳板。这些更深入的调查包括结构化狩猎、非结构化狩猎及情境式狩猎

• 结构化狩猎
  • 结构化狩猎基于攻击指标 (IoA) 以及攻击者的战术、技术和过程 (TTP)。所有狩猎行为都基于攻击者的 TTP，并与其保持一致。因此，通常情况下，狩猎者甚至可以在攻击者对环境造成破坏之前就识别出攻击者。这种狩猎类型采用 MITRE Adversary Tactics Techniques 和 Common Knowledge (ATT&CK) 框架 ，同时使用 PRE-ATT&CK 及企业框架
• 非结构化狩猎
  • 非结构化狩猎是基于触发器发起的行为，该触发器是众多失陷指标 (IoC) 之一。此触发器通常会提示狩猎者寻找检测前和检测后的模式。通过指导他们采用相应的方法，狩猎者可以追溯到最早保留的数据，以及以前相关的攻击行为
• 情境或实体驱动
  • 情境假设来自于企业的内部风险评估或其 IT 环境特有的趋势与漏洞分析。面向实体的线索来自于众包攻击数据，经过审查，这些数据可以揭示当前网络威胁的最新 TTP，然后威胁狩猎者就可以在环境中搜索这些特定行为

1.2.1 威胁狩猎的五种类型

注：TTP：战术Tactics、技术Techniques和过程Procedures，是描述高级威胁组织及其攻击的重要指标
TTP 军事定义：

• 战术：协调使用并有序部署军队
• 技术：用于执行战斗行动、履行职责或任务的非规定方式或方法
• 过程：规定如何执行特定任务的标准和具体步骤

威胁狩猎的五种类型（不同的威胁狩猎安全从业人员，都有自己思考问题的方法或方式，研究人员也是如此。就我而言，但常见的狩猎类型有四种类型的狩猎：情报驱动、数据驱动、实体驱动、TTP、混合驱动）：

• 数据驱动：观察数据触发的狩猎
  • 依赖于可能指示恶意行为的内部数据。我们可以用于数据驱动搜索的数据类型是低优先级警报和检测以及聚合分析数据。这些数据并不能为我们提供“确凿证据”，也不意味着任何不好的事情正在发生，但它为我们提供了一个很好的起点，可以根据我们所看到的情况做出假设
• 情报驱动：由威胁情报触发的狩猎。在威胁狩猎类型中，情报驱动的狩猎被大量用于结构化狩猎。这种类型的狩猎围绕威胁情报源展开，通常涉及主动利用。猎人在收到此活动的警报后会制定他们的威胁假设，并计划他们的狩猎。情报驱动的狩猎不是建立在指标上的。相反，这些狩猎寻找攻击者及其使用工具的特定行为
  • 包括收集和分析来自各种来源的情报，以执行狩猎任务。Intel 可以包含文件名、哈希值、IP、活动、IOC、电子邮件地址、域等。使用收集到的情报，我们可以创建可以针对我们的数据源进行测试的假设
• 实体驱动：狩猎高风险/高价值的实体
  • 注：在计算机网络中，实体这一较为抽象的名词表示任何可能发送或接受信息的硬件或软件进程
• TTP：狩猎已知的TTP
  • 依赖于我们对可用数据集、客户端网络以及攻击者战术、技术和过程 (TTP) 的了解。了解攻击者的 TTP 让我们知道如何寻找恶意行为。使用像 MITRE ATT&CK 这样的框架，我们可以根据在野外发现的威胁参与者 TTP 创建假设
• 混合驱动：狩猎融合了所有不同的方法
  • 结合了两种或更多种类型的搜索，可以帮助我们创建范围更窄的假设。例如，如果数据显示端点上发生了某些事件，并且英特尔表明这些事件可能是攻击者正在进行的活动的一部分，那么我们可以创建一个假设，将数据驱动和情报驱动的搜索方法结合起来

另外，个人觉得应该还有一个应该能定义为目标驱动：

• 目标驱动：这是一种承认狩猎团队的时间和资源有限的类型。这种类型的狩猎优先级基于攻击者可能的目标
  • 通常包括身份验证系统、数据存储库和基于云的基础设施。这种类型的狩猎允许企业最有效地使用有限的资源

威胁狩猎的五种类型，又可以大致分为非结构化和结构化：

• 非结构化：
  • 数据驱动
• 结构化：
  • 情报驱动
  • 实体驱动
  • TTP
  • 混合驱动

任何类型的狩猎的阶段通常是相同的：

首先，我们通过确定我们将要进行的狩猎类型来计划。在此阶段，我们提出假设并确定我们需要哪些数据源才能取得成功

然后，我们进入执行阶段，我们分析来自适当来源的数据并对其进行优化。在此过程中不断评估和完善数据非常重要

最后，我们有报告阶段，这可能是三个阶段中最重要的阶段。根据返回的结果，此阶段看起来会有所不同。如果我们确定某些东西是恶意的，我们会在这里将其报告给适当的渠道并启动事件响应。无论我们的搜索是否返回任何结果，重要的是确定吸取的教训并可能共享有价值的信息或创建可以更好地保护我们网络的检测

1.2.2 非结构化与结构化威胁狩猎

结构化威胁狩猎与更流行的非结构化（被称为临时或数据驱动的狩猎）威胁狩猎方法形成对比

非结构化威胁狩猎往往是自由流动的临时事务，主要由内部日志源的数据驱动。猎人随机地挖掘日志，并利用简单的数据处理技术（例如，使用数据仪表盘或安全分析师的其他方法进行搜索），并且通常主要依赖于调查方法（例如，最少见原则，以挑选出数据中的异常情况）

这些狩猎是完全有效的，但由于它们本质上是临时的，因此它们非常单一和机会主义，主要依靠猎人的运气来来识别恶意活动。就其本质而言，非结构化威胁狩猎无法始终如一地取得成果，而且也很少能发现潜伏在环境中的高级威胁。虽然非结构化威胁狩猎，仍然比传统的保护机制更主动（如依赖反病毒等响应式技术），但该类别倾向于培养企业采用的一些最不主动的威胁狩猎技术

与此同时，在硬币的另一面，结构化威胁狩猎是对攻击者使用的战术进行更正式的搜索，特别是通过查看他们使用的特定技术和行为模式。它们之所以被称为结构化威胁狩猎，是因为每个威胁狩猎都是围绕关于特定攻击者及其相关战术、技术和过程 (TTP) 的中心假设而构建的。该定律通常采用可验证的正式声明的形式，由企业的外部威胁情报来源驱动

1.3 威胁狩猎的三大基础

• 日志：日志提供了企业中发生的事件的记录。在其中，我们可以找到企业中攻击者执行了哪些操作的记录
• 数据包：数据包是流经网络的数据。在这些数据中，我们可以找到在某一特定时间点在网络中通信的内容以及通信方式的记录
• Process：为我们提供了攻击者对企业造成的影响的准确记录

1.3.1 为什么数据对威胁狩猎至关重要

在不断变化和发展的威胁环境中，如何检测未知因素，并降低持续不断出现的漏洞风险呢？无数企业声称可以通过利用机器学习或人工智能等新技术来解决这个由来已久的难题。然而，近年来，一种被称为 “威胁狩猎” 的解决方案被证明是特别有效的

1.3.2 为什么需要数据？

许多企业没有过多可用的资源来组建威胁狩猎团队，甚至无法在他们想要的水平中有效地执行威胁狩猎。正因为如此，他们在很大程度上依赖内置于其 SIEM 或其他工具解决方案中的通用数据，这些数据通常容易出现误报，而且缺乏上下文或丰富的信息，无法协助调查过程（它仅提供一个简单的警报名称，并期望安全分析师能够破译专有的命名模式）

虽然，许多组织渴望实现高级威胁狩猎，但他们通常仍然依赖基于响应式安全工具的警报，这些工具专门用于根据不成熟或通用的规则/签名或内容来寻找最明显的威胁。他们没有时间或能力来生成高级内容来，以主动更深入地了解在其环境中生成的数据，这使得最危险的威胁仍然活跃在他们的系统中。通常情况下，你的企业面临的最大威胁不是先进的民族国家，而是由于没有适当的检测措施，或没有使你的安全分析师能够有效地响应上下文，导致未被发现而在整个网络中猖獗的低级特木马病毒

1.4 威胁狩猎的分类

1.4.1 被动威胁狩猎

被动威胁狩猎，是在使用非结构化提要，对其进行规范化之前分析日志/数据包的过程。威胁猎手需要从一个非常强大的威胁假设开始，然后使用该假设从提要中提取特定的入侵指标 (IOC)。然后，使用来自其他威胁情报源的数据进一步验证 IOC，以确认提取的 IOC 的准确性

威胁猎手需要了解被动威胁狩猎的工作原理，因为：

• 威胁猎手，可能也没有可用工具来使用主动狩猎的方式来追捕特定的威胁，因此被动狩猎可能是更好的选择
• 如果威胁猎手的威胁假设非常强大，那么有时他们可以使用被动狩猎的方式很快找到威胁。这就减少了将数据上传到主动狩猎平台，并对数据进行规范化处理所需的时间

1.4.1.1 被动威胁狩猎的局限性

然而，由于被动威胁狩猎的局限性，威胁猎手并不总是能够到达组织的每个角落：

• 需要更多的努力才能找到 IOC
• 一次性对多个日志源，进行分析是非常困难的
• 关于威胁的假设，必须始终非常强大
• 你检测过程的能力，或攻击者对企业造成的影响的确切记录，是有限的

1.4.2 主动威胁狩猎

1）主动威胁狩猎始于行为，而非 IOC

关于真正的主动威胁狩猎，必须做出的最重要的区别是，它不依赖于简单的入侵指标 (IOC)。真正的威胁狩猎，根据其定义，寻找未知威胁，而 IOC 代表先前已知攻击的指标。相反，威胁狩猎在环境中寻找特定的攻击者行为，以检测传统安全防御措施中未检测到的威胁

这些行为，可能包括攻击者对系统采取的行动（如利用漏洞、绕过 UAC、禁止系统备份或恢复、修改特定注册表项或数百种其他可疑和恶意行为）如果你不检测行为，就不是真正的威胁狩猎

这并不是说 IOC 在 SecOps 领域没有一席之地，但在传统的安全分析中这个位置是稳固的

2）主动威胁狩猎，不是一项技术

当今市场上有许多技术声称，它们可以进行威胁狩猎。我并不反对他们的观点，但确实觉得有点像宣传羽毛球拍能促进职业羽毛球运动一样。这是真的，但似乎也忽略了一些非常关键的因素（如，我无法接住羽毛球… …）

威胁狩猎也是如此。启用数据可视化或其他有用活动的技术，当然是可以帮助猎人或节省他们的时间，但它不能为他们完成这项工作。威胁狩猎是一个分析流程，从本质上讲，它必须由熟练的安全分析师、狩猎人员和狩猎团队来执行。它无法被人工智能、机器学习等所取代

3）不需要威胁狩猎平台… …

与之前的标准一样，企业不需要专门的威胁狩猎平台来进行真正的主动威胁狩猎。这似乎有点矛盾，但事实上是，一些最有效的威胁猎手利用 SIEM 和大数据平台以及强大的查询语言来进行搜索，以检测上述行为。虽然平台可以帮助整个流程，但它们并不是成功的必要条件

4）… …但是日志绝对是… …

反过来说，如果企业没有记录正确的数据，则任何技术或平台都无法成功追踪威胁。然而，并非所有日志记录都是一样的，“合规性” 日志记录通常与真正主动威胁狩猎的日志记录有很大不同

5）… …内容也是如此！

然而，日志仅构成主动威胁狩猎流程的一半。对于有利于主动威胁狩猎的日志，企业需要内容（或在 SIEM 或数据湖中运行，以检测这些可疑行为的查询）。此内容需要反映攻击者和进攻团队所使用的 TTP，但它也必须包含他们可能（但目前没有）使用的技术。如果没有这些内容，SIEM、数据湖和 EDR、XDR、NDR 工具，就只是另一种在机架上占用空间的设备

6）威胁狩猎应该是可重复的，因为它必须重复

几乎每个威胁狩猎的定义，都会在其中某处使用术语 “可重复” 一词。这是因为威胁狩猎的价值，并不在于一次狩猎。它是在一个环境中不断重复的成功狩猎。然而，这一点有时会在 SOC 的持续防御措施混乱中丢失，以支持检测新的和具有新闻价值的漏洞利用、攻击者和活动。重要的是，不要忽视这样一个事实，即应该定期进行狩猎，无论是每周一次、每月一次，还是每季度一次

主动威胁狩猎，是在数据标准化 (规范化) 后分析日志、数据包和进程的流程（即，将所有非结构化数据转换为结构化格式，然后使数据可用于分析）

在主动威胁狩猎中，很容易将不同的日志源集与所涉及的IP地址、用户或机器相关联，以确定威胁对组织的影响

主动威胁狩猎，使威胁猎手能够狩猎不同的复杂攻击场景，如：

• DNS 侦察
• 网络钓鱼
• APT
• 横向运动
• 浏览器受损
• 低速和慢速攻击
• 复合威胁检测
• 拒绝服务
• 入侵检测
• 数据侦听/数据聚合
• 重放攻击
• 水坑攻击
• … …

1.4.2.1 最喜欢的狩猎技术

在我们谈论威胁狩猎模式之前，我们需要了解狩猎技术。一项基本的技术，是首先聚合狩猎所需的所有资料。根据我们的输入来源，可以识别异常（即帐户正在执行以前从未见过的活动）情况。与此同时，威胁猎手将为每个帐户地址、资产甚至​​企业的特定部分创建一个基线。一旦这些信息可用，就可以对行为检测和广度范围（即攻击者能够渗透到多远）进行并行分析

• 聚合（Aggregations）
• 异常检测（Anomaly Detection）
• 基线（Baselining）
• 本地资产的行为偏差（Behavioral Deviations for Local Assets）
• 行为检测（Behavioral Detection）
• 广度范围界定（Breadth Scoping）

1.5 什么是威胁猎人？

通常很多人喜欢使用网络安全威胁分析师这个名字。通常情况下，他们是通过安全服务提供商或公司内部自己的安全运营中心（SOC）进行工作的，采用人工分析和软件辅助技术来检测网络内可能已存在的威胁事件，而这些威胁事件信息淹没在海量的事件之中

威胁狩猎是一种主动识别攻击痕迹的方法。有别于SOC、IDS、渗透测试和扫描，由威胁猎人利用威胁分析工具、威胁情报和实践经验来积极筛选、分析网络和端点数据，寻找可疑的异常或正在进行的攻击痕迹，去证明威胁假设

想要从中狩猎到威胁，这绝非易事，不仅需要网络安全方面的知识，还需要业务知识和企业运营的高技能专业人员。例如：检测网络异常行为可能是非常简单的，通过发现与该公司没有业务往来的国家/地区的流量增加来识别异常行为。但可惜的是，并非每次攻击都会使用这种方式

高级威胁可能是非常复杂的，和正常行为没有什么区别。例如：许多数据传输攻击技术都使用了加密或隐蔽通道（例如 DNS 隧道）在这种情况下，数据在 DNS 查询和响应中进行了编码，乍一看，它看起来与普通连接几乎相同。但是，经验丰富的猎人会迅速注意到异常，例如请求和响应的大小、每个 IP 地址、域内的DNS流量等

另外，威胁狩猎是一项对安全从业人员要求很高的工作，以便公司看到威胁狩猎的好处。这是因为猎手必须有经验、甚至大量的经验。他们需要广泛了解各种操作系统、攻击方法、事件响应的最佳实践，以及对如何实施威胁情报的理解等。可以说，威胁猎手需要丰富多样的经验，这可能使他们成为一个难以找到的品种

1.6 什么是事件响应？

事件响应是一个术语，用于描述一个组织处理数据泄露或网络攻击的过程，包括该组织试图管理攻击或泄露的后果（“事件”）的方式。最终，我们的目标是有效地管理事件，以便将损害限制在有限范围内，并将恢复时间和成本以及企业声誉等附带损害保持在最低限度

组织应该至少有一个明确的事件响应计划。该计划应定义什么是公司的事件，并提供一个明确的、有指导意义的计划，以便在事件发生时予以遵循。此外，最好明确负责管理整个事件响应计划和负责采取事件响应计划中指定的每项行动的团队、员工或领导者

1.6.1 谁来处理事件响应？

通常情况下，事件响应由组织的计算机事件响应团队（CIRT）进行，也称为网络事件响应团队。CIRT 通常由安全和一般IT人员，以及法律、人力资源和公共关系部门的成员组成。正如 Gartner 所描述的那样，CIRT 是一个 负责应对面临重大安全风险的企业中的安全漏洞、病毒和其他潜在灾难性事件做出反应的小组。除了能够处理特定威胁的技术专家外，它还应该包括能够在此类事件发生后，指导企业高管进行适当沟通的专家

1.6.2 有效事件响应的六个步骤

SANS 研究所，提供了有效事件响应的六个步骤：

• 准备：事件响应的最重要阶段是为不可避免的安全漏洞做准备。准备工作有助于企业，确定他们的 CIRT 在应对事件方面的能力，应该包括政策、响应计划/策略、沟通、文件、确定 CIRT 成员、访问控制、工具和培训
• 识别：识别是检测事件的过程，理想情况下是及时检测以便能够快速响应，从而降低成本和损失。在有效事件响应的这一步骤中，IT 人员从日志文件、监控工具、错误信息、入侵检测系统和防火墙中收集事件，以检测和确定事件及其范围
• 遏制：一旦检测或识别出事件，遏制它就是重中之重。遏制的主要目的是遏制损害，并防止进一步的损害发生（正如第二步所指出的，越早发现事件，就能越早遏制事件，以最大限度地减少损害）。值得注意的是，应该采取 SANS 在遏制阶段，所建议的所有步骤，特别是 “防止破坏任何以后可能需要起诉的证据”。这些步骤包括短期遏制、系统备份和长期遏制
• 根除：根除是有效事件响应的阶段，需要消除威胁并将受影响的系统恢复到以前的状态，最好同时将数据损失降到最低。确保到此为止，已经采取了适当的步骤，包括不仅删除恶意内容，而且确保受影响系统完全干净的措施，是与根除有关的主要行动
• 恢复：测试、监控和验证系统，同时将它们重新投入生产，以验证它们没有被再次感染或破坏，这是与事件响应这一步骤相关的主要任务。此阶段还包括根据恢复操作的时间和日期做出决策，测试和验证受感染的系统，监控异常行为，以及使用工具来测试、监控和验证系统行为
• 经验教训：经验教训是事件响应的一个关键阶段，因为它有助于教育和改善未来的事件响应工作。此步骤使组织有机会使用事件期间可能遗漏的信息更新其事件响应计划，并提供完整的文档以为未来的事件提供信息。经验教训报告对整个事件进行了清晰的回顾，并可在总结会议上使用，作为 CIRT 新成员的培训材料，或作为比较基准时使用

适当的准备和计划是有效事件响应的关键。如果没有明确的计划和行动方案，在发生漏洞或攻击后再协调有效的应对措施往往为时已晚。花时间创建一个全面的事件响应计划，可以为你的公司节省大量的时间和金钱，使你能够在不可避免的漏洞发生时，及时恢复对系统和数据的控制

1.7 了解网络威胁和威胁生命周期

威胁狩猎正在成为当今安全团队的一个重要关注领域，但许多人对这种做法感到陌生，不知道从哪里开始

威胁狩猎的需求量很大，因为许多企业安全团队希望利用他们的专业知识、安全分析技能和对数据活动的可见性，来主动发现能够绕过反病毒或防火墙等传统安全技术检测的高级威胁，因此对威胁狩猎的需求很高。但是，你从哪里开始呢？

1.7.1 了解网络威胁

开始狩猎威胁需要你对当今网络威胁的性质有深刻的理解。简而言之，要成为一个威胁，必须具备三个因素：意图、能力、机会（intent、capability、opportunity）

虽然你可能会争辩说，随着时间的推移，意图因素保持相对稳定，但有很多证据表明。近年来，威胁行为者的能力和他们使用这些能力的机会已经急剧增加。敌人比以往任何时候都更加熟练和持久，不断寻找新的攻击方法，以保持领先于防御。更重要的是，像BYOD、云文件共享和远程/移动工作团队等这样的趋势，意味着威胁者的机会比以前更多

1.7.2 网络威胁的生命周期

成功的威胁狩猎，还需要了解网络威胁的典型生命周期。该生命周期最多可能包括 8 个阶段：

• 初始访问：识别和利用漏洞来渗透防御系统
• 后门安装：在目标系统上安装恶意软件
• 命令和控制：在恶意软件和攻击者之间建立通信
• 执行：恶意软件的有效载荷被执行
• 持久化：在某些攻击中，恶意软件/威胁行为者将留在被攻击的系统上，为未来的攻击保持一个立足点
• 权限提升：一些攻击要求威胁行为者获得更高层次的用户权限，以获得对系统的控制
• 横向移动：威胁行为者或恶意软件，将从一个系统移动到另一个系统
• 数据窃取：最终将数据移至攻击者控制的外部位置

