如何设置威胁搜寻和威胁情报程序

威胁搜寻是网络安全策略的重要组成部分。无论您是刚刚起步还是处于高级状态，本文都将帮助您提升威胁情报计划。

什么是威胁狩猎？
网络安全行业正在从被动方式转变为主动方式。安全组织现在不是等待网络安全警报然后解决它们，而是部署红队来积极寻找漏洞、威胁和风险，以便将它们隔离。这也称为“威胁搜寻”。

为什么需要威胁搜寻？
威胁搜寻是对现有预防和检测安全控制的补充。这些控制对于减轻威胁至关重要。但是，它们针对低误报警报进行了优化。另一方面，Hunt 解决方案针对低漏报率进行了优化。这意味着被认为是检测解决方案误报的异常和异常值是寻找解决方案的线索，需要进行调查。这使得威胁搜寻能够消除检测解决方案之间的现有差距。强大的安全策略将利用这两种类型的解决方案。Cato Networks 的安全服务经理 Tal Darsan 补充说：“总的来说，威胁搜寻至关重要，因为它使组织能够在潜在的安全威胁造成重大损害之前主动识别和解决它们。最近的研究表明，在威胁行为者实现其最终目标之前，威胁在组织网络中的停留时间可能会持续数周至数月。因此，拥有一个主动的威胁搜寻程序可以帮助及时检测和响应其他安全引擎或产品遗漏的网络威胁。”

如何进行威胁搜寻
威胁猎手将从对网络及其漏洞和风险进行深入研究开始。为此，他们将需要广泛的技术安全技能，包括恶意软件分析、内存分析、网络分析、主机分析和攻击技能。一旦他们的研究产生了“线索”，他们就会用它来挑战现有的安全假设，并试图确定资源或系统是如何被破坏的。为了证明/反驳他们的假设，他们将进行迭代狩猎活动。

如果“成功”破坏，他们可能会帮助组织开发检测方法并修复漏洞。威胁猎手也可能会自动执行此过程的部分或全部，因此它可以扩展。

Tal Darsan 补充说：“ MDR（托管检测和响应）团队通过提供专门的专业知识和工具来监控和分析潜在的安全威胁，在实现有效的威胁搜寻方面发挥着关键作用。聘请 MDR 服务可为组织提供专家网络安全支持、先进技术、24 /7 监控、快速事件响应和成本效益。MDR 服务提供商拥有专业知识，并使用先进的工具实时检测和响应潜在威胁。”

在哪里搜索威胁
一个好的威胁猎手需要成为开源情报 (OSINT) 专家。通过在线搜索，威胁猎手可以找到恶意软件工具包、漏洞列表、客户和用户帐户、零日漏洞、TTP 等。

这些漏洞可以在明网即广泛使用的公共互联网中找到。此外，在明网之下的互联网层——深网和暗网中，其实蕴藏着大量有价值的信息。进入暗网时，建议小心掩饰您的角色；否则，您和您的公司可能会受到损害。

建议每周至少花半小时在暗网上。然而，由于很难在那里找到漏洞，你识别的大部分内容可能来自深层和清晰的网络。

威胁情报计划的注意事项
设置威胁情报程序是一个重要的过程，不能掉以轻心。因此，在开始实施之前，必须彻底研究和计划该程序。以下是一些需要考虑的注意事项。

一、“皇冠上的明珠”思维

在构建您的威胁搜寻策略时，第一步是识别和保护您自己的皇冠上的珠宝。关键任务资产的构成因组织而异。因此，没有人可以为您定义它们。

一旦确定了它们是什么，就可以利用紫色团队来测试是否以及如何访问和破坏它们。通过这样做，您将能够了解攻击者的想法，以便您可以实施安全控制。持续验证这些控制。

2.选择威胁狩猎策略
您可以在您的组织中实施许多不同的威胁搜寻策略。确保您的策略满足组织的要求非常重要。示例策略包括：建立一堵墙并完全阻止访问，以确保阻止与初始访问和执行相关的任何事情建立雷区，假设威胁行为者已经在您的网络中根据 MITRE 框架优先考虑从哪里开始。

3. 何时使用威胁情报自动化
自动化可提高效率、生产力并减少错误。然而，自动化并不是威胁搜寻的必要条件。如果您决定自动化，建议确保您：

有员工开发、维护和支持工具/平台
已完成识别和固定皇冠珠宝的基本内务处理。最好，当你处于高级成熟度水平时自动化流程很容易重复可以密切监控和优化自动化，使其继续产生相关价值威胁狩猎成熟度模型与任何其他已实施的业务战略一样，组织可以达到不同的成熟度级别。对于威胁追踪，不同的阶段包括：

阶段 0 - 响应安全警报
第 1 阶段 - 合并威胁情报指标
阶段 2 - 根据他人创建的程序分析数据
第 3 阶段 - 创建新的数据分析程序

第 4 阶段 - 自动化大部分数据分析程

威胁情报最佳实践
无论您是从头开始构建程序，还是通过迭代改进现有程序，以下最佳实践都可以帮助您加强威胁搜寻活动：

1.定义什么是重要的
确定威胁空间中的重要资产。请牢记“皇冠上的明珠”思想，该思想建议创建您的关键任务资产清单，检查风险状况，即如何破坏它们，然后保护它们。

2.自动化
如果可以的话，尽可能自动化任何流程。如果你不能，那也没关系。随着您变得更加成熟，您将到达那里。

3. 建立你的网络
防止网络攻击非常困难。你永远不会错，而攻击者只需要成功一次。最重要的是，他们不遵守任何规则。这就是为什么建立您的网络并从行业中的其他参与者和利益相关者那里获取（和提供）信息很重要。该网络应包括其他公司的同行、有影响力的人、在线团体和论坛、您公司其他部门的员工、领导层和您的供应商。

4. 像罪犯一样思考，像威胁者一样行动
威胁搜寻意味着从被动思维方式转变为主动思维方式。您可以通过查看威胁情报、跟踪组、试用工具和利用 Purple Teaming 进行测试来鼓励这种想法。虽然这似乎违反直觉，但请记住，这是保护您的组织的方法。请记住，要么是你，要么是攻击者。