網(wǎng)絡(luò)威脅獵人，也稱為網(wǎng)絡(luò)安全威脅分析師，使用自動安全工具（如惡意軟件檢測器和防火墻）主動識別可能未被發(fā)現(xiàn)的安全事件。

網(wǎng)絡(luò)威脅搜尋涉及監(jiān)控網(wǎng)絡(luò)流量、互聯(lián)網(wǎng)協(xié)議（IP）地址、端點、數(shù)據(jù)集和內(nèi)部威脅，通常是實時的，以發(fā)現(xiàn)可能未被發(fā)現(xiàn)的潛在安全事件。通過這種方式，獵人可以提供威脅情報，并額外防御網(wǎng)絡(luò)攻擊和高級持續(xù)威脅。

為什么網(wǎng)絡(luò)安全威脅搜索很重要？

預(yù)測惡意活動具有挑戰(zhàn)性，因為許多新的威脅沒有明顯的指標(biāo)。保持領(lǐng)先于這些新興威脅的唯一方法是主動尋找并防止其發(fā)生。

威脅搜尋過程不是等待潛在威脅出現(xiàn)，而是圍繞在組織的環(huán)境中搜索可能表明漏洞的異常情況，然后實施主動威脅搜尋以驗證假設(shè)并降低風(fēng)險。

本質(zhì)上，威脅獵人認(rèn)為威脅行為者已經(jīng)可以進入他們正在調(diào)查的環(huán)境。他們評估所有系統(tǒng)，直到發(fā)現(xiàn)任何惡意活動并糾正原因。

網(wǎng)絡(luò)威脅搜索涉及哪些任務(wù)？

網(wǎng)絡(luò)威脅獵人的工作是補充和加強檢測或預(yù)測網(wǎng)絡(luò)威脅的自動化系統(tǒng)。隨著審查過程揭示發(fā)起攻擊的模式，安全組織可以使用這些信息來改進其自動威脅檢測軟件。

網(wǎng)絡(luò)威脅獵人定期執(zhí)行以下操作：

• 搜索數(shù)據(jù)和系統(tǒng)中的漏洞和風(fēng)險因素。
• 持續(xù)關(guān)注網(wǎng)絡(luò)安全領(lǐng)域的最新創(chuàng)新和網(wǎng)絡(luò)攻擊策略。
• 圍繞威脅行為者的行為、策略和目標(biāo)研究網(wǎng)絡(luò)犯罪的趨勢。
• 分析收集到的數(shù)據(jù)，以發(fā)現(xiàn)安全環(huán)境中的潛在異常。
• 消除任何風(fēng)險和漏洞。

網(wǎng)絡(luò)威脅搜尋方法

威脅搜尋通常圍繞以下三種行業(yè)公認(rèn)的方法之一：

• 假設(shè)驅(qū)動的調(diào)查。假設(shè)驅(qū)動的調(diào)查是由大量眾包數(shù)據(jù)驅(qū)動的，這些數(shù)據(jù)提供了對網(wǎng)絡(luò)罪犯最新戰(zhàn)術(shù)、技術(shù)和程序（TTP）的洞察。威脅獵人使用TTP洞察力來調(diào)查這些行為是否存在于組織的當(dāng)前環(huán)境中。
• 妥協(xié)驅(qū)動調(diào)查的指標(biāo)。在法醫(yī)文物中發(fā)現(xiàn)了IOC，并識別出表明潛在威脅的活動。國際奧委會推動的調(diào)查使用威脅情報來識別組織環(huán)境中的有效威脅。潛在的IOC包括基于網(wǎng)絡(luò)的工件、基于主機的工件和基于身份驗證的工件。
• 機器學(xué)習(xí)調(diào)查。機器學(xué)習(xí)可以通過結(jié)合分析和機器學(xué)習(xí)來篩選大量數(shù)據(jù)，搜索可能表明潛在威脅的異常情況，從而幫助尋找威脅。