1.8 威胁狩猎与事件响应的区别

威胁搜寻与事件响应之间的区别：

• 事件响应是被动的，从潜在事件的 SIEM 告警开始
• 威胁狩猎是主动的，从基于多个指标制定假设开始，然后狩猎该假设中确定的指标

1.9 威胁狩猎与检测的区别

我们需要非常清楚，威胁狩猎不仅仅是通过日志搜索一个名称。威胁狩猎不同于：

• 事件分类
• 事故调查
• 事件响应

检测和狩猎之间的区别如下：

检测试图在行为中近乎实时地捕获攻击。狩猎是事后的，并试图根据活动的回顾性视图来发现攻击

正如我们在最近的事件中一次又一次看到的那样，IOC 可能只有在威胁行为者主动活跃起来之后才会为人所知。在那种情况下，搜索 IOC 也可以归类为狩猎

但狩猎主要是针对现有安全控制措施未能检测到的威胁，因此更常见的威胁狩猎是寻找可疑活动的搜索

让我们考虑一个比喻。如果你只看到一块石头扔进池塘里激起的涟漪，你将无法推断出什么。但是，评估从池塘边缘的几个不同点产生的涟漪的时间和强度，你将能够重建石头是什么时候和从哪里扔出来的，甚至能够确定它有多大。网络攻击的影响也是类似的，即使是狡猾的攻击者也会留下一些痕迹，使我们能够对他们的活动进行三角定位

1.10 威胁狩猎和威胁情报的区别

威胁狩猎和威胁情报的区别：

• 威胁情报是关于企图入侵或成功侵入的数据集，通常由具有机器学习和人工智能的自动化安全系统收集和分析
• 威胁狩猎则是利用这些情报在系统范围内地毯式搜索居心不良的攻击者。换句话说，威胁狩猎的地点是威胁情报的终点。更重要的是，成功的威胁狩猎可以识别出那些仍逍遥法外的威胁

另外，威胁狩猎使用威胁指标作为狩猎的线索或假设。威胁指标是恶意软件或攻击者留下的虚拟指纹、陌生的 IP 地址、网络钓鱼电子邮件或其他异常的网络流量

1.11 威胁狩猎的好处

现在，我们对什么是威胁狩猎以及什么是威胁猎人有了一个初步的认识，接着让我们深入探讨为什么你应该关心威胁狩猎，以及威胁猎杀提供了哪些好处和为什么你需要今天便开始建立或完善你的威胁狩猎计划

我们不需要为了表达威胁狩猎对企业来说是无价的这一观点，而大肆宣传威胁狩猎的好处。事实上，在我看来，这种类型的广告往往会起到完全相反的作用。然而，这并不是说威胁狩猎对企业没有价值。事实上，它恰恰相反。现在，更多的企业需要将他们的精力集中在威胁狩猎上，以认识到威胁狩猎可以为你的企业带来的好处。下面列出了其中的一些好处，如下

1.11.1 威胁狩猎的好处 1：你可能已经受到入侵

现在，我们要清楚，这并不是要制造焦虑。我并不是说你的企业已经被一个某个国家的攻击者入侵了，和你所有的企业机密现在都在一些阴暗的政F手中。我也不是说你会成为某个备受瞩目的勒索软件团伙的受害者之一

我要说的是，根据我过去的经验。我可以说，如果你的企业与 Internet 相连，那么就很有可能已经被某个攻击者入侵了

你被入侵的事实，本身意味着如下两件事：

• 攻击者能够绕过你的安全防御措施。这可能是一个简单的反病毒软件，或者是价值数百万人民币的 EDR 和 XDR 工具
• 如果该攻击者能够进入，则其他人也就理所当然也可以进入了

这就是我们可以看到威胁狩猎的最大好处之一的地方。威胁狩猎的工作原理是假设你已经被入侵了。这意味着你只是相信你的安全工具在工作，你也在验证它

威胁狩猎也不会把时间浪费在那些可能已经过时的，且无关紧要的入侵指标上。相反，它寻找攻击者或恶意程序表现出的常见行为，这些行为在实现目标时更难隐藏。这意味着威胁猎手能够更可靠地识别恶意活动，而不是依靠一个容易改变的 IP 地址或域名

也许最重要的是，通过拥有一个狩猎这些威胁的团队，你的企业也能够确定它们来自哪里，以及它们是如何进入的。这意味着你的企业，可以开始主动识别和弥补安全方面的漏洞，确保没有其他攻击者，可以效仿它们的做法（跟随它们的脚步）

1.11.2 威胁狩猎的好处 2：威胁狩猎可改善你的 SOC

当狩猎团队发现一个绕过你现有安全防御措施的新威胁时，狩猎并没有结束。相反，在这个时候，猎手们会去了解这个威胁。正是在这一点上，我们看到了威胁狩猎的另一个主要好处

如果，这是你的狩猎团队发现的攻击者，这可能是检查他们的所有行为。如果，它是恶意软件，则它可能了解恶意软件的全部功能。如果，它是一个漏洞，则它可能涉及检查哪些安全防御措施记录了该活动

有了这些信息，下一步就是与业务团队合作，建立可以部署在工具中的检测内容，以便一旦攻击者、恶意软件或漏洞再次在你的环境中运行，你的 SOC 安全团队可以立即作出事件响应。这意味着，当你的猎手在你的环境中狩猎他们的猎物时，你不仅仅是发现和消除了威胁，而是确保你的 SOC 能够在未来更好地应对这种威胁

1.11.3 威胁狩猎的好处 3：威胁猎手开辟了一条很少有人涉足的道路

这些知识不仅对猎人有价值，而且对 DFIR 从业者、SOC 团队和整个公司也有价值。现在，我不断听到的对这种好处的挑战之一是人们说他们已经有了某种形式的库存系统，并且他们已经了解了他们的环境。我对此的简单回应一直是回顾你去年发生的事件数量。有多少涉及旧的或过时的系统？

威胁猎手，很像真正的猎人，不能在沙发上完成他们的工作。威胁猎手经常会发现自己置身于你所在环境的数字荒野中，开辟了一条之前很少有人（如果有的话）涉足的道路。这是威胁狩猎的另一个主要好处，因为在做他们的工作时，你的威胁猎手将了解你的环境，甚至可能比那些负责实际了解环境的人还要了解

这种知识不仅对猎手有价值，而且对 DFIR 从业者、SOC 团队和整个企业都有价值。现在，我不断听到对这一好处的挑战之一是人们说他们已经有某种形式的库存系统，而且他们已经了解了他们的环境。我对此的简单回应一直是回顾一下你在去年发生的事件数量。有多少是涉及老旧或过时的系统？

正是如此。多数的事件通常涉及一个暴露在互联网上的系统，而有人忽视了打补丁或停用该系统。如果库存系统像某些人所说的那样运作良好，这些系统就会在入侵前被发现（或至少被保护），而不是在入侵时或入侵后被发现。威胁猎手在活动过程中可以主动发现这些废弃的系统

1.12 为什么威胁狩猎应成为标准要求？

虽然，如果不把威胁狩猎作为标准做法来执行，企业可能会面临许多危险，但其中一个主要的危险是，攻击者可以偷偷摸摸地进入并潜伏在网络中数周或数月，而不被发现

问题是，由于告警阈值的原因，像防病毒软件这样的自动化网络安全措施，并不总是能捕捉到复杂的威胁。安全系统不会报告每一个可疑的行动，因为如果他们这样做，管理员将会被错误的警报所淹没，而实际的威胁却没有被发现。网络犯罪分子利用了这一缺陷，一旦进入内部，他们就会躲避起来并进行内网横向，以避免撞到任何防病毒软件

这使他们最终能够掌握拥有更多权限和访问更多关键信息的用户账户，这可能导致重大的数据泄露（例如：不仅使公司损失数百万美元，而且也使其声誉受损）

攻击者能够长期不被注意的另一个原因是，威胁可以作为合法行为出现。如果内部人员参与攻击或用户的登录凭据被盗，则可能使数据盗窃看起来像普通行为。用户行为的异常模式肯定会引起怀疑，但如果入侵者避免过于贪婪，他们在系统中的行为可能不足以触发告警

值得一提的是，安全基础设施的某些区域可能会被忽视，并成为吸引攻击者的入口点。可能有一些老旧的设备，员工认为不再重要，但仍在运行，并提供对有价值信息的轻松访问

最后，我们不要忘记，攻击者正在不断研究新的战术来躲避检测。极有可能的是，下一次大规模攻击时将使用当前自动防御系统不熟悉的技术进行攻击。尽管如此，如果你还没有为你的企业创建一个高质量的威胁狩猎计划，那么很有可能在攻击者不断迭代攻击技术后抵挡不住攻击者的入侵

1.13.1 如何开展威胁狩猎？

随着攻击变得越来越复杂和更具破坏性，仅仅依靠自动威胁检测系统，并不是一个明智的决定。由于网络犯罪分子往往能够偷偷摸摸地渗透到网络中，并在基础设施中潜伏数月之久，因此定期的威胁狩猎，对于在攻击实施之前发现入侵者是非常重要的

将威胁狩猎作为一种标准做法需要时间、资源和专业知识，但这是确保没有威胁被忽视的唯一途径

要开展威胁狩猎，一个企业必须首先拥有一个从其安全系统收集的数据池，因为它为威胁狩猎人员提供了宝贵的信息。然而，在检查数据时，重要的是要保持开放的心态，避免威胁狩猎偏见和不良的分析习惯，这可能导致某些威胁被忽视

另一个需要注意的是，当考虑到企业的背景，并根据该规模和行业的公司，可能遇到的威胁制定假设时，威胁狩猎是最成功的

如果威胁猎手已经来自企业的 IT 部门，那就特别有帮助，因为他们熟悉环境和公司的运营。然而，企业聘请外部安全专家或整个安全团队为他们完全负责威胁狩猎工作也是很常见的

在狩猎威胁时，安全分析师如果拥有网络安全以外的各种技能是很有帮助的。网络和端点取证、应用程序和业务运营方面的知识可以帮助分析师像攻击者一样思考
例如，在寻找 DNS 隧道或持久性恶意软件等高级威胁时，分析师通常会寻找 Windows 注册表的异常添加或大小异常的 DNS 查询

在寻找威胁时，分析员拥有网络安全以外的各种技能是很有帮助的。网络和端点取证、应用程序和业务运营方面的知识可以帮助分析师像攻击者一样思考。

例如，在狩猎像DNS隧道或持久性恶意软件这样的高级威胁时，分析人员通常会寻找Windows注册表的异常添加或规模异常的DNS查询。

最后，我们不要忘记，攻击者正在不断研究新的战术来躲避检测。极有可能的是，下一次大规模攻击时将使用当前自动防御系统不熟悉的技术进行攻击。尽管如此，如果你还没有为你的企业创建一个高质量的威胁狩猎计划，那么很有可能在攻击者不断迭代攻击技术后抵挡不住攻击者的入侵

1.14 威胁狩猎的五个阶段

1.14.1 第一阶段：狩猎已知猎物

狩猎你所知道的攻击者是很容易的，或者至少是比较容易的。已知的攻击者之所以广为人知，是因为他们已经以多种方式暴露了自己：

• 它们与为检测它们而开发的指标或签名相匹配
• 你的杀毒软件供应商知道，并已经列出了它们
• 也许你在一篇博客文章或新闻文章中读到过该漏洞
• 一些已知的攻击是相当业余的，容易检测到的，或者是不太隐蔽的
• 最好的情况是，你的一级安全分析师已经发现了攻击者

对任何这些迹象保持警惕，你将能够很好地识别针对你的系统的已知攻击者

1.14.2 第二阶段：观察未知的猎物

狩猎未知的东西需要耐心、毅力和更多的努力。这是因为未知的威胁往往更复杂、隐藏得更深，且更难检测。然而，这些恶意攻击者会在你的网络中留下他们行动的迹象。他们会试图模仿授权用户的正常行为，以保持在安全设备检测之下，偷偷存活

如果你时刻保持警惕，最终他们会暴露出自己是个异常者，主要是通过采取行动，来暴露出他们精确的目标定位和 IT 知识

• 利用新技术实现持久化
• 通过加密通道工作
• 创建命令和控制基础设施
• 编译他们自己的工具集（如恶意软件或二进制文件）
• 追求基线活动数据之外的授权行动

1.14.2.1 专业提示：注意日志信息

在你的日志里有大量的信息！你会惊讶于仅仅通过关联信息就能揭示的内容。通过在你的环境中设定特定活动的基线，并注意它发生的频率，你将开始看到值得仔细检查的事情突然出现。可疑行为的模式将在 30 天，甚至几周的时间内出现。任何超过基线的行为，都值得发出警报，并进行调查。在许多情况下，这些早期看似正常的活动是侦查或初始设置步骤，表明即将发生的攻击。下面是一些从事件源中检查的例子：

• 代理日志
  • 正在向 22 号端口发送的流量
  • 具有相同字节输入和字节输出模式的网络连接
  • 动态 DNS 访问
  • 唯一的用户代理字符串
  • URL 中的 Base64 编码字符串
  • 正在下载的可执行文件
• Windows日志
  • 显示登录尝试（4648/552）
  • 用户被添加到特权组（4728、4732、4756）
  • 通过多个账户登录失败的尝试
  • 日志清除行为（104、1102）
  • EMET 崩溃日志（1、2）
  • 应用程序崩溃和挂起（1000、1002）
  • Windows Defender 错误
• 防病毒日志
  • 密码转储程序
  • 检测到特定后门（PlugX、9002、Derusbi、Nettraveler、Winnti、Pirpi）
  • 名称中含有 “dropper” 的检测结果
  • 自定义检测创建

了解你已经拥有的所有渗透工具，并理解它们所产生的数据和报告的类型。这种认识水平，将使你能够开始利用它们的输出，来主动开始狩猎威胁

1.14.3 第三阶段：威胁的猎犬

每个猎人都需要一只可靠、可信赖的猎犬。猎犬是经过严格训练的，专门为手头的工作而饲养的。一只好的猎犬的特点（以及它们如何应用于威胁狩猎）是：

• 感官意识：猎犬的五种感官高度协调，并且始终了解到周围环境。网络威胁猎手，需要同样保持警惕，以便更好地捕捉到我们攻击者的 “气味” 或行动。要定期，甚至每天主动寻找特定类型的威胁
• 反应迅速：与其他狗相比，猎犬对情况的反应时间更短。作为 “现场” 的威胁猎手，我们需要不断改进我们的事件调查和响应流程，以实现最高效率
• 本能：猎犬是为了提高特定的本能而饲养的，如指路和寻物游戏。你的整个安全团队需要开发新的狩猎战术，在后勤方面表现出色，并将证明最有效的东西付诸实施
• 沟通：猎犬非常善于用摇摆或呜咽的方式与它们的主人交流。作为一个安全团队，要持续开会，分享最新的威胁情报或你环境中的可疑迹象。这将有助于推动你的威胁狩猎任务向前发展
• 智力：一只优秀的猎犬的标志之一是其卓越的智力。优秀的威胁猎手具有创新精神、分析能力，能够从数据中推测出意图和洞察力

作为企业的安全猎犬，你需要比任何人都更了解你的环境，并协调你的团队，随着时间的推移更好地狩猎和对抗攻击者

1.14.4 第四阶段：准备，瞄准

所以你发现了一些东西！你已经在你的环境中发现了恶意软件或恶意的东西。你的目标已经被赶出了它的藏身之处，并且正在逃亡中！现在你要做什么？接下来是什么，以及顺序是什么……

• 尽可能多地收集有关发生的事情、地点和时间的信息
• 聘请取证专家。取证揭示了攻击者在盒子上或软件内部时发生的事情的“方式”，有时甚至是“原因”。它讲述了已被破坏的内容，并绘制了每个系统，以进行补救
• 参与并执行你的事件响应计划！这就是为什么你有一个计划
• 消灭攻击者。首先遏制威胁，然后同时关闭所有受影响的机器，这样你的攻击者就没有机会再卷土重来。擦除和清洁一切

1.14.5 第五阶段：为下一个威胁做准备

在威胁过后，你解决了该事件。这里有一些你应该做的事情的建议，以准备好面对下一个威胁：

• 作为一个安全团队应回顾该事件，并从攻击者的行为中学习
• 记录攻击者的战术、技术和过程
• 建立一个对手的档案，包括行动区域、动机、意图和能力
• 更新威胁情报，纳入与攻击者活动相关的所有威胁指标（文件名、文件路径、IP 地址、域名、使用的命令与控制基础设施等）
• 将所有这些信息存储在一个中央数据库中
• 通过应用最新的威胁情报，来扰乱攻击者在你的环境中的未来行动

1.14.5.1 专业提示：攻击者是习惯的生物

在我上一份工作中，我们掌握了针对我们的所有不同对手的资料。因此，如果入侵成功，我们可以判断是这个团队，还是那个团队。某个特定的团队要做的第一件事是运行以下命令 “ping -n 3 8.8.8.8”。他们所做的基本上是通过 ping 谷歌的 DNS 服务器来检查互联网连接。一旦，我们收到运行该命令的警报，我就知道正在发生攻击！这是特定攻击者每次都会利用的一种技术或战术，因此这对我们来说是一个巨大的指标，表明他们已经进入。即使，他们的所有恶意软件和工具都被遗漏了，这一条信息也是我们能够检测到的，从而开始我们的调查和响应

1.15 威胁猎人需要哪些工具？

寻找网络威胁并非易事，即便是有经验的猎人，若没有趁手的威胁分析工具的话，也很可能失败。另外，狩猎者可以使用来自 MDR、SIEM 和安全分析工具的数据作为狩猎的基础，或使用打包分析器等其他工具来执行基于网络的狩猎。但是，使用 SIEM 和 MDR 工具需要集成环境中的所有必要资源和工具。这种集成确保 IoA 和 IoC 线索足以提供相应的狩猎方向

• 托管检测和响应 (MDR)
  • MDR 应用威胁情报和主动威胁狩猎来识别和修复高级威胁。 这种类型的安全解决方案有助于减少攻击的停留时间，并对网络内的攻击做出快速果断的响应
• 安全信息与事件管理（SIEM)
  • 通过结合使用安全信息管理 (SIM) 和安全事件管理 (SEM)，安全信息和事件管理 (SIEM) 可实时监控和分析事件，以及跟踪和记录安全数据。 SIEM 可以揭示用户行为异常和其他违规行为，为更深入的调查提供重要线索
• 安全分析
  • 安全分析力求超越基本的 SIEM 系统，更深入地洞察安全数据。通过将安全技术收集的大数据与更快、更复杂、更一体化的机器学习和人工智能相结合，安全分析师可以为网络威胁狩猎提供详细的可观察性数据，加快威胁调查进程

威胁狩猎需要的一些基本需求包括：

• 数据：猎人将需要访问网络上任何设备的有意义的日志：这包括服务器，网络设备（即防火墙，交换机，路由器），数据库和终端设备。听起来像很多数据，是因为有一点是非常重要，即拥有一个集中的位置来收集数据并进行分析，包括我们刚刚提到的几个不同数据点中的关键步骤，例如数据收集，关联和规范化。在这种情况下，一个好的 SIEM 解决方案会是猎人的最好朋友
• 基线：如果猎人希望检测到异常，则具有网络流量行为的基线可能具有巨大的价值。从广义上讲，基线将定义预期和授权的事件，从而更容易发现异常并进行调查
• 威胁情报：网络犯罪分子相互合作，共享信息，代码和恶意工具并不罕见。随着使用类似技术的攻击越来越多，它增加了团体或公司在沦陷之前发现它的机会。威胁情报（也通常称为网络威胁情报）是通过多种来源获取有关对环境的威胁的可行知识的过程

注：具有新攻击情报的猎人，可能能够快速发现网络中的IOC（攻击指示）或IOA（攻击指示）并根据此信息采取行动

1.16 为什么要进行威胁狩猎？

既然，我们已经确定了什么是威胁狩猎，那么让我们来谈谈为什么要这样做。以及为什么要为威胁狩猎等劳动密集型流程烦恼呢？仅仅检测还不够吗？

如果事先知道威胁的具体情况（通常被称为“已知信息”），例如基础设施中用于指挥和控制恶意软件的 IP 地址和域名，许多检测技术可以提供有效的覆盖范围。但是，攻击者经常更改这些，以逃避简单的检测。即使，使用更动态的方式来保持签名的最新，例如机器可读的威胁情报源，也只会减少它们领先的时间窗口，而我们无法检测到它们，但这并不会消除它。大多数，如 IDPS 和 WAF 也需要新的攻击流量来进行检测。如果攻击的技术细节在最初的利用发生后才被公开，这就会留下盲点

当入侵指标未公开时，传统检测技术尤其面临挑战，例如：

• 在被发现或公开披露之前，威胁已经活跃了一段时间
• 威胁具有高度的规避性。例如，攻击者通过滥用合法应用程序或凭证，或者通过攻击供应链的信任关系（例如数字软件签名）来远离勒索
• 该威胁具有独特的特征。例如，它是针对政府机构的有针对性的攻击，使用一次性指挥和控制基础设施，以及仅用于该目标的自定义恶意软件。

在上述情况下，你当然可以等到其他人发现攻击。但正如一些高调的威胁活动（如Sunburst）所表明的那样，这这可能是在最初的漏洞发生后的几年。不管攻击者最初的目的是什么，他们早就已经到了这个地步。如果你想避免这种情况，就需要主动中断杀戮链，为此，你必须主动寻找威胁

