每年，互聯(lián)網(wǎng)上都會出現(xiàn)數(shù)百萬種新型惡意軟件，威脅獵人必須隨時候命，將識別和打擊惡意軟件列為優(yōu)先事項，以確保組織能夠保持安全，并且免受各種網(wǎng)絡威脅的侵害。

網(wǎng)絡安全本身就是一個獨立且完整的世界，其中分布著不同的領域，各種網(wǎng)絡安全專家每天在各自不同的領域中處理著紛繁復雜的安全問題。而近年來，這個世界中又迎來了一個“新人”——威脅獵人（Threat Hunter）。如今，網(wǎng)絡安全獵人的角色已經(jīng)日趨成熟且至關重要。
2017年，美國境內發(fā)生的網(wǎng)絡攻擊事件比前一年高出了近50％。今年也不例外。根據(jù)Crowd Research Partners最近進行的一項調查指出，“網(wǎng)絡空間中的威脅數(shù)量每年都在持續(xù)增加一倍”。

在數(shù)百萬企業(yè)還在被網(wǎng)絡威脅搞得焦頭爛額的時候，聰明的企業(yè)已經(jīng)開始忙于招募、培訓和配置網(wǎng)絡安全獵手了，同時還在其“武器庫”中添加了用于打擊網(wǎng)絡攻擊的先進工具和設備。
當然，不乏還是有人并不清楚網(wǎng)絡安全威脅獵人的作用和工作職能，本文將幫助您能夠對威脅獵人有個基礎認知，以及了解他們在現(xiàn)代安全環(huán)境中的運作方式。
威脅獵人的職位描述，技能和資格
網(wǎng)絡威脅獵人通常是在假設網(wǎng)絡已經(jīng)遭到破壞的情境下，開始他們的研究工作。這種假設所基于的現(xiàn)實是，即便VPN（推薦使用PureVPN、PIA & Ivacy）等工具以及其他服務器保護措施已經(jīng)部署得當，仍然無法排除網(wǎng)絡中存在安全問題。因為隨著技術的進步，很多惡意軟件已經(jīng)足夠成熟，能夠輕易地繞過VPN和其他防護措施。
威脅獵人需要采取主動的方式，同時掃描所有網(wǎng)絡和服務器以查找可能存在的違規(guī)或入侵行為。此外，他還需要非常富有創(chuàng)造性和警覺性，以明確識別異常情況以及網(wǎng)絡上發(fā)生的輕微異常事件或實例。
提到技術知識方面，威脅獵人必須是該技術領域的“頂尖高手”。只有當他們能夠深度了解網(wǎng)絡功能，以及數(shù)據(jù)如何流經(jīng)網(wǎng)絡時，他們才有能力發(fā)現(xiàn)諸如數(shù)據(jù)泄露或更為嚴重的安全問題。
最后，網(wǎng)絡威脅獵人還需要了解他所從事的組織規(guī)定的SOP（Standard Operation Procedure，即標準作業(yè)程序），以及網(wǎng)絡安全行業(yè)的SOP。只有當他充分了解這些內容后，他才有能力識別異常情況，并檢測出前所未見的威脅。
了解現(xiàn)代安全環(huán)境的動態(tài)
現(xiàn)代安全環(huán)境所面臨的威脅每天都在發(fā)生變化，這就意味著，現(xiàn)在使用的工具和程序很快就會過時，并被新的工具和技術所取代，這將是符合邏輯的認知。因此，想要保持網(wǎng)絡和數(shù)字環(huán)境安全的組織，必須不斷采取新的工具和技術。
當然，只是保持技術和工具更新并不能保證最終的安全性，但是它對于保障企業(yè)安全方面確實具有重要作用，因為如果缺乏這一步，企業(yè)所面臨的網(wǎng)絡威脅將會越來越大。
威脅獵人如何在現(xiàn)代安全環(huán)境中運作？