所有這些方法都結(jié)合了威脅情報、人力和先進的網(wǎng)絡(luò)安全技術(shù)，主動調(diào)查組織的系統(tǒng)和數(shù)據(jù)，以減輕或預(yù)防安全事件。

網(wǎng)絡(luò)威脅搜尋過程中的步驟

網(wǎng)絡(luò)威脅搜尋過程通常使用以下步驟進行：

第一步：準(zhǔn)備

網(wǎng)絡(luò)威脅獵人會尋找異常數(shù)據(jù)或活動。如果檢測到這些，它們將轉(zhuǎn)到檢測到異常的特定系統(tǒng)或網(wǎng)絡(luò)區(qū)域。通常，對于意外的異常情況沒有現(xiàn)成的解釋，因此網(wǎng)絡(luò)威脅獵人使用批判性思維來設(shè)計一個可能解釋異常情況的理論或假設(shè)。

第二步：分析

此時，網(wǎng)絡(luò)威脅獵人開始使用端點檢測和響應(yīng)軟件或可以讀取和分析計算機日志的自動化等專門工具深入研究這個問題。網(wǎng)絡(luò)威脅獵人會繼續(xù)調(diào)查，直到能夠闡明解釋或確定威脅是誤報。

第三步：行動

網(wǎng)絡(luò)威脅獵人收集盡可能多的關(guān)于檢測到的和迫在眉睫的威脅的信息。然后，他們將此信息傳達(dá)給中央安全團隊，以便他們可以計劃、消除和減輕威脅。

網(wǎng)絡(luò)威脅搜索工具

一些工具補充了網(wǎng)絡(luò)威脅獵人所花費的人力。這些措施包括：

• SIEM工具。安全信息和事件管理（SIEM）工具通過使用自動化從監(jiān)控工具和其他來源收集和分析大量基于云的數(shù)據(jù)來幫助威脅獵人發(fā)現(xiàn)以前未識別的威脅。
• 安全監(jiān)控工具。安全專業(yè)人員使用從安全監(jiān)控工具收集的數(shù)據(jù)來幫助提供潛在威脅的全貌。
• 分析工具。這些工具使威脅獵人能夠更好地可視化數(shù)據(jù)，以幫助他們更好地識別可能指示攻擊的數(shù)據(jù)集之間的相關(guān)性。
• 威脅情報來源。威脅獵人使用互聯(lián)網(wǎng)上各種形式的惡意IP地址、惡意軟件哈希和其他威脅指標(biāo)的威脅情報數(shù)據(jù)來支持他們的分析和調(diào)查工作。

威脅搜索和威脅情報有什么區(qū)別？

盡管威脅搜尋和威脅情報是兩個網(wǎng)絡(luò)安全組成部分，但它們服務(wù)于截然不同但互補的目的。

網(wǎng)絡(luò)威脅獵人實際上是在尋找可能已經(jīng)存在于系統(tǒng)或網(wǎng)絡(luò)中的潛在狀態(tài)的惡意病毒、惡意軟件和其他可疑活動。網(wǎng)絡(luò)威脅獵人的工作是在無聲威脅變得活躍之前發(fā)現(xiàn)它們，并檢測可能表明存在惡意惡意軟件或病毒的系統(tǒng)行為模式。

網(wǎng)絡(luò)威脅獵人認(rèn)為潛在的病毒和惡意軟件可能已經(jīng)存在于網(wǎng)絡(luò)中，在激活之前必須追捕并消除這些實體。

相比之下，網(wǎng)絡(luò)威脅分析師通過監(jiān)控進行日常網(wǎng)絡(luò)威脅情報，并在必要時在檢測到病毒或惡意軟件并處于活動狀態(tài)時進行威脅對抗，從而調(diào)查威脅形勢。分析師假設(shè)惡意軟件和病毒不一定存在，但可能隨時存在。