1.17 威胁猎人应该狩猎什么？

回溯到最开始我们所描述的 CEO 问题：“猎人正在寻找什么？”。实际上，威胁狩猎的有一个非常重要的起点，那就是确定优先级的情报需求（PIR）。从本质上讲，PIR是高级问题，一旦得到回答，它将为战略性网络安全响应提供要素。例如如下问题：

• PIR可能基于一组推测
• 威胁来自何处？
• 你准备狩猎什么？
• 网络威胁是否隐藏在噪音，每天处理的大量日志和警报中？
• 你会在哪里找到它？
• 对潜在威胁最诱人的重要公司资产/信息是什么，他们将如何设法获得它？
• 你将如何找到它？
• 你什么时候能找到它？
• 是否有多个低级警报连接到单个指示器？
• 新的威胁情报信息，是否与过去 30 或 60 天内的日志相匹配？
• 远程会话中是否存在异常（例如使用以前未见的命令？）？

上诉这些问题的答案，构成了猎人将要走的路。这是通过收集数据，并根据可用的任何信息/工具解释结果，发现异常，并采取必要措施，阻止活动威胁来实现的

1.17.1 狩猎威胁

狩猎威胁最重要的资产是你的组织的数据。来自设备、云基础设施、应用程序交付控制器、防火墙和应用程序服务器的数据都有助于指导你

为了将所有数据拉到一起进行分析和威胁狩猎，许多安全团队使用 SIEM

非结构化的数据可能难以搜索，因为它可能是不连贯的，没有关联的。通过下一代 SIEM 收集的结构化数据已相互关联，使威胁狩猎变得更加容易

随着组织的成熟，更多的数据源可以使用，并且更多的手动检测过程可以自动化。自动化可以帮助你节省安全运营中心的时间，所以安全分析师就可以开始更多的威胁狩猎或狩猎高级威胁

1.18 威胁狩猎新手需注意的关键事项

当创建威胁狩猎计划时，组织机构应牢记三件事：

• 需求是什么？
  • 威胁狩猎的基础是安全信息和事件管理（SIEM）解决方案，该解决方案在网络内适当聚合内部结构化数据。威胁情报信息允许组织机构对比外部威胁指示器（Indicator），并理解威胁格局
  • 此外，还要增加统计分析引擎和情报分析工具。分析师可通过统计分析根据数学模型发现异常，而不是规则引擎。情报分析工具可以使相关数据可视化，以便分析师围绕实体、联系和财产进行关联
• 需要哪些人才？
  • 威胁分析师是威胁狩猎从业人员。威胁分析师通常被称为“三级分析师”，他们具有信息安全、取证科学和情报分析相关的技能。因为具备这些技能，三级分析师能主动根据情报需求积极发现威胁，并直接展开调查
• 怎么做？
  • 执行威胁狩猎最重要的起点是建立优先情报需求（PIR）。PIR需求基本上都是领导层寻求的高层次问题

若存在隐藏的威胁，该思考的一些以下问题：

• 众多低级警报何时连接到同一指示器（Indicator）？
• 30天至90天之前，新威胁情报指示器（Indicator）在哪里与日志匹配？
• 通过以前从未见过的命令执行的远程访问会话在哪里？

威胁狩猎者通过上述的这些问题便可以了解重要情报，以解决高层次的问题，并破坏先前未知的复杂威胁

1.19 托管网络威胁狩猎？还是在公司内部？

企业可能面临的另一个非常普遍的问题，是在公司内部进行网络威胁狩猎，还是向许多托管检测和响应（MDR）或托管安全服务提供商（MSSP）寻求帮助。这个问题的答案是，这完全取决于企业自身

• 答：这是因为许多企业在开展网络威胁狩猎的过程中，会面临独特的挑战

企业在威胁狩猎时面临的最常见的挑战是人为的。成功的网络威胁狩猎需要从多年的经验和（通常非常昂贵的）培训中获得的高度专业化的知识。这意味着，根本没有多少威胁猎手可以四处走动，企业可能会努力填补职位的空缺。同样，由于需求大、供应少，威胁猎手的价格往往也不便宜。由于这两个原因，许多企业转向 MDR 或 MSSP，以实现主动威胁狩猎，并利用这些企业提供的广泛的、跨行业的、规模经济的优势

• 答：然而，同样有许多企业，也选择在公司内部进行网络威胁狩猎。通常情况下，这些企业开始雇用少量的资源来建立威胁狩猎能力。起初，这些资源可能是兼职的，并且通常会专注于数据驱动的狩猎。随着这个团队对环境有了更多的接触，并建立了他们的流程和计划，他们通常会进入更复杂的狩猎

1.19.1 托管安全服务何时有意义？

如果下面其中任何一项适用于你的组织，那么通过托管安全服务外包或增强你的威胁狩猎或事件响应团队可能是有意义的：

• 安全人才短缺：严重的安全人才短缺，尤其是网络安全专业人员短缺，使你无法找到，并留住建立威胁狩猎或事件响应团队（IR）所需的人才
• 人数的挑战：你的组织的政治气氛，使你难以获得建立一个有效的威胁狩猎或事件响应团队（IR）所需的 3-5 人的批准
• 关注复杂威胁的复杂性：现代恶意软件是复杂的，有针对性的，而且难以检测。根据 Verizon 最新的数据泄露调查报告，公司从被入侵到发现事件的平均时间超过了 200 天。随着攻击（或攻击者）变得越来越聪明，防止自己的敏感数据丢失变得越来越难

永远不要让一个事件被浪费掉！如果你的团队没有正确的资源或足够的资金，博主建议可以尝试利用每一个事件作为建立案例的机会。去找上级管理部门，并这样说：“刚刚发生的漏洞或事件是由于缺乏一个更强大的安全计划和分层控制造成的。为了更有效地检测/预防未来的攻击，我们需要A、B和C”

当我在上一份工作中刚开始做这种类型的工作时，我们的预算很有限。我所在的团队只有一个人：只有我。没有人可以依靠，所以我开始自己培养我们的能力。但是，一旦我们发生了一两起事件，我就能够开始为预算构建案例，并添加到我们的架构中。在这些最初的事件之后，我们实施了被动防御工具，然后通过人员、流程和技术制定了主动防御计划。最后，我们努力争取建立一个基于情报的数据驱动的防御计划，最终当我报告我们所阻止的漏洞数量时，高层人员理解了网络安全投资的价值

1.20 衡量狩猎的投资回报率

衡量投资回报率对于一个可能会产生，或也可能不会产生丰硕成果的过程来说，充满了歧义，而这正是困难所在。如果及早发现并减轻业务风险，企业通常会喜出望外，但可能很难衡量威胁狩猎计划的价值

威胁狩猎与其他风险缓解措施属于同一类别，例如保险或火灾检测和预防。当发生事件时，其价值是显而易见的，但当什么都没有发生时，或者在狩猎的情况下，在活动期间什么都没有发现时，就会得出浪费金钱的结论，这是一种误解。相反，衡量威胁狩猎的有效性，必须与关键性能指标紧密结合（如发现和响应的中位数和平均时间 (MTTD、MTTR) ）

0X02 人在网络安全中的重要性

随着网络威胁不断发展和变得更加复杂，企业越来越多地转向威胁狩猎，以主动识别和缓解潜在威胁。威胁狩猎包括主动狩猎企业的网络和系统上的恶意活动迹象，它可能是企业网络安全战略的重要组成部分

尽管自动化和人工智能 (AI) 在威胁狩猎中占有一席之地，但现实情况却是人类仍然是该过程的重要组成部分。以下是一些原因：

• 人类的直觉和专业知识：网络威胁不断变化，需要一定程度的人类直觉和专业知识才能理解攻击者的动机和策略。威胁猎手必须能够分析复杂的数据，并建立自动化系统可能无法立即发现的联系。这需要对网络安全原则有深刻的理解，以及批判性和创造性的思考能力
• 理解上下文：自动化系统可以提供大量的数据，但它们可能并不总是具有理解该数据重要性的上下文。另一方面，人类可以更深入地了解企业的网络和系统，以及它所在的行业。这对于确定威胁的潜在影响是至关重要的。例如，威胁猎手可能能够识别网络流量中可能预示潜在威胁的微小变化，而自动化系统可能不认为它是重要的
• 灵活性：自动化系统仅限于它们被编程执行的任务中。另一方面，人类具有适应和创造性地思考，来解决问题的能力。这在不可预测的网络安全世界中尤为重要，因为新的威胁随时可能出现。人类在处理威胁狩猎的方式上也可以更加灵活，因为他们有能力在必要时进行调整和改变方向
• 协作：网络安全是一项团队运动，人类威胁猎手可以与团队的其他成员合作，分享知识和见解。在处理可能需要一系列专业知识和观点的复杂威胁时，这可能特别有价值。协作还有助于确保涵盖所有角度，不遗漏任何潜在威胁

注：自动化和人工智能在威胁狩猎中占有一席之地，并且它们可以成为该过程中的宝贵工具。然而，它们应该被视为对人类威胁猎手的补充，而不是替代。自动化系统可用于收集和分析大量的数据，从而使人类安全分析师能够专注于更复杂的任务

总之，虽然自动化和人工智能在威胁狩猎中占有一席之地，但人类仍然是这一过程的重要组成部分。他们的直觉、专业知识、对上下文的理解、灵活性和协作能力，使他们成为对抗网络威胁的宝贵资产。企业应优先将人类威胁猎手纳入其网络安全战略，以确保他们拥有针对新出现的威胁时有最佳的防御措施

0X03 行为在威胁狩猎中的重要性

如果你曾经参与过 “观察他人” 这项古老的运动，你就会知道几乎每个人都有独特的行为。行为是人类或动物在生活中表现出来的生活态度及具体的生活方式，它是在一定的条件下，不同的个人、动物或群体，表现出来的基本特征，或对内外环境因素刺激所做出的能动反应（例如：安保人员（如警察、私人侦探），在寻找罪犯可能表现出的可疑行为）。所有这一切都表明，行为对很多人都很重要。这就是为什么在看待网络安全领域时，会让人感到非常沮丧

在网络安全领域，我们经常选择有意或无意地完全忽视行为。相反，威胁猎手应该专注于具体的细节（如入侵的指标），通常让行为更多的是作为一个已经确立的调查的确认证据，而不是作为一个调查本身的起点。博主认为这对各地不同的安全团队来说是一个错失的机会

3.1 现实世界中的安全行为

让我们把重点放在安全人员的例子上，以及他们在日常工作中使用的行为。如果这些安全人员的运作方式与许多网络安全项目的运作方式类似，他们就会有一份已知犯罪者的名单。这将包括无数其他公司使用的代号名单，他们也会有一份关于犯罪者的不同细节的名单，包括服装穿着、指纹、头发和眼睛的颜色、喜欢的汽车品牌、型号和牌照、电话号码、甚至他们父母的姓名。然后，他们将不得不审问他们遇到的每一个人，看他们是否符合这些细节。他们还会忽略任何未能匹配这些细节的人，即使他们正处于重罪之中

如果你不在名单上，那你就可以走了

如你所见，这种模式有两个主要缺陷。首先，它假设罪犯会诚实地回答，继续穿着他们犯罪时的衣服，并在其他方面保持不变，以便方便识别。第二是安保人员只寻找已经完全犯罪的人：也就是说，如果安保人员看到有人在商店里把衣服塞进袋子里，但他们没有看到这个人离开，那么他们会忽略他们。然而，尽管存在这些明显的缺点，但许多网络安全团队都是这样运作的

现在，博主我经常听到的反驳观点是，网络安全团队经常被数据压得喘不过气来，在门口充当安保人员，询问问题，只是为了提高效率。对此我说：这很公平。毕竟，谁没有见过安保人员在黑色星期五前后在商店门口闲逛呢？

然而，仅仅因为门口有安保人员，并不意味着你没有：

• 监视闭路电视摄像机的工作人员
• 卧底人员在店内四处游荡
• 让店员充当非正式线人
• … …

而上面类似这样的例子，不胜枚举，就不一一举例说明了。这些门口的安保人员是有作用的，但这是在更广泛的威胁检测战略之上的一个目的，旨在保护公司免受伤害

3.2 将行为纳入网络安全策略

将行为纳入威胁检测策略的第一步是认识到，虽然安全人员经常关注人类行为，但网络安全专业人员可能不应该，至少不应该完全关注。毕竟，有很多人类行为在通过系统日志解释时（特别是大规模），可能很难区分可疑行为和无害行为。例如：第 4个记录的事件 ID4625 是有人试图强行破解用户的密码，还是会计部的张三只是在周一有一个糟糕的情况？

市场部的李四是想从那个文件共享网站上下载一套字体，还是攻击者想利用它进行工具入侵？

如果不能拿起电话与张三或李四交谈，围绕他们的行为建立计划可能是困难的或不可能的。即使你能与用户交谈，这样的策略也无法超越一个小型的创业公司。然而，网络安全专家可以关注的是程序行为，系统上的应用程序和代码所表现出来的个别行为。这些行为可以在大规模上被识别和审问

3.3 安全行为的简单示例

我喜欢使用的这种安全类型的最常见的例子之一是恶意文档（‘maldoc’）网络钓鱼。在这种情况下，用户会收到一封网络钓鱼邮件，其中包含一个嵌入恶意代码或宏的文档。当用户打开邮件时，他们便会触发代码，这通常会利用命令提示符或 PowerShell 等东西来执行其它的操作

现在，传统的方法是收集 MD5 值、已知的不良 IP 地址和域名，甚至可能是恶意工具的文件名或文件路径的列表，并尝试将恶意文档（‘maldoc’）的某些元素与这些具体细节之一相匹配。更高级的方法，可能会尝试实现模糊逻辑，例如评估文件路径和名称的辅音与元音，以及它们出现的顺序。而且，可以高度肯定地对你说，例如：如果你看到一个MD5值的匹配，则你就有了一个真正的肯定。然而，随着攻击者发展甚至是基本的操作安全（OPSEC）实践，他们正在实施削弱这些检测策略的做法。例如，重新编译他们的工具以绕过MD5检测，使用反弹主机来限制对IP地址或主机名的检测，以及使用基于字典的随机化文件名和路径

然而，从行为的角度来看，我们反而可以从不同的角度来处理这个问题。在这里，我们可以识别在攻击中表现出来的 “行为”，即 Outlook.exe，生成Word或Excel，这反过来又生成可疑的子进程，如 cmd.exe、ps1.exe、rundll.exe或许多其他进程。通过寻找这种类型的行为，我们不再需要保留成百上千、数十万、甚至数百万的指标，这些指标可能永远不会被观察到，但仍然必须定期收集、分析、记录和检查。相反，我们将其削减为适用于我们企业的更有针对性和更易于管理的的指标列表，并将其与一系列的指示性行为分层，使我们能够识别可疑和恶意的活动，即使其他人还没有观察到它

0X04 威胁狩猎技巧

4.1 威胁狩猎技巧 1：了解你的环境中什么是正常情况，那么你将能够更容易地发现异常情况

太多的企业试图在不了解他们的环境的情况下，跳入威胁狩猎的深渊（这是一个追逐松鼠和兔子，而且收效甚微的方法）。 威胁狩猎最终是在一个环境中寻找未知因素的做法，因此，了解什么是 “正常业务” 与 “可疑”、甚至 “恶意” 相比是至关重要的

为了理解环境，请确保你能获得尽可能多的信息，包括网络图、以前的事件报告，以及能得到的任何其他文件，并确保你拥有网络和终端层面的日志，以支持你的狩猎

4.2 威胁狩猎技巧 2：当建立狩猎活动时，根据你的假设，从一般的情况开始，再到具体的情况。通过这样做，可以创建上下文，并了解你在环境中寻找的是什么

当建立狩猎活动时，根据你的假设，从一般的情况开始，再到具体的情况。通过这样做，可以创建上下文，并了解你在环境中寻找的是什么

当威胁猎手第一次在结构化的威胁狩猎中崭露头角时，他们中的许多人都在努力建立他们的第一个假设。许多人发现这个过程，具有挑战性的原因往往是他们试图有点过于具体了。与其直接跳到细节上，不如先尝试在你的假设中更多地体现出一般的情况。通过这样做，你将更好地塑造你的狩猎，并在此过程中增加额外的上下文信息

4.3 威胁狩猎技巧 3：有时，最好狩猎你了解和知道的事物然后进行可视化，而不是狩猎你专业知识之外的事物，并尝试进行可视化到你知道的事物上

有时，在你了解和知道的事情上狩猎，然后再进行可视化，与在你的专业知识之外的事情上狩猎，并试图可视化到你知道的事情上，效果更好。

新的猎手遇到的最常见的挑战之一是，很容易很快摆脱困境。并不是每个信息安全专业人员，都是所有领域的专家，在威胁狩猎方面也是如此

无论你，是刚开始，还是已经狩猎了一些时间，同样的建议是正确的：狩猎你理解的东西，然后通过可视化来挖掘这些数据。这可以确保你理解你正在查看的东西，并让你对数据进行理解，以及理解你是如何到达那里的

如果，试图在你不了解的数据上狩猎，你更有可能倾向于你了解的数据，并对其进行可视化，这可能或不可能真正导致有意义和有价值的狩猎

4.4 威胁狩猎技巧 4：并非所有假设都会成功，有时可能会失败。但是不要气馁，回去再测试一下

与威胁保护和威胁检测等事情不同，威胁狩猎远不是一件肯定的事情。事实上，威胁狩猎的本质意味着你正在寻找未知的事物。正因为如此，所以并不是你狩猎的每一个假设都会成功。事实上，大多数猎手都知道，虽然他们可能会花几个小时，去挖掘他们发现的兔子洞，但这个洞更有可能导致一个使用 PowerShell 的高级用户来节省一些时间，而不是一个想要加密你的域控制器的高级攻击者

不要让这些时刻，让你灰心丧气！记录你的发现，不要让它成为你的负担。记录你的发现，不要气馁，并继续狩猎。从长远来看，它将会得到回报

4.5 威胁狩猎技巧 5：了解你的工具集及其数据功能，与执行你的狩猎同样重要。如果你没有验证工具中是否存在预期的数据，则误报就会潜伏在每个角落

虽然，在 IT 领域几乎每个人都明白，每个工具和技术都是不同的，并且都有特定的局限性。但有时安全人员（尤其是威胁猎手），可能会认为这是理所当然的

关于 “了解你的技术”，最重要的概念之一是了解它的能力，以及它的局限性是什么。如果你在不了解的情况下贸然前进，很可能会产生误报的结果，给安全团队一种错误的安全感

在建立你的狩猎系统之前，必须测试和验证你的搜索查询，以确保它们返回你所期望的结果，这是至关重要的

0X05 威胁狩猎思路

猎杀威胁通常被称为半科学的实践。这是因为猎人会根据威胁假设部署狩猎、收集证据，并记录他们的发现的结果。就像在高中一样，科学课过程（和威胁狩猎）最困难的部分往往是提出一个想法来进行科学的测试。这就是为什么我们要列举一些猎取威胁的思路的原因

注：无论是刚开始学习威胁狩猎，还是经验丰富且身经百战的威胁猎手，下面累出的一些威胁狩猎的思考，都将助你一臂之力

5.1 威胁狩猎思路 1：寻找高价值漏洞的利用行为

最简单的威胁狩猎想法之一，是简单地寻找与主动利用高知名度或高价值漏洞相一致的行为。这是因为攻击者，通常会非常依赖他们知道如何熟练利用的特定漏洞

5.2 威胁狩猎思路 2：寻找伪装行为

狩猎团队可以关注的另一个速战速决的方法，便是寻找伪装行为。大多数情况下，攻击者和恶意软件会试图混入他们被攻击系统的后台活动中。这意味着他们可能试图，通过使用听起来合法的进程名称来伪装他们的进程

5.3 威胁狩猎思路 3：寻找可疑的在线服务使用情况

另一个高质量的威胁狩猎思路，可以是寻找与使用可疑或被禁止的在线服务相关的可疑活动。这些服务，通常被用来帮助攻击者使用他们的工具渗透到目标环境中，但它们也可以被用作数据泄露的方法

5.4 威胁狩猎思路 4：寻找可疑的注册表使用情况

开始狩猎的一个好地方是查看注册表。许多攻击者和恶意软件都使用注册表进行持久化，特别是 CurrentVersion 注册表项。如果，你正在寻找攻击者活动的证据，Windows 注册表是一个很好的开始

5.5 威胁狩猎思路 5：寻找可疑的行为

这听起来可能有点像同义词，但另一个开始狩猎的好方法，便是寻找可疑的行为（例如：过多的文件写入或文件修改，可能是系统上勒索软件活动的一个信号）。此外，也可以寻找具有非常不寻常的文件扩展名的文件

5.6 威胁狩猎思路 6：寻找涉及 LOLBINS 的可疑行为

如今，攻击者中最大的趋势之一是他们越来越多地使用所谓的 “living-off-the-land” 的二进制文件（或LOLBins）。这使得攻击者，可以通过使用本地 Windows 应用程序，在避免被各种安全平台发现的同时开展活动