據(jù)G Data Software報道稱，2016年，互聯(lián)網(wǎng)上出現(xiàn)了680萬種新型惡意軟件樣本。一年后，這一數(shù)字上升到了710萬。縱觀這一趨勢，我們不難發(fā)現(xiàn)未來幾年對于威脅獵人來說將會異常艱難。事實上，這種趨勢也強調了培訓威脅獵人的重要性，為最令人意想不到的威脅環(huán)境做好迎戰(zhàn)準備。
雖然，事實證明，2017年發(fā)現(xiàn)的710萬新型惡意軟件并非都是危險的，但是，識別出的少數(shù)威脅因素可能就是決定數(shù)字環(huán)境是否安全的根源。而如何識別出這些少數(shù)威脅，就是威脅獵人能夠為保障網(wǎng)絡安全做出的貢獻。
威脅獵人能夠識別出AI系統(tǒng)可能錯過的威脅。他們通過關注其組織安全體系機構的缺陷來實現(xiàn)這一點，這種體系機構無法阻止威脅進入數(shù)字環(huán)境。
如何實現(xiàn)威脅捕獲
1. 外包或DIY
有效進行“全組織范圍”威脅搜索的第一步，是確定它是否能夠由內部安全團隊執(zhí)行。對于這種情況，為威脅獵人分配專門的資源和設備非常重要。
如果出于任何原因，內部安全團隊缺乏這種任務敏感度，或者缺乏足夠的資源和時間可以配置給安全團隊，那么更安全的選擇是將其外包出去。
2. 關注重點領域并制定計劃
制定適當?shù)挠媱�，并確定在整個威脅搜尋過程中應當遵循的程序，將對威脅捕獲工作起到非常積極的關鍵作用。通過制定計劃和時間表，可以確保威脅捕獲團隊的任務不會干擾到其他團隊。此外，時間表還可以幫助預先確定任務優(yōu)先級，這將有助于威脅獵人有效地執(zhí)行操作，同時追蹤已經(jīng)完成的所有任務，以及需要關注的優(yōu)先級任務。
3. 生成一個假設
從頭到尾在你的腦海中構建一個假設場景，可以幫助你輕松地繪制任務路線圖，以及確定任務完成的時間。在捕獲威脅的過程中，團隊應該確定好需要尋找的內容，以及期待找到什么。例如，就本文而言，威脅獵人應該事先確定他們正在尋找惡意軟件，或入侵者可能已經(jīng)入侵了系統(tǒng)。
知道要查找的內容，就可以輕松地找到它，或者在明確沒有威脅的情況下停止搜索。如果缺乏假設，那么對威脅的搜索過程將變得無邊無際、無從著手，同時，威脅獵人也永遠無法明確何時停止搜索任務。
4. 整合關鍵信息和數(shù)據(jù)
有效地組織所有可用信息和數(shù)據(jù)是一項任務量很大的工作。但是，如果這些數(shù)據(jù)和信息沒有組織起來，就無法發(fā)揮效用，因為你將無法在適當?shù)臅r候找到所需的內容。威脅獵人收集和整理的數(shù)據(jù)可以包括進程名稱、命令行文件、DNS查詢、目標IP地址以及數(shù)字簽名等。
如果所有這些信息都可用，但卻未按易于篩選的方式排序的話，那么威脅獵人可能仍然需要很長時間才能找到正確的信息，然后才能利用額外的時間來利用這些數(shù)據(jù)完成操作。此外，這種做法還會過度消耗用于威脅搜索的預算和資源，破壞威脅獵人的整體生產(chǎn)力。
5. 任務自動化
沒有AI和任務自動化的幫助，就無法跟上不斷增長的網(wǎng)絡威脅的步伐。即便人力搜索必不可少，但是沒有自動化的話，每天出現(xiàn)在互聯(lián)網(wǎng)上的數(shù)千種新型威脅和惡意軟件都可能會被忽略和漏掉。對于威脅獵人來說，人力和AI的組合能夠有效地針對現(xiàn)代安全環(huán)境和敏感網(wǎng)絡進行精確的威脅捕獲。