網(wǎng)絡(luò)威脅獵人和網(wǎng)絡(luò)威脅分析師使用類似的工具。兩者之間的區(qū)別在于，網(wǎng)絡(luò)威脅獵人是攻擊者，在惡意代碼激活之前發(fā)現(xiàn)并銷毀惡意代碼，而網(wǎng)絡(luò)攻擊分析師則扮演著更中立、甚至防御的角色，使用從監(jiān)控系統(tǒng)收集的威脅情報，檢測異常活動，并在出現(xiàn)威脅時進行打擊。

哪些類型的組織使用網(wǎng)絡(luò)威脅獵人？

通常，網(wǎng)絡(luò)威脅獵人受雇于特別容易受到網(wǎng)絡(luò)攻擊的大型企業(yè)組織。使用網(wǎng)絡(luò)威脅獵人的行業(yè)包括金融服務(wù)、保險、航空航天、科研公司和其他擁有高度敏感信息的行業(yè)。

威脅獵人在安全運營中心（SOC）內(nèi)工作，并領(lǐng)導(dǎo)他們的威脅檢測和事件響應(yīng)活動。它們通常由組織的首席信息安全官管理，他與首席信息官合作協(xié)調(diào)企業(yè)安全。

威脅搜尋可以作為SOC內(nèi)一名或多名安全專業(yè)人員的額外職責(zé)，也可以為他們分配全職的威脅搜尋職責(zé)。對于較小的組織，威脅搜尋服務(wù)通常外包給托管安全服務(wù)提供商，這些提供商同時為多個組織提供安全監(jiān)控和管理。

另一種選擇是創(chuàng)建一個威脅搜尋團隊，將安全工程師臨時輪換到威脅搜尋角色，然后讓他們返回SOC的日常工作。

成為網(wǎng)絡(luò)安全威脅獵人所需的技能

安全威脅獵人必須能夠發(fā)現(xiàn)可能隱藏在網(wǎng)絡(luò)和系統(tǒng)深處的威脅。網(wǎng)絡(luò)威脅獵人的關(guān)鍵技能領(lǐng)域和培訓(xùn)認(rèn)證包括以下內(nèi)容：

• 強大的數(shù)據(jù)分析背景，因此可以在出現(xiàn)的上下文中對數(shù)據(jù)進行批判性評估。
• 識別可能預(yù)示惡意軟件入侵的數(shù)據(jù)和處理模式的能力。
• 了解網(wǎng)絡(luò)及其如何傳輸數(shù)據(jù)、檢查安全性、使用加密以及啟用和禁用對網(wǎng)絡(luò)資源的訪問。
• 數(shù)據(jù)取證背景，可能包括收集證據(jù)、記錄證據(jù)并將其發(fā)展為已實施或計劃實施的網(wǎng)絡(luò)犯罪的可能場景。

與網(wǎng)絡(luò)威脅獵人相關(guān)的認(rèn)證，包括以下內(nèi)容：

• 認(rèn)證信息系統(tǒng)安全專家。
• 經(jīng)過認(rèn)證的道德黑客。
• GIAC認(rèn)證的事故處理人員。
• 認(rèn)證信息安全經(jīng)理。

網(wǎng)絡(luò)安全威脅獵人的就業(yè)前景

根據(jù)全球市場研究公司The Business research Company的數(shù)據(jù)，網(wǎng)絡(luò)威脅情報市場有望從2024年的115.8億美元增長到2025年的141.6億美元。隨著市場的增長，機會也隨之而來。

組織通常會尋找在網(wǎng)絡(luò)安全或相關(guān)領(lǐng)域至少有三到五年經(jīng)驗，并擁有計算機科學(xué)、IT或網(wǎng)絡(luò)安全學(xué)士學(xué)位的專業(yè)人士。高級職位可能需要碩士學(xué)位。

2024年，網(wǎng)絡(luò)威脅獵人的工資中位數(shù)為13.7萬美元，前10%的威脅獵人每年的收入約為20萬美元。

了解可能表明組織內(nèi)部存在內(nèi)部威脅的跡象，以及如何在造成損害之前消除威脅。