0X06 威胁狩猎计划

在 Mandiant 的 M-Trends 2022 报告中发布了一个非常重要的统计数据。他们在报告中提到，攻击者在被发现前在系统中停留的中位数（“停留时间”），从 2020 年的 24天 下降到 2021 年的 21 天。从表面上看，该统计数据似乎令人鼓舞，特别是随着 EDR、NDR和 XDR等有助于可见性的工具的普及。但是，这也说明攻击者，以勒索软件攻击者为首，正变得越来越不关注隐蔽性，而是更加以目标为导向。以及也说明了，即使有了这些先进的工具，攻击者仍然能够绕过检测，而安全团队往往只能在残骸中进行筛选，以查明损害到底有多严重

这对 MSSP 和 MDR 供应商来说，尤其令人不安，因为他们通常被委托监控几十或几百个客户端。当 2021 年看到在野外使用的 0day 事件数量创历史新高时，你是否确信你的安全团队能够检测到攻击者的初始访问点？依靠被动的安全技术，来提醒你注意漏洞，通常会让安全团队晚一天，少一天。这就是威胁狩猎计划，可以使 MSSP 和 MDR 供应商更主动地狩猎其客户环境的地方，以识别已绕过安全防御措施，但尚未实现其恶意目标的威胁

注：另外，MSSP 和 MDR 供应商已经成为企业安全链中的一个关键环节。随之而来的是，这也让人们认识到，传统的被动安全已经不够了，而且迫切需要提供威胁狩猎等高级安全服务，以阻止攻击者的攻击

6.1 什么是威胁狩猎计划？

可以说，威胁狩猎是一个在网络安全领域被经常使用的术语。比如，… …很多。你会经常听到像 “主动” 和 “迭代 (反复)” 这样的词与它一起出现。不幸的是，这些定义中的许多内容在实际细节上都过于轻描淡写了

威胁狩猎是一种安全方法，而不是一种技术，它是由假设或数据驱动的，狩猎未知的威胁。稍后我们会讨论这些意味着什么，但重要的是威胁狩猎不是基于 IOC 的。威胁狩猎不会从 IOC 开始，但它们会产生 IOC。这是因为 IOC 代表已知的威胁，如果它们是已知的，你就不应该狩猎它们，而是应该阻止它们

数据驱动的威胁狩猎，始于猎手对日志文件的翻阅，通常会寻找异常值或异常现象。这种类型的猎杀，通常是企业首次接触威胁狩猎的地方，但它往往会让人不知所措，因为它感觉就像大海捞针。假设驱动的威胁狩猎更有针对性，它从一个广泛的问题开始，通过一系列的细化，缩小到一个具体的假设，通常围绕一个特定的行为（通常称为TTP）。然后，狩猎团队将在环境中寻找这种特定的行为，以检查企业是否受到了影响

现在，威胁狩猎定义的另一个关键因素是，它不是基于工具的：威胁狩猎是基于人和流程的。仅仅因为企业，拥有威胁狩猎平台，但并不意味着他们正在狩猎。而且，如果你有足够的人员和流程，你几乎可以使用所有的安全工具进行狩猎。尽管如此，大多数企业在建立威胁狩猎计划的早期阶段都很困难。为了帮助解决这个问题，在下面的内容中，列出了一些最佳实践，每个 MSSP、MDR 供应商，在建立威胁狩猎计划时，应牢记这五个最佳实践

6.2 威胁狩猎计划 1：在威胁狩猎中，可见性是关键

正如我们所说，威胁狩猎计划，并不依赖于特定的平台或工具，而是依赖于人和流程。但是，可以通过确保你的狩猎团队能够访问正确的日志数据，来显著改善你的威胁狩猎计划的结果。如果，企业主要关注传统的拦截和处理安全，这意味着该企业可能需要开始获取更多的日志数据。毕竟，威胁猎手只能猎取他们能看到的东西。这就需要从你的安全工具、端点和网络数据中获取日志数据

6.3 威胁狩猎计划 2：基线很难，但对于威胁狩猎计划来说，它是值得的

一个成功的威胁狩猎计划的，另一个非常重要的因素是一个称为基线的流程。这是每个安全团队在某种程度上都应该做的事情，但对于威胁追狩猎来说，这绝对是至关重要的。这是因为猎手们所狩猎的行为，并不总是恶意的，有时它们只是可疑的

• 访问 AWS 端点的 Excel 电子表格是恶意软件攻击的第一阶段吗？
• 或者是一个高级用户将他们工作中耗时的部分自动化呢？

威胁猎手使用基线，来确定环境中的正常情况。虽然，这听起来像是一项艰巨的任务，特别是对于可能拥有几十个客户或更多客户的 MDR 或 MSSP 来说，值得一提的是，这将是一项持续的实践，所以它不是威胁狩猎的前提条件，而更像是一个共同必要条件。另外，建议你使用协作平台，来记录这些持续的发现的结果，以帮助进行知识沉淀

6.4 威胁狩猎计划 3：永远不要停止威胁假设

随着安全团队的威胁狩猎计划日趋成熟，此时通常会开始将假设驱动的狩猎纳入其中。正如我们所提到的，这种类型的狩猎将从假设网络已经被破坏，使用特定的载体开始，并最终缩小到你期望从该攻击者那里看到的 “行为”

注：这也是很多企业，最初遇到困难，并最终退回到 IOC 的地方

这种情况经常发生，因为团队不确定从哪里得出这些行为，特别是因为很多威胁情报 “报告” 没有提到它们。这时，猎手需要借鉴各种经验，包括以前的经验和过去的事件。 对于 MSSP 和 MDR 供应商来说，如果他们的客户跨越多个行业、部门和地区，这可能特别具有挑战性。当威胁狩猎团队面临的任务不仅仅是开发、测试和部署狩猎，而且还要保持狩猎的更新（保持最新状态），这种挑战可能会成倍增加。在这种情况下，或者对于刚刚起步的狩猎团队，威胁狩猎内容平台可以通过提供广泛的威胁狩猎内容来提供帮助（这些内容是经过开发和测试的），可以立即部署到不同供应商的安全工具上。这可以为狩猎团队提供喘息的机会，使他们能够适应，并跟上不断变化的威胁形势

6.5 威胁狩猎计划 4：将狩猎作为一种力量的倍增器

安全团队在刚开始威胁狩猎时，常犯的一个错误是把威胁狩猎看成是一个独立的岛屿。团队狩猎、发现和补救。现实情况却是，威胁狩猎应该作为一种力量的倍增器来使用。当猎手识别出一些漏网之鱼时，至关重要的是创建可操作的检测内容，以便将来 SOC 团队能够做出适当的响应，而猎手们也不会把时间花在重复狩猎相同的威胁上

6.6 威胁狩猎计划 5：不要只是 “追赶松鼠”

注：直觉力似乎不怎么靠得住，与其依靠直觉还不如以理性的判断为优先。威胁狩猎亦是如此，不要顾此失彼，让攻击者… …（后面想说的话，你懂得，N次方文字省略）

此处指的松鼠，是说的是那些新的备受瞩目的漏洞、恶意软件或漏洞利用等被公布的事件（或博主同学将其称之为“松鼠时刻”），而且这些事情发生的频率似乎比较高。也就是说，以博主同学的愚见，这对整个行业来说是一个相当严重的问题

为什么是一个严重的问题？下面列了几个原因：

• 关键的 CVE 很浪费时间
• 关键的 CVE 呈上升趋势
• 追赶关键的 CVE 是被动的

许多安全团队可能面临的一个挑战是，在威胁狩猎时只 “追赶松鼠” 的诱惑。当一个新的备受瞩目的漏洞、恶意软件或漏洞利用被公布时，这种情况就会发生，通常会出现在主流新闻媒体上，特别是对于 MSSP 和 MDR 供应商来说，通常会伴随着大量的电子邮件和电话，以了解客户是否受到了影响。虽然在安全领域，这是一个历史悠久的安全故事。但现实是，这也是对威胁狩猎资源最不有效的利用。这是因为狩猎团队应该主动狩猎攻击者，进入环境后会表现出的行为。他们可以狩猎对某特定漏洞的利用吗？（答：当然可以，当然没有问题）

但尤其是在经常围绕这些重大事件的 “战争迷雾” 中，通常并非攻击的所有细节都会被完全了解和充实。但是，如果你把对漏洞的主动监控（通常由 SOC 团队完成）与狩猎攻击者在越过边界后所表现出的已知行为相结合起来，将会使你的企业的安全性更加强大或稳健

0X07 如何定义理想的狩猎成熟度水平？

对于某些人来说，衡量 “成熟度” 似乎很乏味。毕竟，只要威胁狩猎团队 “发现安全问题所在”。有些人可能会想知道，为什么成熟度对于 SOC 来说如此重要。可以这么说，成熟度建模的价值在于，它允许组织将他们的 “目光放在奖品上”。它使企业能够看到他们今天所处的位置，以及如何改进前进的方向。它还能让狩猎团队了解他们需要改进的领域或技术。这就是为什么威胁狩猎成熟度模型，如此重要的原因

从威胁狩猎的方法论来讲，威胁狩猎包含如下流程：

• 威胁假设：威胁猎人可以依赖于对自身资产的了解结合全网威胁情报对可能出现的高风险资产遭受的攻击进行假设
• 攻击工具/技术调查取证：利用已收集的数据结合威胁情报，使用可视化、数据统计分析等方法对数据集进行挖掘与分析，获取攻击者的已知的或未知的攻击工具和攻击技术
• TTP发现与转换：狩猎的关键部分，结合威胁模型对已发现攻击者的攻击工具和攻击技术进一步挖掘，发现攻击者的TTP
• 持续改进与自动化处置：上述步骤基本上都是由威胁猎人发起并参与的，发现已知或未知威胁的流程可以通过自动化处理，并改进狩猎流程。最终将整个狩猎流程标准化、程序化，形成完整的自动化TTP情报发现机制

基于上述狩猎流程，通过不断的循环、迭代，形成越来越多和越来越完善的高级情报生产流程

基于上述的威胁狩猎流程依赖于威胁数据，收集终端的操作数据、IDPS、WAF的告警数据、全流量设备的流量特征数据、威胁情报数据等等这些数据都是威胁狩猎过程中的基础。研究员需要从这些数据中分析出攻击者的战略、战术目标

了解威胁狩猎计划的成熟度级别。必须考虑三个基本因素：

• 收集的数据质量：尽早关注安全数据
  • 若使威胁狩猎计划成熟，需要在过程的早期关注数据收集，然后对数据进行过滤和优化，以发现存在威胁的行为，其关键是要发现什么威胁对企业是最为重要的，但不要试图广泛撒网
• 用于收集和分析数据的工具
• 威胁猎人的技能和经验

7.1 成熟度级别

为了评估狩猎流程的成熟度，引入了狩猎成熟度模型。数据驱动的威胁狩猎成熟度模型是基于威胁狩猎框架，从数据收集能力、数据分析能力和自动化程度来评估威胁狩猎能力

注：由于每个成熟度级别之间的差距，以及狩猎结果之间的差距都可能很大，因此评估和确定威胁狩猎计划的理想水平非常重要
狩猎成熟度模型 (Hunting Maturity Model) 定义了五个等级：

• 初始级（HM0）：这个阶段主要由入侵检测系统、安全信息和事件管理系统 (SIEM) 或反病毒软件等工具侦查恶意行为。该过程主要基于自动报警系统，未实现从系统中收集数据的功能
  • 有基本的IDPS威胁数据，但是数据并没有汇聚在一起（几乎无法分析）
• 最小规模级（HM1）：在初始级的基础上，会常规性地搜集最近的威胁情报信息来判断系统是否遭受相关攻击
  • 够把安全设备的告警数据汇聚在一起，但是没有更深一步的分析能力
• 程序化级（HM2）：根据他人或其他更高级的狩猎模型制定的信息分析方法，根据输入的数据判断一些简单的恶意程序的行为或活动
  • 对收集的数据能够使用工具进行分析及基础的安全假设，并使用情报数据进行威胁狩猎
• 创新级（HM3）：该阶段威胁狩猎具有制定特有的数据分析过程的能力，并涵盖了高级有效的技术例如相关数据分析、数据可视化以及机器学习等
  • 能够建立有效的流程使用系统、工具，对收集的威胁数据基于威胁情报进行关联查询，对威胁进行狩猎
• 领先级（HM4）：在创新级的基础上实现自动化改进现有数据分析方法。这样可以有效地减少运行相同进程的内存消耗，专注于改进现有的规程和创造新的规程
  • 在HM3的基础上最大程度的使各个流程进行自动化，尽量减少人员的参与

狩猎成熟度模型不同阶段的最本质区别在于狩猎方式的差异。在初始成熟度级别，组织将主要依靠自动警报，很少或没有常规的数据收集功能，而人力基本上将集中在警报解决上（因此从本质上来说，初始级的威胁狩猎，并不是真正意义上的狩猎。在这一点上，即使在经验丰富的猎人的帮助下，该组织也不会被视为具有威胁狩猎能力；而领路阶段的狩猎则是主动尝试新的方式来找到攻击者，根据已有信息从不同角度入手分析获得新的结论）

达到较高的成熟度水平是需要付出一些努力。但是，正如预期的那样，结果和预期存在巨大差异。例如：一个已经达到成熟度级别的组织（在拥有活跃猎物计划的组织中最常见）将能够定期应用经过修改的程序来收集/分析数据，从而使威胁猎物成为现实

威胁狩猎循环步骤	HM0 初始阶段	HM1 最小规模阶段	HM2 程序化阶段	HM3 创新阶段	HM4 领先阶段
数据收集	很少，或者没有	能够收集IT环境中一些关键节点的数据	能够收集IT环境中某些类型的数据	能够收集IT环境中某些类型的数据	能够收集IT环境中某些类型的数据
建立假设	仅仅去处理SIEM/IDS/防火墙中的告警	根据威胁情报去构建新假设	根据威胁情报、专家经验去构建新假设	根据威胁情报、专家经验、人工风险评分去构建新假设	根据威胁情报、专家经验、自动化的风险评分去构建新假设
通过工具和技术去验证假设	根据威胁情报、专家经验、自动化的风险评分去构建新假设	以全文检索或者sql的方式，利用SIEM或日志分析工具进行搜索	基于现在的捕获流程，利用简单的工具去搜索分析数据，来验证假设	具备可视化和关联分析能力，构建新的捕获流程	具备高效的可视化和关联分析能力，实现了新流程的构建自动化
检测模式&TTP	无，或者仅有SIEM/IDS告警	通过金字塔底层的IOC检测	通过金字塔中层和下层的IOC进行检测，并根据时间分析这些ioc的趋势变化	能够根据攻击者的TTP和金字塔顶层的IOC进行检测	自动化的检测复杂TTP，追踪战役，支持组织间的情报IOC共享
分析自动化	无	使用威胁情报feed进行自动化告警	建立有效的捕捉流程库，并定期运行	建立有效的捕捉流程库，并经常运行，具备基础的数据分析能力（基线、离群点分析）	自动化的捕捉流程发布与构建，高水平的数据分析能力（机器学习）

由上表格可以发现，在HM0 初始阶段和HM1 最小规模阶段，过于高度依赖自动化检测工具，但是在HM1 最小规模阶段，一些威胁情报（如下）也可用于检测（另外，HM2 程序化阶段、HM3 创新阶段和HM4 领先阶段都是由高水平/超高水平的数据收集确定，这几个阶段之间的差异取决于团队是否可以创建自己的数据分析程序，以及是否可以提供自动化程序，以避免重复的搜索检测）：

• 在威胁狩猎中，威胁情报有两类来源，分别为内部和外部
• 内部威胁情报：来源于历史事件的记录以及针对组织基础架构进行侦查尝试获取到的相关情报
• 外部威胁情报：威胁情报团队使用 OSINT（开源网络情报）进行分析获取到的情报，通过付费购买专业威胁情报供应商提供的情报和报告

7.1.1 最初的威胁狩猎成熟度模型

现在，许多企业可能听说过最初的威胁狩猎成熟度模型。这是 Sqrrl 于 2017 年开发的一个模型，衡量了企业威胁狩猎能力的关键要素，包括：

• 企业收集的数据的数量和质量
• 可视化和分析数据的方法和能力
• 可用于数据的分析类型，以增强猎人对上述数据的洞察力

但是，此模型的主要限制之一，是它仅专注于非结构化狩猎。这种专注并没有错。但是，随着企业的不断改进，提供一个扩展该重点的模型是非常重要的

7.1.2 介绍威胁狩猎团队成熟度模型（威胁狩猎成熟度模型的更新）

因此，此处扩展了威胁威胁成熟度模型。这里将修改后的模型称为 “威胁狩猎团队成熟度模型” 或 HTMM。HTMM 考虑了对威胁至关重要的变量。虽然，修改后的模型专注于结构化狩猎，但该模型也可以应用于其他类型的威胁狩猎，以及考虑到的一些其他变量是：

• 企业实施的安全防御措施
• 支持狩猎工作的威胁情报的成熟度
• 企业能够进行的狩猎类型
• 狩猎团队的产出结果

下面，你将看到该模型中每个级别的描述，以及升级的要求

7.1.2.1 HTM0：不存在的能力

在修改后的威胁狩猎成熟度模型的 HTM0，企业仅依靠传统的安全防御措施来驱动日常安全运营。这些企业可能会依赖自动警报，这种警报源于反应式的安全防御措施，包括：

• 反病毒软件
• 基于主机和网络的入侵检测和防御系统（IDPS）
• 防火墙（FW）
• Web 应用防火墙（WAF）
• Web 代理解决方案

HTM0 的企业将使用一个平台，进行日志和数据汇总。该平台，可能是一个SIEM，将可能使用基本内容（如相关的检测规则），以进行安全告警。这些内容可能来自于他们的 SIEM 供应商。这些企业，在他们的环境中可能很少或根本没有可见性

这些企业可能会合并威胁情报，这些威胁情报通常是通过开源服务提供的。它们通常包括映射到痛苦金字塔较低层次的指标。请注意，处于 HTM0 的企业可能没有真正的威胁情报能力

HTM0 企业也只收集有限的日志数据子集，该数据足以满足安全运营的现有要求，除此之外没有太多。处于 HTM0 的企业没有能力进行威胁狩猎

7.1.2.2 HTM1：初始能力

在修改后的威胁狩猎成熟度模型中达到 HTM1 的企业，已经弥补了 HTM0 的大部分缺点。他们已经提高了对环境的可见性，这些企业通常会依靠 HTM0 中确定的相同防御措施来进行反应式检测。HTM1 也将开始关注更大的网络可见性，特别是网络流量数据。这种可见性，允许企业能够可视化和分析网络元数据

HTM1 的企业，仍将利用 SIEM 平台进行分析。但是，处于这种成熟度的企业，将开始扩大他们的 SIEM 内容，而不是简单的关联

HTM1 企业，还将寻求集成威胁情报平台。这种集成将允许存储和丰富单个 IOC。这种集成，可以将 IOC 提供给安全防御措施或 SIEM 环境。事实证明，这种类型的集成对企业来说是具有挑战性的

HTM1 企业，将能够使用更复杂的指标。这些指标，将可能与在网络元数据中发现的基于工具的人工质量分析相一致。这些指标可能包括：

• 用户代理字符串
• HTTP 流量中的空白或缺失字段
• HTTP 标头中的编码数据

HTM1 企业，有能力进行基本的业务狩猎。HTM1 企业，将进行威胁狩猎，但只是临时性的

7.1.2.3 HTM2：功能能力

在修改后的威胁狩猎成熟度模型中，处于 HTM2 的企业将拥有与之前级别相同的安全防御措施。他们还将解决环境中端点层面，缺乏可见性的问题。HTM2 企业将部署工具来记录端点活动。这些工具可能是某种形式的端点检测和响应（EDR）平台。如扩展检测和响应（XDR）和端点保护平台（EPP）等其它平台，也可能发挥作用

处于 HTM2 的企业，可能已经放弃了作为安全分析平台的 SIEM。相反，这些企业可能会使用一个数据湖平台，以允许增加数据消耗。其他组织可能会选择继续使用 SIEM 平台

在 HTM2 的企业，将开始为其平台寻找更复杂的威胁检测内容。此内容将寻找已知的恶意行为的威胁，而且他们可能会依赖不受信任的第三方提供的免费内容。HTM2 企业也有能力为其环境调整免费内容

HTM2 的企业，将不可能产生他们自己的威胁情报数据。因此，HTM2 企业将不得不添加威胁数据、信息和情报，这些数据可能来自于商业情报供应商。这种威胁情报，将包括长期的报告和分析，以及IOC；这种威胁情报报告将涵盖所有级别（战术、技术和过程，TTP）；这种威胁情报，可能有助于一些有限的威胁狩猎活动

HTM2 企业，将能够进行常规的威胁狩猎。狩猎活动仅限于非结构化的狩猎，以及更多的基本分析方法。HTM2 的企业，仍将依赖非结构化（或数据驱动）的威胁狩猎。但是，这些企业也可以尝试有限的基于假设的威胁狩猎

7.1.2.4 HTM3：成熟的能力

在修改后的威胁狩猎成熟度模型中，处于 HTM3 的企业将在网络和端点层面，对其环境有良好的可见性。这种类型的企业也可能正在建立自动化平台（如SOAR）。这些工具将使安全分析和狩猎的手动流程自动化

HTM3 企业，可能已经放弃了传统的 SIEM 工具。相反，这些组织很可能拥有类似数据的平台。这些平台依赖于狩猎和检测内容。HTM3 企业，可能会开发自己的威胁狩猎内容。这些内容源于他们的知识和经验

