威脅獵手養成

第一代威脅獵手成長史，事件響應、取證和安全分析技術是關鍵。

滲透測試員是很有趣的工作，你可以拿著錢去嘗試突破客戶公司，與超酷的人一起工作，學到很多東西。最棒的是，即使你沒能闖入客戶的系統，客戶還會非常高興，吹噓自己的計算機安全防禦如何堅挺，連持續的黑客測試都能撐過。

而在過去幾年中，出現了更為菁英的白帽子黑客分支：威脅獵手。威脅獵手，既是先發制人的黑客，也是取證調查員，還是入侵檢測者和事件響應(IR)人員。當然，IR是他們的重點角色。

Rob Lee 是波士頓地區的作家、顧問和SANS教職研究員，在數字取證、漏洞發現、入侵檢測/預防和事件響應方面有超過18年的從業經驗。他的職業生涯始於在美國空軍特別調查處追蹤黑客，曾是安全公司曼迪安特的部門總監，專註跟蹤高級持續性威脅(APT)。

威脅獵手這個概念已經出現了大約有6年時間。在曼迪安特與各種民族國家公司作鬥爭的工作催生了主動威脅追捕。我們主動搜尋對手，基本就是在追捕壞人。最近3年這個詞成為了更加流行的熱詞，幾乎隨處可見，招聘列表和安全大會上也有，包括SANS自己的威脅追捕與事件響應峰會。

Rob Lee 與人合著了講述蜜罐技術的《了解你的敵人》( Know Your Enemy )第2版，共同編撰了曼迪安特威脅情報報告《M-Trends：高級持續性威脅》。同時，他還是第一批威脅獵手，在威脅追捕這個術語出現前就是了。那麼，他是如何走上威脅追捕之路的呢？

國家安全的需求

1998年，作為對抗俄羅斯「月光迷宮」黑客攻擊行動的響應團隊一員時。這還是第一次已知民族國家黑客（這裡指俄羅斯）開始出於國家原因而主動攻擊多個政府網站。在此之前，大多數黑客行動都只是改個網站首頁之類的事，但這次這些人是真的專業級對手，他們根本不逃。

過去，只要被發現，黑客通常就退出系統或網路，逃之夭夭再不回頭了。但這些俄羅斯黑客卻根本不跑。他們確實靜默了一段時間，可能一兩個月吧。但他們從未離開。今天，這種持續性攻擊已成常態，但那時確實是一種全新的反應。他們潛伏在那裡，觀察我們的做法，甚至用鍵盤記錄記下我們的動作，然後重啟他們的攻擊活動。我們也在觀察他們，發現他們非常有耐心。相互觀察間我們了解了很多民族國家黑客組織的信息。我們必須轉變事件響應的方法。

威脅獵手≥事件響應人員

威脅獵手是主動事件響應者。普通的事件響應人員接到事件通報才會行動起來。威脅獵手則是在事件發生前就在搜尋壞人。他們掌握壞人的部分信息，知道壞人最有可能攻擊哪裡，用什麼方法攻擊，然後有針對性地搜索這些壞人。威脅獵手是先於傳統入侵檢測方法感知到壞人之前，就主動查找新威脅的事件響應人員和取證調查人員。

威脅獵手是早期預警系統。他們縮短了威脅的「駐留時間」——從初始侵入到被檢測出來的時間間隔。過去，威脅往往能在網路中潛伏數月之久。而威脅追捕團隊就是要縮短這個發現威脅的時間。

如何成為一名威脅獵手？

首先在安全分析師的崗位上積累經驗，然後進入IR和網路威脅情報領域。再加上一點攻擊者方法論及技術的知識，威脅追捕就成為了炙手可熱的技術。威脅追捕是當今信息安全領域裡能獲得的最高級技術集之一。威脅獵手的核心技術包括安全運營與分析、IR及修復、攻擊者方法論和網路威脅情報能力。綜合來看，威脅獵手就是企業防禦與檢測部門的特種部隊。

威脅獵手不會幹坐著等通知，會利用傳統攻擊指標(IoC)主動出擊。面對狡猾的對手，傳統入侵檢測是沒什麼大用的。這些對手會避免觸發常規入侵檢測防禦。只有威脅獵手才能找出他們。

每家公司都應配備威脅獵手嗎？

不。得有一定規模的公司才具備這個條件。首先，你得有專門的安全運營中心(SOC)，不是很小的或兼職的那種，而是能夠創建、消費和利用威脅情報，並能理解潛在的對手而不僅僅是IoC的那種。威脅追捕團隊需要威脅情報，並輔以網路運維人員、終端維護人員、惡意軟體分析員和可擴展的工具集。

威脅獵手首先得知道搜捕的方向和內容，只有專門的SOC能夠獲取到這些信息。就跟打獵似的，總得知道獵物會出現在哪裡，會有哪些獵物，才能做好相應的準備。比如民族國家黑客，在進行網路間諜行動，他們最有可能出現在哪裡？他們要找什麼東西？他們的IoC是什麼？知道了這些信息，就可以放出特種部隊來搜他們了。

有多少威脅獵手？

很難估算。很多人都自稱威脅獵手，但肯定只有擁有大規模安全運營的大型企業才養得起威脅獵手。財富200強企業大多擁有威脅獵手，美國國防部和其他政府機構也有。這些機構中大多都有不止一支威脅追捕團隊。遭受大型攻擊的很多大公司，比如塔吉特和微軟，如今就有多支菁英威脅追捕團隊，每一支都專門負責不同的業務部門。這些公司從安全狀況較差發展到擁有多支主動作為的威脅追捕團隊，反映出安全能力的提升。

量化成效很難

威脅獵手本身和僱傭他們的公司都需要明白，威脅追捕也是有可能失敗的。威脅獵手的工作非常艱難，他們要找出不想被發現的狡猾對手，可能來不及及時揪出壞人。威脅獵手是個很有必要的角色，但按傳統意義量化其成功卻很難。只要在主動搜捕威脅，威脅獵手們就已履職盡責。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！