浅析威胁猎人如何在现代安全环境中运作

每年，互联网上都会出现数百万种新型恶意软件，威胁猎人必须随时候命，将识别和打击恶意软件列为优先事项，以确保组织能够保持安全，并且免受各种网络威胁的侵害。

网络安全本身就是一个独立且完整的世界，其中分布着不同的领域，各种网络安全专家每天在各自不同的领域中处理着纷繁复杂的安全问题。而近年来，这个世界中又迎来了一个“新人”——威胁猎人（Threat Hunter）。如今，网络安全猎人的角色已经日趋成熟且至关重要。

2017年，美国境内发生的网络攻击事件比前一年高出了近50％。今年也不例外。根据Crowd Research Partners最近进行的一项调查指出，“网络空间中的威胁数量每年都在持续增加一倍”。

在数百万企业还在被网络威胁搞得焦头烂额的时候，聪明的企业已经开始忙于招募、培训和配置网络安全猎手了，同时还在其“武器库”中添加了用于打击网络攻击的先进工具和设备。

当然，不乏还是有人并不清楚网络安全威胁猎人的作用和工作职能，本文将帮助您能够对威胁猎人有个基础认知，以及了解他们在现代安全环境中的运作方式。

威胁猎人的职位描述，技能和资格

网络威胁猎人通常是在假设网络已经遭到破坏的情境下，开始他们的研究工作。这种假设所基于的现实是，即便VPN（推荐使用PureVPN、PIA & Ivacy）等工具以及其他服务器保护措施已经部署得当，仍然无法排除网络中存在安全问题。因为随着技术的进步，很多恶意软件已经足够成熟，能够轻易地绕过VPN和其他防护措施。

威胁猎人需要采取主动的方式，同时扫描所有网络和服务器以查找可能存在的违规或入侵行为。此外，他还需要非常富有创造性和警觉性，以明确识别异常情况以及网络上发生的轻微异常事件或实例。

提到技术知识方面，威胁猎人必须是该技术领域的“顶尖高手”。只有当他们能够深度了解网络功能，以及数据如何流经网络时，他们才有能力发现诸如数据泄露或更为严重的安全问题。

最后，网络威胁猎人还需要了解他所从事的组织规定的SOP（Standard Operation Procedure，即标准作业程序），以及网络安全行业的SOP。只有当他充分了解这些内容后，他才有能力识别异常情况，并检测出前所未见的威胁。

了解现代安全环境的动态

现代安全环境所面临的威胁每天都在发生变化，这就意味着，现在使用的工具和程序很快就会过时，并被新的工具和技术所取代，这将是符合逻辑的认知。因此，想要保持网络和数字环境安全的组织，必须不断采取新的工具和技术。

当然，只是保持技术和工具更新并不能保证最终的安全性，但是它对于保障企业安全方面确实具有重要作用，因为如果缺乏这一步，企业所面临的网络威胁将会越来越大。

威胁猎人如何在现代安全环境中运作？

据G Data Software报道称，2016年，互联网上出现了680万种新型恶意软件样本。一年后，这一数字上升到了710万。纵观这一趋势，我们不难发现未来几年对于威胁猎人来说将会异常艰难。事实上，这种趋势也强调了培训威胁猎人的重要性，为最令人意想不到的威胁环境做好迎战准备。

虽然，事实证明，2017年发现的710万新型恶意软件并非都是危险的，但是，识别出的少数威胁因素可能就是决定数字环境是否安全的根源。而如何识别出这些少数威胁，就是威胁猎人能够为保障网络安全做出的贡献。

威胁猎人能够识别出AI系统可能错过的威胁。他们通过关注其组织安全体系机构的缺陷来实现这一点，这种体系机构无法阻止威胁进入数字环境。

如何实现威胁捕获

1. 外包或DIY

有效进行“全组织范围”威胁搜索的第一步，是确定它是否能够由内部安全团队执行。对于这种情况，为威胁猎人分配专门的资源和设备非常重要。

如果出于任何原因，内部安全团队缺乏这种任务敏感度，或者缺乏足够的资源和时间可以配置给安全团队，那么更安全的选择是将其外包出去。

2. 关注重点领域并制定计划

制定适当的计划，并确定在整个威胁搜寻过程中应当遵循的程序，将对威胁捕获工作起到非常积极的关键作用。通过制定计划和时间表，可以确保威胁捕获团队的任务不会干扰到其他团队。此外，时间表还可以帮助预先确定任务优先级，这将有助于威胁猎人有效地执行操作，同时追踪已经完成的所有任务，以及需要关注的优先级任务。

3. 生成一个假设

从头到尾在你的脑海中构建一个假设场景，可以帮助你轻松地绘制任务路线图，以及确定任务完成的时间。在捕获威胁的过程中，团队应该确定好需要寻找的内容，以及期待找到什么。例如，就本文而言，威胁猎人应该事先确定他们正在寻找恶意软件，或入侵者可能已经入侵了系统。

知道要查找的内容，就可以轻松地找到它，或者在明确没有威胁的情况下停止搜索。如果缺乏假设，那么对威胁的搜索过程将变得无边无际、无从着手，同时，威胁猎人也永远无法明确何时停止搜索任务。

4. 整合关键信息和数据

有效地组织所有可用信息和数据是一项任务量很大的工作。但是，如果这些数据和信息没有组织起来，就无法发挥效用，因为你将无法在适当的时候找到所需的内容。威胁猎人收集和整理的数据可以包括进程名称、命令行文件、DNS查询、目标IP地址以及数字签名等。

如果所有这些信息都可用，但却未按易于筛选的方式排序的话，那么威胁猎人可能仍然需要很长时间才能找到正确的信息，然后才能利用额外的时间来利用这些数据完成操作。此外，这种做法还会过度消耗用于威胁搜索的预算和资源，破坏威胁猎人的整体生产力。

5. 任务自动化

没有AI和任务自动化的帮助，就无法跟上不断增长的网络威胁的步伐。即便人力搜索必不可少，但是没有自动化的话，每天出现在互联网上的数千种新型威胁和恶意软件都可能会被忽略和漏掉。对于威胁猎人来说，人力和AI的组合能够有效地针对现代安全环境和敏感网络进行精确的威胁捕获。

6. 执行

不得不说，威胁猎人可以用于消除现代安全环境威胁的完美工具或程序根本不存在。随着威胁行为者的技能不断提升，威胁猎人也需要创新思维，以保证能够抢先网络攻击一步锁定并阻止威胁，这始终是一场持续性的斗争。

AI和网络威胁捕获的未来

近年来，最新发展起来的工具之一就是人工智能（AI）以及机器学习，它们一直在帮助威胁猎人缩减在搜索、防御和解决问题上花费的时间，大幅提升了威胁猎人的工作效率。

然而，有些人认为，随着AI技术日益成熟，它将最终取代人类威胁猎人的地位。但我认为，这种情况永远不会发生，主要包含如下两个原因：

最主要的原因是，AI还是一种发展中的技术，它可以提供给善意和恶意两者类型的行为者所用。此外，一些分析师甚至认为，未来的网络威胁将通过AI甚至区块链来创造和传播，从而产生更广泛的影响。

其次，AI是人类创造的工具。尽管它在同时分析所有选项并做出最佳决策方面非常有效，但它可能永远无法超越人类思维所能实现的创造力和创新型。AI在实现和研究方面可能非常好用，但是现在，人类将以他们自身的创造力和批判性思维来引领网络安全发展。

*参考来源： securityaffairs ，米雪儿编译整理，转载请注明来自 FreeBuf.COM。