与 HTM3 企业的，另一个主要区别是他们的安全分析方法。HTM3 企业的安全分析师，将使用平衡的结构化和非结构化进行狩猎

HTM3 企业的，威胁情报将是针对企业的。这使企业能够产生有针对性的情报驱动的狩猎。这些狩猎将侧重于工具、技术以及针对其企业或垂直领域的攻击者和威胁。各狩猎将继续摄取威胁情报，但对所使用的信息将是非常有选择性的。这些信息应提供超强的背景，并与特定的行业框架相匹配

实现 HTM3 的企业，往往发现他们的团队只由少数几个猎手组成。因此，当资源转移时，这些团队可能会遇到挑战

大型企业，往往无法进行可持续的、可重复的和严格的威胁狩猎。这是由于，主要狩猎活动所带来的时间限制。团队将没有时间，专注于威胁检测内容的创建和剧本手册的开发等任务。HTM3 企业，能够专注于高度复杂的可持续威胁狩猎

7.1.2.5 HTM4：完全成熟的能力

在修改后的威胁狩猎成熟度模型中，已经发展到 HTM4 的企业已经解决了其资源问题。这意味着该企业，能够维持持续的威胁狩猎活动

这些企业，能够专注于次要任务（如工具和内容开发）。这种开发的结果会向更广泛的社区公布。HTM1 和 HTM2 企业，可能会使用这些内容

7.1.3 关于威胁狩猎成熟度模型的结论

随着企业继续专注于改进威胁狩猎，提供一个具体的路线图是非常重要的。威胁狩猎团队成熟度模型 (HTMM) 是最初的威胁狩猎成熟度模型的变体，旨在协助完成此流程。这有助于组织开始他们的威胁狩猎之旅。但它也有助于为更成熟的企业开辟一条前进的道路。使用它，企业不仅能够知道他们在哪里，而且能够知道他们需要去哪里，更重要的是，知道如何到达那里

7.2 如何创建威胁狩猎流程？

注：选择合适的 SIEM 系统，集中收集各类型日志（安全设备、终端、应用程序等），以进行高效的数据分析

特别注意：安全分析师，要始终进行攻击者已进入攻陷设备的威胁假设。若设备已产生了违规行为，请考虑攻击者的攻击方式和原因，也要依靠狩猎活动来开辟新的调查渠道，并根据与威胁相关的风险等级对狩猎进行优先级划分，不断狩猎，不要等待告警发生，尽可能在告警发生之前找到攻击者

一旦，了解了威胁狩猎计划的所有要素，就可以轻松创建一个简单但非常有效的流程。威胁狩猎的基本步骤如下：

• 收集和处理数据：同样，如果没有高质量的数据，就不可能寻找威胁。预先计划并定义必须收集哪些数据，以及将在何处集中和处理这些数据非常重要。如前所述，SIEM 解决方案是猎人的最好朋友
• 建立假设：知道要寻找的东西非常重要，这一切都始于基于实际公司环境的面向业务的假设。最好的方法是从对公司的网络安全策略有意义的简单、高层次的问题开始。这将使猎人专注于实际情况，从而产生更有效的威胁狩猎计划
• Hunt：有时，威胁狩猎可能只不过是处理数据，并解释几个小时的结果，只是发现一个假设尚未得到证实
  • 如前所述，猎人必须在技术专长方面表现出色，将信息安全、情报分析等领域相结合，但也必须有足够的耐心
• 识别威胁：正如预期的那样，在某些时候，你的假设将被证明是有效的，并且将识别出威胁。现在，是时候了解它如何影响公司了。这是正在进行的重大安全事件吗？这是刚刚开始的网络攻击吗？是否有可能是虚假警报？
  • 在确定最佳行动方案之前，猎人必须回答所有这些问题
• 响应：在确认威胁并知道攻击的程度之后，下一步就是创建适当的响应。当然，有必要停止当前的攻击，删除最终的恶意软件文件，并将更改/删除的文件恢复为原始状态，但并不仅限于此。为了提高安全性，并防止将来发生类似的攻击，了解发生了什么也很重要
  • 例如：可能有必要采取措施（例如更新防火墙/ IPS规则，开发新的SIEM警报，部署安全补丁和/或更改系统配置。换句话来说：采取所有必要步骤，以确保不太可能发生另一次攻击事件）

威胁狩猎可以为网络安全策略提供重要价值。在没有系统 100％ 安全的前提下，有经验的威胁猎人可以主动检测，并阻止最偷偷摸摸的攻击者

注：创建有效的威胁狩猎计划将需要一些努力：在实施特定策略之前，拥有合适的专业人员和必要的工具至关重要。一个好的方法是首先定义将为公司提供实际价值的成熟度级别，确认现有资源是否足够，并创建经验丰富的专业人员，数据收集/处理工具和可行的情报的正确组合

0X08 威胁狩猎核心技术

一次完整的狩猎流程可以进行如下区分。在开始狩猎之前，需要明确网络结构、运行系统、防御机制可以抵御和侦测的攻击方式和准确性、潜在的攻击目标和工具使用的执行战略。之后则是需要明确相关数据信息的手段和技术

在威胁狩猎流程中，假设攻击者已在设备网络环境中潜伏，威胁猎人的工作为尽可能快的发现其攻击痕迹，最大程度的降低攻击者造成的危害；该过程极为考验威胁猎人的分析能力，因为威胁猎人需要查找入侵痕迹，从而忽略已有的自动化检测过程。最终，威胁猎人的目标就是缩短攻击者在设备网络环境中的停留时间（根据 SANS 2018 威胁狩猎调查，平均而言，攻击者可以在受到感染的环境中驻留90天以上）

目前来说，攻击者利用的漏洞、使用的工具和攻击方式相关的研究是最被重视的部分，大量相关问题被深入研究和详细记录，可以在各种最新的 APT 报告中获取。而最终的结果是使得每一次狩猎都可以拓展威胁狩猎防御机制的普适性，使得狩猎模式适用于更广泛更多样的攻击。

目前来看，威胁狩猎主要涉及到的技术，大致分为包括如下：

• 取证技术：是实现威胁狩猎的基础。优质的指示器 (IOC) 可以快速定位攻击者的信息并及时地改进。但随着金字塔高度（取证指示器金字塔模型）的提高，金字塔模型越上层的信息收集工作越困难，需要对于数据的意义和攻击的手段有更深入的认识并进行总结概括，使用时的适用范围也更加广泛，而对于威胁狩猎来说也越重要
• 分析技术：丰富的分析技术，可以使得威胁狩猎效果更加明显
  • 日志分析技术：由服务或设备中获取的日志非常重要而且目前已有的安全防御系统并未合理充分地利用。与此同时，威胁狩猎平台的日志分析能力也直接影响了其抵御和防范攻击的能力。由于日志是威胁狩猎分析攻击的重要信息来源之一，因此明确可以获取日志的计划和出处十分重要
  • 网络分析技术：包括读取理解捕获的数据包并判断网络流量是否异常的能力和熟悉网络中的不同设备的特性以及相互如何影响
  • 攻击分析技术：清楚攻击者在各个攻击阶段所使用的技术快速发现问题以及相关行为，了解攻击工具、恶意软件、鱼叉攻击以及软件配置问题可以帮助判断攻击者的思路来获取攻击行为的证据

TTP 就在痛苦金字塔的顶端。即使是高级持续威胁 (APT) 组织也倾向于在其操作中重复使用 TTP。攻击者多年来开发了这些功能，并且还可能受到标准操作程序的限制。因此，TTP 比基础设施更难改变

痛苦金字塔（The Pyramid of Pain）是一种用于 CTI 和威胁狩猎的模型，上层指标比下层指标更有价值：

• CTI： 例如，由来自公开或特权来源的信息提示，例如媒体对新兴威胁的报道或来自政府机构
• TTP：例如，在 MITRE ATT&CK 或其他框架中提供策略或技术的覆盖范围
• 风险评估：例如，覆盖组织安全控制中已识别的“盲点”

一旦设定了威胁假设，威胁猎手就会利用一个查询来搜索现有数据集中的相关威胁行为。例如，在组织的 SIEM、EDR、数据或 IDS 中。根据威胁的不同，猎人可能会偶尔运行此查询，或者他们可能会将其设置为在后台连续运行

1）痛苦金字塔（The Pyramid of Pain）指标类型

• 散列值（浅蓝）：SHA1，MD5或其他与特定可疑或恶意文件相对应的散列。通常用于为恶意软件的特定样本或入侵所涉及的文件提供唯一的引用
• IP地址（深绿）：IP地址
• 域名（绿色）：这可以是域名本身（例如“ evil.net”），甚至可以是子域或子子域（例如“ this.is.sooooo.evil.net”）
• 网络工件（浅黄）：网络上的敌对活动引起的可观察到的东西。从技术上讲，由于攻击者的交互而在您的网络上流动的每个字节都可能是伪像，但是实际上，这实际上意味着那些可能会将恶意活动与合法用户区分开的活动。典型示例可能是URI模式，嵌入在网络协议中的C2信息，独特的HTTP User-Agent或SMTP Mailer值等
• 主机工件（浅黄）：由您的一个或多个主机上的敌对活动引起的可观察到的结果。再次，我们专注于倾向于将恶意活动与合法活动区分开的事物。它们可能是注册表项或已知由特定恶意软件片段，文件或目录创建的值，这些特定恶意软件，文件或目录放置在某些位置或使用某些名称，名称或描述或恶意服务或几乎所有其他独特的东西
• 工具（黄色）：攻击者用来完成任务的软件。通常，这将是它们带来的东西，而不是计算机上可能已经安装的软件或命令。这将包括旨在创建用于欺骗的恶意文档的实用程序，用于建立C2或密码破解程序的后门程序，或可能希望在入侵后使用的其他基于主机的实用程序
• 战术，技术和过程（TTP）（红色）：攻击者如何完成其任务，从侦察一直到数据渗漏以及中间的每一步。“网络钓鱼”是用于在网络中建立状态的常见TTP。“使用木马PDF文件伪造图片”或“ …带有伪装为ZIP的恶意.SCR文件的链接”将是更为特定的版本。“转储缓存的身份验证凭据并在“哈希传递”攻击中重新使用它们”将是一个TTP。请注意，这里没有讨论特定的工具，因为有许多方法可以使PDF武器化或实现哈希传递

8.1 威胁狩猎分析师的四个关键技能

当然，拥有正确的工具只是威胁狩猎成功的一半秘诀。你的安全分析师需要拥有特定的技能组合，才能成功地成为威胁猎手。在我看来，以下是任何威胁猎手都应具备的四个关键技能：

• 企业知识：对你的 IT 环境的背景知识和上下文知识
• 假设性思维：假设威胁攻击、来源载体和组织影响的能力
• 统计：从统计数据中解释重要性的能力
• 取证：通过网络和终端取证调查事件的根本原因，并制定攻击时间表的能力

有了这些工具和技能的正确组合，你的安全团队将为富有成效的威胁狩猎做好准备

8.2 威胁狩猎模式

提出威胁狩猎假设是威胁狩猎的第一步，也是最重要的一步。可以根据三种不同类型的信息形成假设：

• 基于威胁情报的假设：这种假设利用来自威胁情报数据库的信息来识别与已识别攻击相关的入侵指标 (IOC) 或已知战术、技术和过程 (TTP)
  • 例如：某个威胁情报数据库报告称，黑客组织 IAMNEO 正在使用恶意软件，向位于越南的基础设施发送信标请求。为了查明这种威胁是否存在于他们的环境中，威胁猎手可能会寻找向位于越南的 IP 发送信标流量的证据
• 基于威胁的假设：这种类型的假设基于威胁猎手识别 IT 环境的重大变化，这可能是攻击的指标
  • 例如：兼并和收购可能是一个成为攻击的机会，特别是当它们为公众所知时。安全分析师可以决定调查被收购组织的网络，是否存在潜在的隐藏威胁
• 基于领域专业知识的假设：这种类型的假设是使用分析师对企业环境的特定知识构建的，以便预测攻击，并寻找可能的入侵迹象
  • 例如：安全分析师可能会了解已针对使用相同 VPN 软件的其他组织使用的特定漏洞利用。有了这些知识，安全分析师就会假设可以对他们的组织使用相同的漏洞，并寻找入侵的迹象（如新创建的、未经授权的管理用户帐户）

当创建一个威胁狩猎假设，并围绕该假设组织狩猎时，利用威胁情报功能来发现可能针对该企业、他们的行业、他们的地理位置，甚至他们的关键 IT 基础设施的特定元素的行为者或威胁。通过对这些潜在威胁进行优先排序，并利用威胁情报来分解已知的威胁运作方式和他们使用的TTP，然后威胁狩猎团队就可以创建可测试的科学假设

例子：如果威胁猎手看到威胁情报显示，一个特定的威胁攻击者正在针对与他们处于同一垂直和地理位置的企业。如果已知该威胁攻击者正在主动针对特定的易受攻击的基础设施（如 VPN 入口点）以建立滩头阵地，而威胁猎手的企业也已知使用该特定的易受攻击的技术，那么假设可能是该攻击者很可能通过利用其 VPN 技术中的漏洞，来建立滩头阵地，并部署其需要的渗透工具。然后，该假设将构成结构化狩猎的基础

1）制定狩猎计划

制定假设，只是开始结构化威胁狩猎的第一步。为了正确地进行这种基于假设的威胁狩猎，狩猎团队还需要所谓的狩猎计划。狩猎计划为团队将用来证明或反驳假设的威胁狩猎技术和方法设定了一个方向。该狩猎计划应该是一份正式文件，通常包括如下：

• 威胁假设
• 所需的日志源（或盲点和替代日志方向）
• 所有相关利益人员的批准
• 在过程中破坏某些东西或发现安全事件时的升级点和安全事件
• 如果威胁猎手需要将发现的情况，移交给事件处理者、响应者或组织中的其他相关机构的移交点
• 狩猎过程中发现的情况
• 从任何反馈会议或行动后审查中获得改进的要点

狩猎计划是一份动态文档，在结束时，它还将包含威胁狩猎过程中发现的情况，供整个安全组织未来进行学习

总结：随着企业不断完善其威胁狩猎计划，至关重要的是，不再完全依赖临时的非结构化威胁狩猎，而是结合结构化威胁狩猎，以提高检测威胁的能力，以及更一致地识别高级攻击者和技术

8.2.1 基于情报进行狩猎

基于情报的狩猎是一种反应式狩猎模式 ，它使用来自威胁情报源的 IoC。狩猎行为由此遵循通过 SIEM 和威胁情报建立的预定义规则

基于情报的狩猎可使用计算机应急响应小组 (CERT) 等情报共享平台提供的 IoC、散列值、IP 地址、域名、网络或主机工件。可从这些平台导出自动警报，并以结构化威胁信息表达式（STIX）以及可信的情报信息自动交换形式（TAXII）输入到 SIEM 中。SIEM一旦收到基于 IoC 的警报，威胁狩猎者就可以调查警报前后的恶意活动，以识别环境中的任何隐患

8.2.1.1 整合威胁情报的针对性狩猎（TaHiTI）

有针对性的狩猎综合威胁情报（TaHiTI）是由荷兰多个金融机构共同创建的一种进行威胁狩猎的通用方法

TaHiTI方法论与威胁情报息息相关，它通过威胁情报提供的攻击者信息为起点进行狩猎，使用威胁情报将狩猎中发现的内容进行关联，甚至可以关联到已知/已有的TTP并推动新的狩猎方法。若遵循此模型，威胁狩猎可提供丰富的威胁情报，因为它可用于发现与攻击者有关的未知的TTP和IOC

TaHiTI 分为三个阶段，八个步骤：

• 阶段1：
  • 触发狩猎
  • 创建摘要
  • 进行存储
• 阶段2：
  • 细化定义
    • 丰富调查摘要
    • 确定威胁假设
    • 确定数据源
    • 缺点分析技术
  • 执行
    • 检索数据
    • 分析数据
    • 验证威胁假设
• 阶段3：
  • 得出结论
  • 记录调查结果
  • 调整/更新结论

8.2.1.1.1 TaHiTI-阶段1 (启动)

在此阶段，触发狩猎后将转换为调查摘要并进行存储；主要通过5种方法进行触发：

• 威胁情报
• 其他狩猎方法
• 安全监测
• 安全事件响应：从历史事件、攻防演练中收集的数据
• 其他：例如确认核心数据，思考如何获取/破坏，研究ATT&CK框架，或研究威胁猎人的专业知识

研究摘要是对假设的粗略描述，该假设将在以下阶段得到完善。建议摘要中包含：创建的日期、摘要、狩猎触发的条件和优先级的信息

8.2.1.1.2 TaHiTI-阶段2 (狩猎)

该方法为实际狩猎，也就是说，在执行之前，必须对威胁假设进行定义和完善。这意味着为狩猎而创建的最初摘要要扩展很多细节，因为随后的狩猎过程中肯定会发现很多新证据

狩猎最重要的是数据源、选择的分析技术和确定的范围。还应包括已知的威胁情报、分配的资源以及狩猎的分类信息

狩猎结果将用于验证初始假设是否合理，每次狩猎都有三种结果：

• 假设成功：假设得到证明，并且发现了安全事件
• 假设失败：这种状态很难判定为一定失败，因为找不到某些攻击痕迹并不一定意味着攻击者/异常工具不存在
• 没有结论的假设：当没有足够的数据来证明或否定该假设时，只能到此为止。在此阶段，有必要继续完善假设，直到达到状态1或者状态2

8.2.1.1.3 TaHiTI-阶段3 (结束)

TaHiTI 方法的最后阶段，是记录猎人发现的内容。该文件必须包含狩猎的结果和狩猎中得出的结论。结论可以包含提高组织安全性的建议、改善团队狩猎过程的方法等

文档编写完成后需要与有关各方之间共享，方便针对不同的收件人进行相应的调整，并且报告的信息可能需要根据其安全许可进行编辑或分类

TaHiTI区分了可能由于威胁而触发的5个狩猎调查过程：

• 安全事件响应：启动IR（事件响应）进程
• 安全监控：创建或优化监测规则
• 威胁情报：发行新威胁者的TTP
• 漏洞管理：解决发现的漏洞
• 对其他团队的建议：共享最终文档，以改善整个组织/圈子的安全状况

8.2.2 基于威胁假设进行狩猎

威胁狩猎的主要特征之一，为它是人为驱动的活动，无法完全自动化

威胁狩猎核心过程的产生来源就是狩猎的假设，假设是指对组织环境的威胁（真实威胁）与威胁猎人的预感以及如何发现威胁（发现威胁的方法）相一致。（理解：通过经验或者其他狩猎团队共享的情报/文档，设计狩猎方法，执行相关程序，最终发现真实的威胁）

假设狩猎其实是一种使用威胁狩猎的主动狩猎模式（提出假设对于产生良好效果的狩猎至关重要，但是定义不正确的假设将导致错误的结果或结论，会对组织造成负面影响，这代表防御失效，给攻击者提供了更长的活动时间

注：所有威胁狩猎模型都取决于你的假设有多强大。每个假设都应该基于对事件的观察和对每个日志源的深刻理解：它是如何放置的以及它在企业中是如何被利用的

同时在可视化层面上会产生一种错误的安全感，从而会引发错误的假设，感觉没有违规/异常行为的发生，感觉组织环境很安全），它与 MITRE ATT&CK 框架保持一致，并使用全局检测手册来识别多组高级持续威胁和恶意软件攻击

基于假设的狩猎使用攻击者的 IoA 和 TTP，狩猎者根据环境、域和攻击行为识别攻击者，建立与 MITRE 框架一致的假设。一旦识别出行为，威胁狩猎者就会监控活动模式，以检测、识别和隔离威胁。通过这种方式，狩猎者可以在攻击者对环境造成破坏之前就主动将它们揪出来

8.2.3 基于混合威胁的狩猎

混合威胁狩猎模型使用多种威胁狩猎模型的组合。这意味着您需要成为尽可能多的威胁狩猎模型的主题专家。当您不知道攻击渗透的深度以及横向传播的距离时，就会发生混合狩猎。在这个模型中，上述所有模型都可以在调查的每个阶段发挥各自的作用

混合威胁狩猎的最佳示例之一是跨渠道数据出口。在这个例子中，威胁猎手试图找到两个独立的来源；一个从中聚合源数据，另一个从中窃取源数据。在这种情况下，威胁猎手可以结合使用基于事件的狩猎、基于实体的狩猎和基于 IOC 的狩猎

8.2.4 基于 IOC 的狩猎

IOC 是一些取证数据，主要是在系统日志事务或文件中发现的数据，指示系统或网络上的潜在恶意活动。它就像网络威胁的指纹。

基于 IOC 的狩猎是查找特定威胁的最简单方法之一。描述基于 IOC 的狩猎的最佳方式是通过痛苦金字塔。

痛苦金字塔是一种广为人知的 IOC 分类方法。当您识别 IOC 时，它在金字塔上的位置表明 IOC 会给攻击者带来多大的痛苦。金字塔的底部，哈希值，会给攻击者带来微不足道的痛苦。这包括诸如 MD5、SHA1 和识别特定可疑或恶意文件的类似工件的哈希值。IOC 对于唯一识别在安全事件中检测到的特定攻击样本非常有用。

• 当我们从底部到顶部时，它可以帮助我们识别特定的威胁
• 如果我们有针对特定威胁的 IOC，那么我们可以让攻击者改变他们的方法。

8.2.5 基于实体的狩猎

了解组织的网络状态是一项复杂的挑战。无论你拥有多少资源，威胁猎手始终需要优先搜索网段以获得最大吞吐量。基于实体的狩猎集中在高风险用户（HRU）和高价值资产（HVA）上

• 首先，在继续之前调查网络
• 识别 HRU 和 HVA
• 确定企业使用的应用程序
• 收集风险评估报告

攻击者将以 HVA 或 HRU 为目标，以访问敏感信息或充当横向移动的基地

威胁猎手应优先调查 DMZ 服务器、应用程序服务器 LAN 网段以及高级管理人员及其系统。接下来，他们应该调查与每个团队相关的域控制器、容器存储库、研发系统和集中式数据库

8.2.6 基于战术、技术和过程的狩猎

威胁猎手不能总是依赖 IOC。IOC 的有效生命周期与相关域和 IP 的相关生命周期相关，后者可能非常短。如果我们真的想阻止攻击者的轨迹，我们需要了解他们的战术、技术和过程 (TTP)。作为一名威胁猎手，我们需要了解攻击者使用了哪些技术，攻击者如何有效地利用该技术对付我们，以及攻击者可以采用哪些不同的方式来适应和改变。我们还需要了解他们的主要目标是什么，以及他们将如何在组织中横向移动

如果威胁猎手可以开发出 360 度的攻击视图，包括工件、效果、措施和传播，那么他们就可以创建一个用于狩猎的剧本

8.2.7 该如何选择威胁狩猎模型？

威胁狩猎涉及多项权衡，具体取决于你有权访问哪些组织数据，以及你对可能的攻击者的了解。根据你对这些问题中的每一个的回答，你将了解哪种威胁狩猎方式或威胁狩猎模型最适合你的情况

8.3 威胁狩猎假设示例

结构化的威胁狩猎（通常称为基于假设的狩猎），仍然是企业在其环境中发现以前未被发现的威胁的最佳方式之一。它之所以如此有效，是因为它围绕着一个核心命题进行狩猎，并且在狩猎结束后，狩猎团队可以高度肯定地说，他们的企业是否受到了某个攻击者、行为或技术的影响。尽管如此，猎手们往往在确定一个假设，并围绕这个假设进行狩猎时遇到了困难。因此，下面列出了一些，可以立即投入实践的最佳威胁狩猎假设的示例

8.3.1 什么是威胁狩猎假设？

提出威胁狩猎假设是威胁狩猎的第一步，也是最重要的一步

不过，在我们深入研究 “最佳威胁狩猎假设的示例” 之前。首先，我们需要回答 “什么是威胁狩猎假设？”这个问题

假设是"…为了得出和检验其逻辑或经验结果，而做出的试探性假设"。因此，威胁狩猎的假设是相当相似的，因为它是一个关于战术、技术或过程（TTP）的命题，通常来自于威胁情报、安全研究或个人猎手的经验或直觉，然后被暂时假设为正确的，直到可以进行狩猎，以最终证明或反驳其有效性

虽然威胁狩猎假设没有固定的“格式”，但许多猎人会尝试并为他们的狩猎保持标准格式。当您浏览前 5 名列表时，您可以单击与威胁搜寻假设相关的按钮以查看 HUNTER 中的搜寻。如果您还没有 HUNTER 帐户，请在此处获取免费帐户并使用促销代码“HUNTHYPOTHESIS”

虽然威胁狩猎假设，没有固定的 “格式”，但许多猎人会尝试为他们的狩猎保持一个标准格式

8.3.2 威胁狩猎假设 1：潜在的 MALDOC 执行链

• 复杂程度：简单

假设：Maldocs（恶意软件文件）是包含自执行代码或需要用户在执行前授予许可或与文件交互的代码的恶意文件。恶意文件大多数是通过网络钓鱼邮件传递给用户的。许多情况下，在任何代码成功执行之前，用户将被要求与文件交互。一旦文件被打开，并执行了任何所需的用户交互，恶意代码将被执行，如 PowerShell、cmd shell或类似的脚本代码，以建立与攻击者的基础设施的通信，下载有效载荷或执行本地操作，如持久化或睡眠，直到以后

8.3.3 威胁狩猎假设 2：PowerShell 编码的命令执行

• 复杂程度：简单

假设：一旦熟练的攻击者获得了对系统的初始访问权限，他们很可能会使用系统中的工具来进行攻击，或者作为其他工具的入口。这是因为这些本地工具不太可能被传统的检测平台发现，而且它们的使用也不太可能引起太多关注。对于像 PowerShell 这样能够让攻击者进行一系列攻击的工具来说，情况尤其如此。为了进一步混淆他们的 PowerShell 活动，攻击者可能会使用 EncodedCommand函数对命令和参数进行编码，并防止简单的字符串匹配。应该对 EncodedCommand PowerShell工具的存在进行调查

8.3.4 威胁狩猎假设 3：尝试将 VBSCRIPT 存储在非运行的 CURRENTVERSION 注册表键值中

• 复杂程度：中等

假设：Windows 注册表是 Microsoft Windows 系统应用程序和核心实用程序使用的设置数据库。注册表经常被攻击者滥用，以存储配置信息、隐藏代码、绕过检测、抑制系统功能、建立持久化以及其他原因。HKCU（当前用户）或HKLM（本地计算机）配置单元中的 “CurrentVersion” 注册表项是最常被滥用的注册表项之一，更确切地说，CurrentVersion 中的 Run 项。正因为如此，“Run” 项受到了检测和防御工具的严格检查。该软件包中的目标技术仅利用 CurrentVersion 项来添加恶意软件的配置信息，并可能建立持久化。这很可能是由于 “Run” 项受到了防御工具的严格检查

8.3.5 威胁狩猎假设 4：COBALT STRIKE BEACON 默认 C2 结构

• 复杂程度：中等

假设：Cobalt Strike 是一款功能齐全的商用渗透测试工具，由位于华盛顿特区的 Strategic Cyber LLC提供。该工具被宣传为 “攻击者模拟和红队攻击”，但其重要的定制和功能使其被各种各样的威胁者出于各种动机使用。 使用 Cobalt Strike 的敌人在努力获得初始访问权的过程中经常使用其 Beacon 组件。默认情况下，Beacon 组件通过 DNS 查询使用默认的命令和控制（C2）结构。对 Cobalt Strike 不是很熟悉的攻击者，可能会忽视对 C2 结构的定制

8.3.6 威胁狩猎假设 5：使用 WERFAULT.EXE 进行 LSASS 内存转储

• 复杂程度：中等

假设：本地安全授权子系统服务（LSASS）是 Windows 操作系统中的一个进程，负责执行系统中的各种安全策略，包括用户登录验证。一旦用户登录系统后，就会在 lsass.exe 进程的内存中生成并存储凭证。这些凭证可以被攻击者通过各种手段获得（例如创建一个进程的内存转储），然后可以用来进行横向移动、权限升级和其他各种攻击方法

8.4 威胁狩猎技术

在进行狩猎时，威胁猎手使用各种技术来分析他们收集的数据。这使他们能够快速识别异常情况，然后开始深入研究。值得注意的是，猎人不需要任何花里胡哨的工具集来进行这种分析。通常情况下，一个命令行、一个电子表格和免费的绘图工具，就足以开始了

8.4.1 数量分析

这种类型的狩猎，着眼于特定数据集的数量。这种方法，通常应用于网络分析，以识别异常值。这些异常值可以是最常见的，也可以是最少见的。例如：

• 端点从网络中发送了多少数据？
• 哪个端点发送的数据最多？
• 哪个外部 IP 被阻止的连接数量最多？
• 哪些系统的会话时间最长？
• 哪些系统有最多的 AV 警报？

8.4.2 频率分析

频率分析类似于数量分析。它检查的不是数量，而是发生的频率。此技术最常应用于网络和主机层面的网络流量。猎人将使用它来识别恶意软件告警中经常出现的异常模式。

注：频率分析，通常与数量分析相结合，以进行更复杂的分析

8.4.3 聚类分析

聚类分析是一种统计分析的方法。这种技术通常会同时考虑基于网络和基于主机的特征。聚类将围绕一组特定的特征，对数据进行聚合。这种技术通常由统计分析工具进行辅助。聚类分析，可以帮助识别诸如异常值之类的事件（例如，常见行为的异常出现次数）

8.4.4 分组分析

分组分析就像聚类分析一样。主要的区别在于，分组分析侧重于少数特定的特征。将分组分析作为一种技术，可以使团队识别攻击者的渗透工具或攻击技术

分组时产生结果的特征的示例，包括如下：

• 出站网络源：指显示了可能绕过 WAF 的主机
• 域名服务器：揭示了可能使用非标准 DNS 服务器的主机

8.4.5 堆叠计数（堆叠）

堆栈计数是最流行的威胁狩猎技术之一。堆栈计数，适用于共享一个或多个不同共性的数据。该技术依赖于聚合一块数据，并在整个集合中进行比较。这种技术允许企业识别统计学上的极端情况

可以有效堆叠的数据的示例，包括如下：

• 用户代理字符串
• 高（临时的）端口号
• 特定的文件名及其位置
• 跨组织安装的程序
• 跨部门的程序名称和执行路径

总结：有时，组织可能会在威胁狩猎的实际应用中遇到困难。通常，是因为每个威胁狩猎团队都会从不同的角度看待问题，并使用自己的工具。然而，了解一些常见的威胁狩猎策略和技术，可以让威胁狩猎团队更快地开展威胁分析工作

8.5 常用的几种威胁狩猎工具

让我们面对现实吧：威胁狩猎是一种工具和技术密集型学科。有时，昂贵的商业化的威胁狩猎工具和服务似乎是该行业的唯一工具。但现实是，大多数威胁猎手，并不完全依赖这些花里胡哨的工具。相反，许多猎手发现自己在调查中会接触到免费和灵活的辅助安全分析的工具。但这些工具的发布速度，往往让人们感到茫然和困惑。下面列出了一份日常威胁狩猎的免费威胁狩猎工具、脚本和服务清单

8.5.1 CYBERCHEF

CyberChef 通常是威胁狩猎的首选工具

CyberChef 是一个在安全行业中，众所周知的威胁威胁工具。该工具由被称为 GCHQ 的秘密机构在 2016 年发布，旨在分析和解码数据。你问是什么数据？虽然，它在发布时非常强大，但它的能力却只在不断增长。无论你想解码 XOR、Base64，还是像 Bacon Cipher 这样更奇特的东西，CyberChef 都能轻松做到。该工具，还可以自动检测数据中的各种类型的嵌套编码

这还不是全部，因为工具的作者正在努力实现取证、网络甚至是语言功能！这就是 CyberChef。该平台的真正力量在于它的 “recipe” 功能，它允许猎人将操作、输入、输出和参数链接到 “recipe” 中

8.5.2 RSS READERS

这与其说是一个单一的威胁狩猎工具，不如说是一个威胁狩猎工具类别：真正简单的联合（RSS）阅读器。了解新闻，对一个猎人来说是非常重要的。不过不是在谈论央视上的头条新闻。相反，他们都强调了关注热门安全网站的行业新闻的重要性。另外，建议关注宣布漏洞和补丁的供应商的网站，以及关注安全红队团队和漏洞发布网站作为优先事项

RSS 阅读器种类繁多，每个猎手都有不同的选择。然而，鉴于选择范围广泛，建议选择一个免费的

8.5.3 PHISHING CATCHER

网络钓鱼，仍然是企业面临的最大威胁之一。因此，威胁猎手推荐积极主动的威胁猎取工具 Phishing Catcher 也就不足为奇了。Phishing Catcher 是一个开源工具，用于近乎实时地检测网络钓鱼域名。它是如何做到这一点的？

它近乎实时地利用有关可疑颁发的 TLS 证书的数据。CertStream 的公共API发布了来自证书透明度日志（CTL）的数据。然后，Phishing Catcher解析这些数据，同时寻找用户定义的关键词，并对结果进行评分。这些关键字，可能包括可疑的术语，甚至是一个组织的名称或商标。Phishing Catcher 也有基于特定标准的评分，使威胁狩猎团队能够专注于真正的威胁

8.5.4 DNSTWIST

DNSTwist 是捕捉可疑域名的威胁狩猎工具。DNSTwist 是一个非常强大的工具，使用各种模糊算法来检测可疑的域名。DNSTwist 可以识别输入错误的域名、同形文字和国际化域名（IDN）。另外，还可以检测实时网络钓鱼页面，并对其所有结果进行地理定位，以识别奇怪的异常值

如果这还不够，DNSTwist 还能够进行恶意 MX 主机检测。这使该工具能够检测到被配置为错误方向的电子邮件的域名。攻击者，有时会利用这一点来获取有效的电子邮件地址或进行侦察

8.5.5 GNUPLOT

一个得到威胁猎手一致好评的威胁狩猎工具，是一个可以追溯到1986年的简单工具：gnuplot! Gnuplot 是一个开源工具，可以在二维和三维上绘制数据。为什么威胁猎手需要 gnuplot 这样的工具？

媒体经常把威胁猎手描绘成深陷在日志数据中，但这只是部分事实。在现实中，威胁猎手需要数据可视化来分析和识别统计上的异常值。这在数据驱动的狩猎中尤其如此

虽然，有些猎手喜欢用 Excel 来完成这项任务，但 gnuplot 显然是最受欢迎的。这是因为 Excel 使用的是图形用户界面，在处理海量数据时可能会有困难，而 gnuplot 是一个命令行工具。这使得猎人们可以向 gnuplot 输入大量的分隔数据，并让它立即输出结果

在谈到 gnuplot 时，猎人们几乎都会有一个警告。虽然它的界面非常强大，但它的学习曲线却很陡峭，请做好翻阅 gnuplot 使用手册的心理准备

8.5.6 ATTACKERKB

部分威胁猎人，将 AttackerKB 恰当地描述为 “攻击的尖叫声”，他们没有错。AttackerKB 是一种威胁狩猎工具，它提供了攻击者及其猎手需要了解漏洞所需的一切。包括漏洞披露、技术分析、结果、可利用性、易用性等

这些信息，使猎人能够识别新旧漏洞，并对其进行排序。另外，还可以使威胁猎手，弄清哪些漏洞适用于他们的组织

8.5.7 YARA

猎人们最常提到的威胁狩猎工具之一是 YARA。YARA 是一个具有有趣传统的工具。虽然，它的最初目的是用于恶意软件分类的，但这种格式已经成为猎手们的热门选择。这是因为以 YARA 格式编写的规则，可以被安全机制获取，用于检测恶意软件。这些规则也可以在 VirusTotal 等网站上使用，以找到特定的恶意软件，甚至是敏感的公司文件

有大量的工具可以利用 YARA，包括 YARAGenerator。YARAGenerator 允许威胁猎手为特定恶意软件样本，自动建立 YARA 规则

威胁狩猎，通常被认为是一种工具和密集型学科，而且也确实如此。但是，这并不意味着威胁猎手，完全依赖那些昂贵的商业工具。事实上，许多人更依赖免费工具。这些免费的工具使他们能够在没有大笔费用的情况下，解决大型复杂的问题

8.5.8 微软 Sysinternals 套件

链接：https://docs.microsoft.com/en-us/sysinternals/

这套工具在三个主要方面对威胁猎手非常有帮助：

• Process Explorer (进程资源管理器)：将 Process Explorer 视为一个高度先进的任务管理器，它允许猎手不仅可以查看进程，还可以查看进程已加载的 DLL，以及已打开的注册表项。这在寻找可疑和恶意的行为时，变得非常宝贵
• Process Monitor (进程监控器)：Process Monitor 类似于 Explorer，只是它更多地关注文件系统，并且可以帮助猎手发现可能发生的 “有趣” 变化
• Autoruns：这个程序非常适合帮助检测可能在启动时运行的可疑应用程序，这在寻找系统持久性迹象时非常方便

8.5.9 KANSA

链接：https://github.com/davehull/Kansa

另一个对威胁狩猎和事件响应，都非常有用的工具是 Kansa，它是一个自称为 “Powershell 中的模块化事件响应框架” 的工具。该工具有一项主要功能，而且做得很好。Kansa 使用 PowerShell Remoting “用户在企业的主机上贡献模块，以收集数据，用于事件响应、漏洞搜索或建立环境基线”

这可以使收集大量的数据变得更加容易，更重要的是，它还可以更快地建立基线。对于猎人来说，他们面临的最大挑战之一，可能是在他们的环境中建立 “什么是正常” 的基线。Kansa 可以帮助猎人，极大地加快这项任务的进度

8.5.10 KROLL 组件解析器和提取器 (KAPE)

链接：https://www.kroll.com/en/services/cyber-risk/incident-response-litigation-support/kroll-artifact-parser-extractor-kape

一个被IR专业人员和数字取证人员广泛使用的工具是 KAPE（或称 Kroll Artifact Parser and Extractor）。KAPE 允许安全分析师设置特定的 “目标”（基本上是文件系统中的特定位置），并自动解析结果，收集所有证据。但它并不只是一个美化的复制和粘贴的工具。它还通过关联和相关数据（如 EvidenceOfExecution、BrowserHistory等）进行解析，以加快分类和分析

然而，威胁猎手也可以从这个工具中看到很多价值，特别是如果他们试图在狩猎过程中从主机中收集相关信息时

8.5.11 GHIDRA

链接：https://ghidra-sre.org

如果你已经在恶意软件逆向工程领域混了一段时间，你可能熟悉 IDA Pro 和 GHIDRA 等工具，后者是由美国国家安全局设计的，GHIDRA 为安全研究人员提供了多种工具，例如调试器、十六进制编辑器和反汇编器等工具，而且这些工具全都完全免费

在威胁狩猎方面，使用这些工具来分析工具和恶意软件，并了解它们的内部工作原理可能是关键所在

8.5.12 REGSHOT

链接：https://github.com/Seabreg/Regshot

虽然我们的一些工具（如 GHIDRA 和 Sysinternals）在规模和范围上都是单一的，但 Regshot 恰恰相反。Regshot 类似于屏幕截图工具和 “diff” Linux 命令行工具，但却是针对你的注册表。它允许猎人快速、轻松地获取其注册表的完整 “屏幕截图”，然后进行第二次 “屏幕截图” 并找出不同之处

当猎人试图查看基线中发生的变化，甚至是重启之间可能发生的变化时，这可能非常有用。

8.5.13 UACME

链接：https://github.com/hfiref0x/UACME

UACME（或UAC-ME）是一个工具，它可以让任何人使用各种方法轻松击败 Windows 用户账户控制。我们绝对不是在纵容将这个工具用于恶意目的，但当你在寻找恶意行为的蛛丝马迹，并且你想建立检测内容时，这个工具可以大大简化这一过程

0x09 成功狩猎网络威胁的方法

网络威胁狩猎是威胁检测的一个分支学科，它依赖于对数据的主动和反复的搜索来识别未被发现的威胁。它通过各种机制和方法来做到这一点，通常是通过寻找统计异常值（在所谓的数据驱动的狩猎中）或可疑和恶意行为（在行为网络威胁狩猎中）。企业进行网络威胁狩猎，是为了识别环境中可能掩盖攻击者行动的奇怪活动，特别是在攻击者绕过了企业的防御措施之后。毕竟，攻击者只需要正确一次，而防御者则需要每次都正确

现实是，虽然企业继续投资于能够为其提供更高水平的内部可见性的新技术，但大部分的努力（和预算）仍然致力于外围。尽管企业环境中的可视性达到了前所未有的水平，但对许多攻击者来说，逃避 AV/EDR 工具或完全绕过它们仍然是小事一桩。而且，一旦攻击者能够逃避或绕过内部的主机防御系统，就更难检测到他们，也更难以阻止。事实上，他们可以成为机器中的幽灵

这就是为什么网络威胁狩猎，对于各种规模的组织都是绝对重要的。有了一个强大的网络威胁狩猎计划（通常称为狩猎团队），安全团队就更有可能在这些幽灵实现其目标之前发现它们

网络威胁狩猎已在很大程度上演变成了两个派系：

• 数据驱动：通常涉及使用统计模型来识别活动中的共性，也许更重要的是，统计异常值。当安全团队刚刚起步时，或者当猎人在不熟悉的领域开展工作时，这种类型的威胁猎杀可能是非常有价值的。数据驱动的狩猎面临的唯一挑战是，它不是基于触发的，所以狩猎团队可能真的是在大海捞针
• 假设驱动：通常涉及那些实践网络威胁狩猎的人，以建立一个半科学的假设，该假设可能涉及新的或新兴的威胁，以及他们观察到的战术、技术和过程（TTP）。与数据驱动的狩猎不同，假设驱动的狩猎是基于触发的。这意味着狩猎者，可以部署狩猎内容，并在特定时期后审查结果。这使得假设驱动的狩猎，远比数据驱动的狩猎更有效率

在谈论威胁狩猎时，企业可能会犯的一个最常见的错误，就是围绕着使用入侵指标（也称为IOC或IoC）。IOC，通常被定义为一个或多个来自入侵的数据点（如IP地址、域名、哈希值、URL、文件名等），并代表一个已知的威胁。正是因为 IOC 代表了一种已知的威胁，所以 IOC 通常不会成为真正的网络威胁狩猎的因素（通常不会将 IOC 其考虑在内）。相反，它们更常用于旧的防御方法（如威胁保护）。还应注意的是，虽然 IOC 在检测威胁方面很有用，但它们往往是过时的，且脆弱的（因为它们对于攻击者来说 “roll” (也称为刷新或更改) 是微不足道的）

9.1 网络威胁狩猎在现代 SOC 中的作用

关于网络威胁狩猎最常见的问题之一，是它在 SOC 中扮演的角色。虽然，新的和成熟的狩猎团队，可能会将网络威胁狩猎纯粹视为以前未识别的威胁检测手段。但是，随着企业的成熟，他们可以通过各种方式从网络威胁狩猎中实现显著的投资回报，特别是（具体而言）：

• 威胁检测内容
• 盲点识别
• 调查流程的建立

9.1.1 威胁检测内容

企业认识到网络威胁狩猎的投资回报率的第一种方式，也是最重要的方式，是威胁狩猎者在产生新的威胁检测内容方面发挥的作用。威胁猎手通常处于威胁检测的第一线。这是因为，从狩猎的本质来看，他们正在寻找绕过现有防御措施的威胁。当猎手发现以前未知的威胁或能够绕过现有防御措施的威胁时，他们应该开发可以部署在 SIEM、EDR、NDR和 XDR平台中的 “内容”，以确保在未来，传统安全资源可以更容易地处理该威胁

9.1.2 盲点识别

作为网络威胁狩猎的活动、研究和准备工作的副产品，猎手的价值之一是盲点识别。这种类型的识别通常发生在复杂的威胁狩猎之前，因为猎手会确定哪些数据源，将支持他们即将进行的狩猎。在此过程中，猎手们经常会注意到他们现有的日志记录，可能是不完整的或配置错误的，或者他们的安全防御措施没有能力收集所需数据的情况，并不少见。对于，通常只在危机期间发现此类问题的安全工程师和组织而言，此信息可能是非常有价值的

9.1.3 调查流程建设

与威胁检测内容的创建一样，威胁猎手在帮助 SOC 成熟其安全调查和事件响应流程方面，具有独特的优势。这是因为网络威胁狩猎通常对恶意软件和攻击者的 TTP 非常熟悉，如果这些知识能够被记录下来，并建立在专门的威胁处理流程中，安全团队将在调查和补救方面缩小差距

0x10 不应该相信的几个威胁狩猎误区

如果看官你，一直关注网络安全行业，你可能已经注意到 “威胁狩猎” 或 “威胁猎手” 一词出现得非常频繁。你应该问自己的问题是：“为什么？”

答案：

• 答案与网络安全行业中的大多数事情一样，取决于具体情况。一些企业有兴趣完善其安全运营，其他人则希望改进他们的整体威胁检测策略。另外，还有一些企业只是认为这个词 “听起来很酷”。然而，无论动机如何，围绕着威胁狩猎的话题，都存在着很多误解
  

注：威胁狩猎仍然是业界备受关注的话题。由于受到如此多的关注，所以这个行业出现了很多误解，尤其是关于威胁猎手的工作内容

• 为了让安全团队和有志于此的猎手们少走弯路，下面整理了一份清单，列出了人们对威胁猎手的一些最常见的误解或迷信，以及真实情况

首先，需要明白威胁狩猎活动可以为企业带来巨大的好处，而不仅仅是在环境中发现隐藏的主动威胁。如果定期进行，威胁狩猎可以为 SOC 的威胁检测能力提供额外的检测内容，并改进关于专门针对企业资产的威胁攻击者的战术、技术和过程 (TTP) 的遥测数据

通常情况下，即使在新兴的威胁狩猎计划中投入少量时间和资源，也可以实现这种长期的威胁狩猎投资回报率。与围绕威胁狩猎所建立的神秘感和误解相反，企业在开始从狩猎中获益之前，不一定需要超级高级的项目

虽然，在结构化狩猎中发现的更高级别的成熟度，肯定可以帮助威胁狩猎者更容易发现高级威胁，但每个企业都可以从适用于广泛安全团队的简单狩猎中受益。为了消除这些关于威胁狩猎的误解，并鼓励更多的团队涉足这一领域，我们来了解一下安全行业内普遍存在的三个最常见的威胁狩猎误区

10.1 威胁狩猎误区 1：需要在端点具有无限的可见性

很多时候，安全团队对开始威胁狩猎犹豫不决，因为他们对端点资产没有完整或无限的可见性。虽然，端点日志对于威胁狩猎肯定非常有价值，但它们绝对不是广泛狩猎的先决条件

从网络日志、DNS 日志和收集的有关网络活动的信息中，仍然可以检测到非常大的攻击面。如果企业正在迈出威胁狩猎的第一步，网络活动可以提供一个信息宝库，以供开始挖掘

10.2 威胁狩猎误区 2：威胁狩猎的成功取决于复杂的技术

另一个常见的误解是，威胁狩猎的成功取决于非常复杂的技术和方法。事实上是很多时候，简单的技术可以检测到范围广泛的隐藏威胁行为，这些行为可以完全绕过现有的安全机制。有一些非常常见的恶意技术，大量的攻击必须完成这些技术才能进行其整个攻击链

通过，专注于挖掘这些常见技术证据的命令和方法，简单的威胁狩猎活动可以收获很多有益的结果。例如：从 Microsoft Office 工具中寻找可疑子进程的证据。诸如 PowerShell 、cmd.exe、rundll32.exe 等许多其他东西是寻找攻击者针对用户进行网络钓鱼的好方法

10.3 威胁狩猎误区 3：需要具有多年经验的安全分析师或威胁狩猎人员

启动威胁狩猎团队的一大限制是，目前没有很多经验丰富的威胁猎手可供雇用。但是，安全团队可以使用现有的安全分析师和一些简单的工具，来启动一个基本的威胁狩猎计划

这些类型的资源很棒，它们可以加速威胁狩猎活动的收益，但在基础层面上，企业真正需要的只是了解网络上哪些活动看起来正常和良好。有了坚实的基线，就可以开始寻找异常情况，并在此过程中完善威胁狩猎技术

10.4 威胁狩猎误区 4：威胁猎手将大部分时间用于威胁狩猎

这可能会让很多人感到惊讶：特别是因为 “威胁猎手” 实际上就是这个职位。但现实是，很多其他的准备工作（就我而言，称其为 “狩猎前” ）都是为了制定狩猎计划。这可能涉及有趣的事情（如研究、测试和开发等），但也包括更多平凡的工作（如获得批准、开发文档或说服业务团队添加新的日志源真的很重要）。所有这一切都是在说，威胁猎手的很多时间都没有花在威胁狩猎上，而是花在了为狩猎做准备上

但乐趣并没有就此结束，因为即使在狩猎之后（就我而言，称其为 “狩猎后” ）威胁猎手也可能会记录他们的狩猎，向管理层展示他们发现的成果，并为他们的 SOC 构建威胁检测内容和剧本。因此，尽管威胁猎手确实在进行狩猎，但他们的大部分精力通常都用于狩猎前和狩猎后的活动

10.5 威胁狩猎误区 5：威胁猎手使用 IOC 来寻找恶意活动

让我们现在就把这个问题说清楚：威胁狩猎不使用 IOC（或入侵指标，如IP、域名和哈希值）。相反，威胁狩猎寻找的是可疑的异常值、异常现象，以及最重要的行为（例如，威胁猎手并不关心你收到的附件，是否具有以前在恶意软件报告网站上观察到的哈希值，以及是否被 16/54 个反病毒引擎标记）

例如：他们关心的是，当你打开同一个附件时，它产生了一个子进程 “cmd.exe”，该子进程会进一步启动 PowerShell.exe，并尝试创建一个网络连接。这些都是威胁猎手，为识别恶意活动而寻找的行为

10.6 威胁狩猎误区 6：威胁猎手需要专门的平台来狩猎

如果你在过去的 24 个月里参加过一个（虚拟）安全产品展会，你可能已经看到有公司提供所谓的威胁狩猎平台。看到这里，你会认为你需要这样一个平台来进行威胁狩猎。然而，跟真正发生的实际情况不一致，甚至相差甚远

虽然，你可以使用威胁狩猎平台进行狩猎，但它们不是必需的。事实上，最先进的狩猎模式（所谓的行为狩猎），通常是使用 SIEM、EDR 和 NDR 工具等传统技术进行的。这并不是说这些 “平台” 没有用处，尤其是它们的可视化功能，但这些通常可以通过像 Gnuplot 类似的免费工具来实现这些功能

10.7 威胁狩猎误区 7：企业需要EDR、NDR、XDR 或<嵌入工具或功能>来进行威胁狩猎

威胁狩猎，通常被描述为一种可视化的游戏。毕竟，你只能狩猎你在端点和网络上看到的内容。然而，这并不是说企业需要任何特定的技术来进行成功的狩猎。相反，企业需要评估他们现有的日志记录，看看他们可以立即使用哪些数据，并尝试不同的分析方法，如频率分析、数量分析、聚类分析、分组分析或堆叠计数（堆叠）

10.8 威胁狩猎误区 8：渗透测试人员和红队人员是最好的威胁狩猎

一个常见的误解是，进攻型安全专家是最好的威胁猎手。这是因为，逻辑上讲，作为威胁猎手，他们具有了解真正攻击者的独特资格。 但实际情况是，威胁猎手来自各种不同的背景，其中许多人来自 DFIR（数字取证和事件应急响应，即 DFIR：Digital Forensics and Incident Response）和网络空间安全领域

这是因为威胁猎手，不仅仅需要了解他们的攻击者，他们还需要了解环境，以及当攻击者与环境交互时，从证据的角度看，环境是什么样的。拥有网络空间安全领域的背景，特别是 SIEM 安全领域背景，在建立可靠的狩猎和检测内容时，也会有很大的帮助

从所有上述这些误区中吸取的教训应该是，威胁狩猎并不是孤注一掷的事情。是的，高级威胁狩猎确实需要更高水平的复杂性和投资才能实现。但是，开始走出去，并以任何可能的方式进行狩猎是非常值得和有益的

不要止步于此，你要去了解威胁内容，而不是自动化和如何推动有效威胁狩猎的文章

0x11 危害网络安全的三大常见误区

“一劳永逸” 的网络安全时代可能已经一去不复返了，但围绕 “主动防御” 的迷雾仍然很浓。下面介绍了企业在建立威胁狩猎能力时最常犯的三个错误

11.1 没有认识到安全是人类的一种游戏

计算机不会入侵计算机，是人为黑了电脑。在另一端的人试图窃取你的数据、破坏你的服务器或损害你的声誉。当你的防御能力专注于构建静态防御和响应事件时，会发现自己一个人远远不够

更具体地说，风险评估、防火墙、电子邮件拦截器和访问控制设备等都只是静态防御。它们是你在你的土地周围建造的墙，以防止坏人进入。但是当你建造一堵墙时，坏人会通过学习如何越过、穿过或绕过它来适应。这个游戏在本质上是高度动态的，你的安全架构师将评估环境并部署防御措施，但他们如何知道防御措施是否有效呢？

威胁猎手是安全技术娴熟的人，他们的唯一任务便是寻找、发现和跟踪网络内外的坏人。他们建立 “案例档案” ：谁在试图进入？他们试图做什么？他们使用了什么技术？最重要的是，他们已经破坏了哪些资产。只有当所有的证据都被收集起来时，才是终止黑客的正确时机

11.2 威胁猎手不需要对你的网络进行 “写入” 访问

威胁猎人不是事件响应者。你不应该用威胁猎人取代你的事件响应者，也不应该让你的事件响应者承担威胁狩猎的责任。威胁猎人需要收集遥测数据，并分析这些遥测数据。他们不是要 “行动” 的人。威胁猎手的工作成果是一份包含所有收集到的证据和推荐的（反）攻击计划的文件

考虑到威胁的严重性，威胁猎手当然不应该单独行动。事件响应者应该审查和实施对收集到的入侵证据的适当响应。由于大多数攻击者会很快在你的组织中获得不止一个立足点，因此猎手找到所有攻击者非常重要——在要求响应者关闭攻击者之前

事件响应本质上是非常被动的。网络狩猎是主动和调查性的

考虑到威胁的严重性，网络猎手当然不应该单独行动。 对收集到的破坏证据的适当反应是事件响应者应该审查和实施的。 由于大多数攻击者会很快在你的组织中获得不止一个立足点，所以在要求响应者终止攻击者之前，威胁猎手必须找到他们所有人

11.3 可见性是王道

“一些” 遥测数据是不够的，你需要所有的。简单地收集日志或警报数据，将使你对聪明的攻击者完全视而不见。这也还会使你的威胁猎手变成事件响应者。请记住，“没有入侵的证据” 并不等同于 “没入侵的证据”

同样重要的是要认识到，威胁猎手明天需要的数据今天可能并不明显。那么，你为威胁猎手提供可见性的能力越好，则就越有机会保卫你的网络。这意味着收集数据包、日志、NetFlow，并将其与组织内外的威胁情报进行比较

收集 “所有” 这作为遥测数据的意思是：保留这些数据！如果没有找到直接证据，请不要收集、汇总和丢弃它。相反，对所有数据保留数周甚至数月的取证历史。猎人经常会发现自己正在寻找几周前不知道的东西

最后：尽量让你的遥测数据收集，尽可能多地处于 “带外” 状态。如果对数据源的保护越好，攻击者就越不可能得到它们。一旦黑客进入你的遥测系统，你的猎手就会失明

0x12 阻碍当今威胁狩猎的三个因素

现在，企业越来越了解主动寻找潜伏在其环境中的网络威胁的好处。根据 Cyber​​security Insiders 最近的一项研究表明：当今大约 83% 的安全专家认为，威胁狩猎应该是他们安全计划的主要组成部分

问题在于，大多数企业只是勉强跟上安全检测和响应的现状，更不用说改变他们寻找威胁的方式了

同一项研究表明，70% 的企业承认他们没有足够的时间在其安全运营中心 (SOC) 中搜索新兴和高级威胁。更有说服力的是，只有大约 15% 的 SOC 员工，以任何身份参与威胁狩猎工作

正如我们所看到的，有三个主要因素阻碍了企业当今在威胁狩猎方面，所取得的进展：

1）不合格的信息过多

SOC 安全分析师正淹没在低质量、未经审核的威胁数据中。深入研究当今供应商提供给 SOC 的典型威胁情报源，会发现一长串入侵指标 (IOC)，其中塞满了标记为恶意的 IP 地址，这些 IP 地址的上下文、时间或原因为零标记为“恶意”。由于攻击者不断改变他们的基础设施和行为，这些 IOC 的 “新鲜度” 有限，而这些数据仍然相关。不幸的是，当今的许多威胁情报，并没有将这种 “衰减模型” 的上下文添加到流向传输给分析师的信息中

这不仅增加了误报和漏报的噪音，而且通常使威胁猎手，难以迅速将其环境中活跃威胁产生的相关线索之间的点联系起来

2）过度依赖机器学习和人工智能

与此同时，网络安全领域的供应商夸大了机器学习 (ML) 和人工智能 (AI) 的承诺，将其视为对大量不合格安全数据存储库挥舞的铁棒。营销口号是：你可以让 ML/AI 引擎完成数据的清理、规范化和上下文化数据的工作

然而，事实是 ML/AI 依赖于算法训练才能正常工作。因此，ML/AI 的好坏取决于输入模型和规则集的数据，以及设计规则集的人员。目前，该技术对于威胁狩猎来说还非常初级，而且很可能会在很长一段时间内保持这种状态

3）网络安全技能短缺

牢记 ML/AI 的局限性，大多数网络安全老兵都明白，我们要找到最严重和最隐蔽的高级威胁的唯一途径是通过人的力量来猎取威胁（威胁狩猎）。人最能力适应攻击者不断变化的策略，通过了解原始数据，就有可能找到最相关的活动，并跟踪攻击链，以找到隐蔽的攻击。高级的威胁猎手能够根据这些数据，创建自己的自定义内容来推动他们的狩猎活动

然而，安全技能的短缺，使得每个组织都不可能建立起由专业专家组成的团队，以投入他们所需的时间来开发这些内容和运行威胁狩猎活动

总结：打破网络安全现状

上述了三个阻碍当今威胁狩猎的三个因素，那么该如何打破当今的网络安全现状呢？这些对威胁狩猎的阻碍，让企业不得不寻找突破网络安全现状的催化剂。这种催化剂的关键因素是以人为本的内容，帮助企业使用他们已经拥有的安全工具和内部已有的人员，将未经审查的威胁情报和搜索活动在他们的环境中进行上下文处理。有了正确的上下文内容，企业就不必争先恐后地将威胁狩猎活动外包或雇用大量内​​部威胁狩猎人员

12.1 思考

从 “如何创建威胁狩猎流程？” 来思考红蓝对抗，如何磨砺蓝队威胁狩猎的成熟度？

• 数据收集、标准化：这在威胁狩猎流程中是非常重要的，没有高质量的数据很难帮助蓝队追踪威胁。那么我们需要采集什么样的日志，什么样的日志满足蓝队的狩猎需要？这是每一个蓝队成员都要思考的问题
• 建立建设：为什么需要建立假设？当一个新的业务上线，蓝队都需要去评估自己的系统。假设可能存在哪些风险，从攻击者的角度思考通过哪些方式攻击过来（未知攻焉知防），重点关注风险点
  • 是不是觉得此时就 OK 呢？当你准备好一切，准备大干一场的时候，会发现总会有各种各样的问题，导致你无法准确地进行狩猎。具体什么原因就不多说了，每个人的情况可能不一样。理想和现实，现实会给你一大嘴巴子
• 识别威胁：蓝队在发现威胁之后，如何识别红队现在在做什么？下一步要做什么？这很重要，并不是所有的解决方案都是拔网线、断网
• 响应：当蓝队发现红队的攻击程度之后，蓝队就可以进行适当的响应

狩猎分析：构建攻击图 → 确定对其他系统或信息的依赖关系 → 分析资产及其互连的潜在攻击路径 → 根据严重程度对任何潜在漏洞进行评级

狩猎策略：

• 这种狩猎可以自动化吗？
• 这种狩猎可以重复吗？
• 此狩猎中的指标是否由其他服务监控？
• 我们是否已经对这些指标进行了强化？

12.1.1 灵魂拷问

• 未知威胁如何检测？

这个问题就是一个悖论。通常，企业购买了各种安全产品，但能够检测的都是已知威胁。对于已知威胁，企业会将其制定成为规则，在攻击者再次攻击时根据规则进行匹配。而未知威胁是根本不知道攻击者是如何入侵的。在这种情况下，该如何检测攻击者入侵呢？

• 告警如何确认和分析？

现在，很多企业都采购了各种各样的安全设备来提高其安全防御能力，但随之而来的是产生了大量的告警。对此，企业需要确定以下3个问题：

1）首先，这些告警是真的还是假的？怎样确认呢？

2）其次，攻击者在机器上的权限驻留通常是多点驻留，
即使命中其中一个检测规则，攻击者还能通过其他驻留点随时回来

3）最后，在安全设备发出告警时，攻击者可能已经做了很多事情，
比如窃取凭证、留下更多的后门等，怎样从一条告警就知道所有这些情况呢？

• 怎样找到攻击者在内网里留下的其他控制点？

当企业的某台机器发出一条告警时，攻击者可能已经在企业的内网中入侵了几十台机器。但企业会怎样处理这条告警呢？

他们会确认这个告警是真实木马或真实攻击，但因为攻击者往往会清除自己操作的痕迹，所以安全人员也不知道他们是从哪里进入的

作为权宜之计，安全人员只好先把这个后门删除，或者把机器下线。负责任的安全人员可能会找不同部门的很多相关人员，在各种设备上调查日志进行分析

但是绝大部分安全人员最后调查不出个所以然，然后不了了之，其实他们不知道攻击者还在很多台机器中留了后门。如何从一条线索、一条告警还原网络攻击的“案发现场”，追溯到攻击者在内网的其他控制点？

企业很少能够真正解决这几个问题，如果这几个问题没有解决，那么意味着什么呢？

企业发现真实攻击的能力很差。虽然安全人员看到了大量的告警，但调查后发现都来自蠕虫或自动化扫描测试，实际上并没有发现真实攻击

即便安全人员发现了真实攻击，他们也无法彻底解决问题，无法将攻击者彻底从系统中驱除。攻击者往往是多点驻留的，即便企业解决了其中一个问题，攻击者依然长期驻留在内网中，而且更加有恃无恐

由于企业缺乏对全局的分析，只能看到单点问题，在遭受攻击之后无法确认损失，因此，企业很难对整体损失作出准确评估

注：在当前网络攻防实战化水平不断提高的情况下，这3个问题是很多企业现在没有解决、也很难解决的问题。对此，企业应该怎样补齐自己安全体系中缺失的部分呢？其核心在于变被动检测为主动分析，用威胁狩猎弥补企业在这些方面的短板

0x13 构建可重复的威胁狩猎流程

威胁狩猎作为一种实践，通常会识别隐藏在环境中的新威胁或以前未检测到的威胁。借助正确的工具、数据和时间，熟练的威胁猎手能够 “发现传统安全防御措施遗漏的问题”。这种做法，为企业的安全计划提供了特俗的深度，但它也是安全团队建立的最昂贵，且开发最慢的功能之一

为了实现这项工作的投资回报 (ROI)，安全领导者应该牢记，如果做得好，威胁狩猎计划不仅可以作为抵御，所谓的高级持续威胁 (APT) 的后盾。最好的安全计划，是将狩猎团队整合到整个安全运营生命周期中。通过这种紧密的集成，安全运营团队可以利用成功狩猎的输出，作为其他团队的输入，最终推动更好的检测、提高效率，并降低企业的安全风险

威胁狩猎最明显的共生关系之一，是与蓝队中的传统防御者的关系。理想情况下，成功狩猎的结果可以作为威胁检测内容创建的关键输入，这将使我们能够更快地检测环境中范围更广的攻击者、工具集和恶意软件

另外，随着企业努力使他们的威胁狩猎流程更加成熟，他们越来越发现，可靠的威胁狩猎内容是他们努力的核心所在

根据 SANS Institute 的一项研究，当企业被问及需要改进哪些方面，以使威胁狩猎业务成熟时，前两个答案是增加：

• 合格的员工进行狩猎 (53%)
• 通过情报来源和工具中增强上下文关联 (51%)

威胁狩猎内容有助于直接解决第二点。它也有助于解决人员配置问题，因为它可以提高现有员工的工作效率。这种内容与威胁情报有很大不同。威胁狩猎内容是主动的，它所做的是对来自众多来源的原始威胁情报，进行操作和上下文

13.1 安全威胁建模

注：威胁狩猎的核心首先是人，其次是数据，最后才是自动化

威胁建模主要含有资产（主机/系统）、威胁（攻击行为）、漏洞几个主要元素，通过识别威胁和制定保护策略来保证信息CIA (机密性/一致性/可用性) 三要素。例如：资产（Assets）受到各种威胁（Threats）影响，这些威胁可能是黑客等人为因素，也可能是火灾地震等自然因素。威胁通过利用系统的脆弱性（Vulnerabilities）可导致暴露（Exposure），形成风险（Risk）。适当的对策是使用防护措施（Safeguards），缓解风险使资产得到安全保障，整个建模过程形成一个闭环

大家应该都听说过威胁建模，当然对于威胁狩猎来说，也并不例外。它也需要对安全威胁进行建模，毕竟在一个复杂的IT环境中，首先需要有威胁假设的测试用例，然后将这些假设的测试用例来进行威胁建模。大致分为四个步骤：

• 谁是想攻击设备的恶意攻击者？
• 恶意攻击者的动机？
• 敌人的目标？
• 恶意攻击者，攻击成功后会造成什么影响和损失？

基于上述说的这几个步骤，进行初步思索，会使用一些比较缜密的业内流行的安全威胁攻击的生命周期的框架，例如 MITRA ATT&CK 矩阵

例如：Mitre ATT&CK 的企业矩阵，将所有的安全威胁攻击都通过战术，技术和流程等方式有条理地进行梳理。比如在下面的表格中，表头包括初始的入侵，入侵后的执行，提权操作。在你的网络中发现，网络中信息往外的渗透，并执行一些命令和控制。上面都是一些战术，这些战术可以分阶段地组合成对我们企业IT资产和服务人员不同的攻击行为。在每一个战术中，也就是每一列，都分别列出了不同使用的技术，这些攻击技术中都是使用这种字母排序的形式给我们做梳理和展示

13.2 如何自动化进行威胁狩猎？

理想情况下，狩猎团队不应该重复狩猎以持续检测相同的威胁，而是应该重复使用相同的技术来检测新威胁。为了避免重蹈覆辙，威胁猎手、事件响应者，以及逆向工程师，应该合作开发新的或丰富现有的检测内容，这些检测内容直接来自他们在整个过程中收集的信息。然后，可以将此内容推送到企业的传统安全措施中，并由向前推进的传统防御者处理

另外，高级威胁猎手很难找到，而且要留住也很昂贵。经验丰富的安全分析师要成为高级威胁猎手需要数年时间，但企业等不起。正因为如此，很多安全厂商建议用自动化来解决人才短缺的问题，但也存在致命的缺陷，该缺陷就是自动化依赖于人工输入

首先，让我们讨论一下自动化及其含义。这一点很重要，因为大多数工具和安全团队已经在某种程度上实现了自动化。每次 AV 阻止一个文件，或者 NIDS 或 SIEM 生成警报时，这都是一种自动化技术在起作用。因此，说自动化 “不起作用” 是不真实的。它不仅起了作用，而且自动化可以节省大量时间

但是，当人们说“威胁搜寻可以完全自动化”时，他们并不是在说这个。相反，他们经常谈论“从摇篮到坟墓”的自动化。将分析师从等式中完全移除，用简单的编程逻辑取而代之。而在这一点上，这是不可能的

但是，当人们说 “威胁狩猎可以完全自动化” 时，这并不是他们在谈论的。相反，他们往往在谈论 “从摇篮到坟墓” 的自动化。将安全分析师完全从方程式中移除，用简单的编程逻辑取代安全分析师。而在这一点上，这是不可能的

接着，说到自动化进行威胁狩猎，首先需要解释一下被动检测和主动分析的区别

• 被动检测：指的是通过防火墙、IPS、杀毒软件、沙箱、SIEM等安全产品产生的告警来发现问题。因为这些告警是基于规则的，这些规则被内置在安全产品中，一旦有数据符合这些规则，安全产品就会发出告警。所以，这种方式是被动的，只能发现那些已经被人知道的威胁，对于新出现的威胁，它就无能为力了
• 主动分析：基于各种安全设备提供的数据来做更细粒度的关联分析。对于主动分析，有些安全分析人员专门从海量的数据中分析威胁线索，建立关系图像，来预测攻击发生的时间等等。在网络安全领域，主动分析通常被用在威胁狩猎的系统里

所谓的威胁狩猎其实就是在安全分析之旅当中一个比较高阶，最顶层的威胁情报集成和管理的工作。其实检测规则以及上文所提到的所有内容都还是基于人为对已知攻击模式的检测和判断

在采取主动的网络威胁狩猎计划之前，请完成以下四个必要的操作：

• 构建架构：组织必须有能力在规划、建立和维护其系统时考虑到网络安全
• 实施被动防御：应将入侵防御等系统添加到你的基础架构中，以提供可靠的威胁防御（一旦配置），而不需要持续的人工交互或干预
• 开发主动防御：为人工分析师定义流程，以监控网络内部数据、对任何访问进行分类，并主动响应任何事件，以遏制和消除威胁
• 推动情报工作：最后，数据收集应被用来学习组织如何更好地利用信息，以获得洞察力和内部情报

通过机器学习功能，对于我们现有的所有的安全数据进行异常检测，通过它来帮我们探测到那些未知的安全事件的隐患，这些安全事件的隐患通常会存在于一些异常的用户行为、主机行为、网络行为或应用行为当中。我们通过人工加机器学习的方式，更加强化了我们安全运维的能力，可以将威胁狩猎的工作做得更好

基于Elastic Stack进行威胁狩猎的工作，我们首先会聚焦在多数据源的关联分析上，将黑客的一些攻击的模式通过已知的安全情报或者模式匹配的方式把它暴露出来，并且通过人工的方式对已有数据元的关联分析，把它所有发生过的一些安全隐患的事故都暴露出来。我们可以基于机器学习，对于一些人无法分析到的，或者我们未知的一些潜在威胁做一个基于机器学习的判断。机器学习不仅是可以按需去调用的，而且它也可以把我们的一些安全规则内置到到它探测检测的过程当中，从而为我们检测出我们可能不知道的一些潜在风险和威胁

自动化程度是威胁狩猎成熟度的标志性特征，怎样从手工狩猎达到自动化狩猎呢？IBM的两位研究员推荐一个开源项目Kestrel，一种用于威胁狩猎的编程语言，提供了一套对狩猎目标进行描述的表达语法，威胁猎人只需输入狩猎目标，Kestrel会实时输出狩猎结果。Kestrel提高了自动化狩猎的程度，帮助威胁猎人进行更高效地狩猎

归根结底，软件无法与人类智能相提并论。机器学习和自动化占有一席之地，但它们仍然需要人类在最后一刻做出准确遏制和响应的决定。此外，现代威胁行为者很聪明，知道如何利用这些盲点。他们的整个团队每天都在寻找滥用、利用或绕过 IT 安全工具的方法。您怎么能指望仅靠自动化就能击败它呢？

13.2.1 误报、自动化和人工分析

如果你与任何安全分析师交谈，问他们关于误报的问题，你很可能得到一个非常坦率的答案，这个答案很可能是肆无忌惮的挫败感。他们会告诉你，他们的安全团队支付了行业中最顶端的一些安全技术。这些安全技术已经经历了无数次的升级和更新的技术。该技术已承诺解决所有安全问题。然而，即使有了这些技术，安全分析师们仍然会继续看到大量的误报。请记住，这只是传统的安全分析，处理的是众所周知的威胁

这是我们仍然依赖安全分析师的重要原因之一。安全分析师，能够以超越简单布尔逻辑，甚至模糊逻辑的方式来查看这些警报，并考虑这些威胁是否为众所周知的。威胁狩猎是在研究未知的威胁，通常是基于未知的行为。这意味着威胁狩猎团队，将在他们的环境中发现误报。该行业仍然依赖人工进行传统分析。那些说 “威胁狩猎可以完全自动化” 的人，必须考虑误报对业务的影响

13.2.2 人工智能 (AI) 和机器学习 (ML) ：人与机器的对决

讨论自动化时提出的另一个话题是机器的崛起。声称有了人工智能 (AI) 和机器学习 (ML)，机器将变得足够聪明，可以取代安全分析师。事实上，越来越多的供应商会告诉你，有了他们的人工智能 (AI) 和机器学习 (ML)，威胁狩猎可以完全自动化！而现实是，人工智能肯定有它的优势，但依然在较长一段时间内很难替代人工进行分析，具体原因可以之前我们已经说过了

但人工智能 (AI) 和机器学习 (ML) 解决方案也有一些很大的风险，如反转攻击、偏见和模型漂移。但即使在这些风险之外，当公司购买人工智能 (AI) 和机器学习 (ML) 产品时，人工智能 (AI) 和机器学习 (ML) 也有一个很大的局限。这些安全产品往往是黑盒子，通常甚至比许多其他产品更重要。这意味着虽然其中一些产品可以抵御攻击，但它们并没有真正解释它们在做什么或为什么这样做。这意味着，企业往往在很大程度上受产品和供应商的摆布。另外，他们可能无法识别真正的安全问题

最后一块才是关键。威胁狩猎不仅是为了发现恶意活动（尽管这是一个重要部分），它还与识别关键弱点和漏洞有关。猎手通常是第一个在环境中发现新漏洞的人。因此，依靠人工智能 (AI) 和机器学习 (ML) 解决方案可能会提供短期的保护，但它是以牺牲长期防御为代价的

0x14 威胁狩猎体系

威胁狩猎是一种主动发现和补救未被发现的网络攻击的方法。威胁狩猎过程包括搜索失陷指标（IoC）、调查、分类和补救。威胁狩猎可以是基于IoC驱动，也可以是基于假设驱动的，即从最初的假设或问题开始狩猎，例如，我们是否受到了传闻的攻击活动的影响？

对于威胁狩猎，首先要进行观点上的转变，其核心在于从认知攻击者转向认知自己。通常企业的业务是有规律的，即便企业的业务会产生很多数据，如果安全人员持续观察自己的业务，那么也能够发现自己内在的细微变化

无论攻击者采用哪种方式入侵企业，入侵之后定然会破坏系统或者窃取数据，这就会导致业务运转规律被破坏或者产生异常。如果安全人员将精力集中在自己身上，就能够深度地了解自己，找到属于自己的规律，对于攻击者的风吹草动都能够反映出来。这就是威胁狩猎的核心思想，它是基于对自身细粒度数据的采集，通过深度分析总结出来的规律和自己运转的状态来发现异常情况

可以尝试在威胁狩猎理论基础上，加入了威胁诱捕和反制能力环节（循环：威胁场景假设 —> 攻击工具/技术调查取证 —> TTP发现与转换 —> 持续改进与自动化处置 —> 全球诱捕与监控），通过对攻击者进行反制能够更充分的了解到攻击者的战略意图和战术目的，从而丰富和增强情报数据。狩猎活动基于经验、情报和数据三个维度驱动

另外，基于威胁场景的假设。首先要建立在完善的威胁狩猎体系中，才能在威胁狩猎体系中进行后续的狩猎过程。可以依托自身完整的安全产品线设备和健全的安全服务能力建立完整的狩猎数据基础，并借助多年积累的威胁情数据，结合安全研究院对攻防的理解和经验形成的知识库，建立完整的威胁狩猎体系，支撑从行为、风险、环境等多个维度进行威胁狩猎

14.1 威胁关联分析

需要做出威胁假设，在生成威胁假设后，可以根据使用的任何平台搜索攻击。需要知道是，这些威胁假设并不是凭空进行假设，而是将资产、环境、知识、行为、告警、情报等数据，通过关联分析找出线索，使用线索进行威胁假设

通常，数据中会包含攻击者攻击的结果、目标和使用手法，这些数据无序的分布在浩瀚的数据中。将所有的数据的威胁特征、行为特征结合产生的环境进行特征抽取和数据归一，结合知识库和情报数据对威胁数据进行关联并提取可疑线索。线索包括攻击者的所处环境、使用手段、攻击技术等特征。研究人员通过这些线索特征大致推断攻击者的意图，并对威胁场景进行假设

下面是绿盟威胁关联分析的示例图片：

14.2 情报知识库建立

基于知识组织层次模型进行情报知识库构建，自顶而下定义情报知识库框架，分为信息层、知识层和智慧层

• 信息层：作为知识库的基础基于STIX2.0表示方法，使用云沙箱，威胁告警规则形成基础的知识库信息层。信息层抽象出 21 个知识本体和 963481 个知识实体
• 知识层：利用MITRE定义的ATT&CK框架利用信息曾数据，将攻击模式、威胁指示器、恶意代码、战役等情报数据进行关联抽象形成知识层
• 智慧层：每次狩猎过程中验证完成的威胁主体（攻击者/组织），包括威胁主题的战略战术、影响和危害

下面是绿盟情报知识库建立的示例图片：

14.3 全球诱捕系统

通过在全球范围内部署威胁诱捕系统，对攻击者/组织进行全方位的诱捕和监控。诱捕数据结合知识库通过威胁研判和分析，对已知攻击者进行实时监控，对未知攻击者进行及时发现。诱捕节点遍布世界五大洲，涵盖了20多个国家，致力于通过部署在不同的地区，更加全面的捕获威胁攻击，增强威胁狩猎能力

14.4 威胁狩猎平台的目的

威胁狩猎是一个重要的威胁发现过程，狩猎的结果可以作为高可靠的情报供企业进行安全防护和威胁监控

目的：旨在能够让 Hunter（威胁猎人）在一个统一的自动化平台上使用海量威胁数据完成威胁狩猎过程。使用工作平台检索威胁数据，结合知识库发现威胁关键线索，利用线索进行威胁假设，并结合全球诱捕系统进行威胁狩猎系。狩猎成功后，将发现的已知或未知的威胁和影响范围以情报的方式输入至威胁情报平台。并将攻击者信息作为全球诱捕系统的输入对攻击者进行持续监控。下面是绿盟威胁狩猎系统的示例图片：

0x015 威胁狩猎难题：安全团队面临的挑战

不可否认，威胁狩猎作为一个话题，已经吸引了全球网络安全（和营销）专业人士的想象。为什么不呢？

主动狩猎有机会帮助提升和成熟安全运营，同时给网络攻击者带来难以想象的痛苦。因此，许多企业已经预留了大量的资源来建立他们的狩猎能力，并确保他们的努力从正确的角度开始。然而，尽管如此，许多企业在建立一个威胁猎狩猎团队时，仍将面临一些非常大的障碍

诚然，主动狩猎已成为近几年安全团队的一个关键话题。同样真实的是，组织也开始认识到狩猎可以为他们带来的价值，因此正在预留资源，以确保他们的狩猎工作能够取得成功。尽管有这两个事实，组织仍然面临着巨大的挑战。通过了解下面的列出的这6个挑战，可以让组织避开这些挑战，并确保他们的威胁猎手为狩猎成功做好准备

15.1 挑战 1：威胁狩猎的预算限制

狩猎的定义和理解往往很模糊，尤其是高层领导。通常，不清楚它如何与合规性和最佳实践框架相结合。因此，威胁狩猎通常是预算的“最后一名”，只获得分配给蓝队和红队的一小部分资源。大部分的预算用于最大限度地增加员工人数，但大多数狩猎团队熟练的全职员工仍然非常少

15.2 挑战 2：狩猎技能差距

技能差距影响着网络安全的所有领域，但很少有领域能像狩猎这样敏锐。全世界自称是威胁猎手的人很少，而拥有全套完整技能的人更少。因此，大多数团队的人数较少，而且不能像他们希望的那样尽可能多的狩猎

15.3 挑战 3：缺乏用于威胁狩猎的专用资源

SANS 2020 威胁狩猎调查发现，75% 具有威胁狩猎能力的组织，使用担任其他角色的员工（通常是在 SOC 和 IR 团队中）。这比不进行威胁狩猎要好，但却很难定义一致的、可重复的流程，并建立有效的狩猎

许多 SOC 和 IR 安全分析师，完全有能力发展狩猎技能。然而，狩猎是一个不同的职业，有自己的认证和资格。当被迫在两个职能之间分配时间时，安全分析师就几乎没有剩余时间来发展他们的技能，并获得必要的认证

更糟糕的是，大多数 SOC 和 IT 团队已经面临着难以管理的工作量的挑战。当他们被迫分身乏术时，组织的安全状况就会受到影响，因为安全问题可能会被遗漏掉

15.4 挑战 4：威胁情报不适合狩猎

大多数具有搜索能力的组织都有一个网络威胁情报 (CTI) 团队。然而，除非 CTI 团队完全成熟，否则它不会包括具有广泛技能的人员，以产生与行为和 TTP 相关的威胁情报，为威胁狩猎提供信息

例如：为狩猎提供信息所需的核心能力是恶意软件分析（如逆向工程）。全面了解恶意软件的作用及其工作原理，对于寻找其使用的 TTP 至关重要。但是，这是一种极其不常见的技能，大多数CTI团队无法保留的技能组合

沙盒，是解决此问题的常见尝试，但许多恶意软件可以绕过这种方法，使威胁猎手没有足够的情报，来通知他们的狩猎

15.5 挑战 5：合法性的差距

随着 IT 环境越来越复杂，在其中观察到的行为也越来越复杂。这导致了什么是合法的知识差距越来越大，甚至在熟练的威胁猎手之间也是如此。猎人可能会观察到一些看似不寻常的行为，但由于架构的不断变化，这可能是合法的。这对于狩猎团队来说是一个挑战，他们必须不断地了解不断变化的内部条件和行为

15.6 挑战 6：混淆的术语

在整个安全行业中，对 “威胁狩猎” 的含义缺乏一致性。为清楚起见，以下是最常被描述为威胁狩猎的三种活动：

• IoC “狩猎”
• 非结构化威胁狩猎
• 结构化威胁狩猎

根据定义，狩猎可以搜索未知的威胁。威胁猎手搜索以前未被检测到的活动，这些活动与检测能力或警报无法发现的恶意组件和行为相关联

IoC 与已知威胁有关。如果一个威胁是已知的，则它属于检测和警报能力的参数，而不是狩猎

参考链接：

https://toutiao.io/posts/yfruuzd/preview

https://blog.csdn.net/juminfo/article/details/112374200

https://blog.csdn.net/qq_36334464/article/details/101776101

https://developer.aliyun.com/article/162931

https://securityintelligence.com/posts/threat-hunting-guide/

http://blog.nsfocus.net/%E5%AE%89%E5%85%A8%E7%9F%A5%E8%AF%86%E5%9B%BE%E8%B0%B1-%E5%A8%81%E8%83%81%E5%BB%BA%E6%A8%A1%E5%8A%A9%E5%8A%9B%E4%BC%81%E4%B8%9A%E5%BB%BA%E9%98%B2%E5%BE%A1-%E6%8A%93%E8%BF%90%E8%90%A5/

https://www.qingteng.cn/think-tank/att-ck/62b2d5f0ffd81a003bb0d3cf.html

https://y1ng.org/2022/05/22/MITRE%20ATT&CK%E5%AE%9E%E8%B7%B5%E5%85%A5%E9%97%A8/

https://www.secrss.com/articles/13161

https://www.securonix.com/blog/threat-hunting-architecture/

https://www.securonix.com/blog/the-strategy-guide-to-threat-hunting/

https://bbs.decoyit.com/thread-110-1-1.html

https://blog.csdn.net/WangYouJin321/article/details/128097121

https://www.wangan.com/p/7fy7fg97e0ddbfff

https://developer.aliyun.com/article/782957

http://blog.nsfocus.net/rsa2021-ap/

https://blog.gigamon.com/2016/10/11/top-3-common-pitfalls-hurt-network-security/

https://zhuanlan.zhihu.com/p/363322109

https://www.digitalguardian.com/dskb/incident-response

---

你以为你有很多路可以选择，其实你只有一条路可以走

---