網路攻擊每天都在增加，其頻率和複雜程度也在增加; 更糟糕的是，它們經常繞過組織現有的保護控制。因此，除了其他安全層(如防病毒程式和防火牆)之外，組織還必須部署主動的威脅搜尋活動，以便儘早檢測並修復威脅，以減輕損害。開始攻擊威脅計劃的公司在成功時會有所成功，但他們是否能夠實現這一目標?

不幸的是，沒有任何組織可以要求100%的安全性，許多人不得不承受臭名昭著的資料洩露和數百萬美元的損失。根據2018年的威脅狩獵報告，44%的受訪者估計未被發現的資料洩露的財務影響超過50萬美元。

在本文中，我們將向您介紹有效威脅搜尋的10個技巧，這些技巧將幫助您的組織更好地應對麻煩的網路攻擊並避免合規性問題和財務損失。

1. 瞭解你的環境

威脅搜尋旨在發現異常活動，否則可能會對您的公司造成嚴重損害。瞭解您環境中的正常活動是理解非正常活動的先決條件。如果您瞭解正常的操作活動，那麼任何異常都應該突出並注意到。

因此，獵人應該花費大量時間來了解他們環境中的正常和日常事件。此外，分析師必須瞭解包括系統，應用程式和網路在內的完整體系結構，以便他們能夠發現可能為攻擊者提供機會的弱點和漏洞。

此外，與IT內外的關鍵人員建立關係至關重要。事實上，這些人可以幫助威脅獵人區分異常活動和正常活動。例如，威脅獵手發現的每個問題並不總是攻擊。相反，它可能只是一種不安全的做法。為了改善組織的安全態勢，威脅獵人必須充當有效的“變革推動者”，如果沒有與他人的信任關係，這是不可能的。

2. 想象一下你是一個攻擊者

一個好的威脅搜尋練習要求威脅獵人像攻擊者一樣思考。通常情況下，威脅獵手的任務是主動追擊對手，並結束入侵的可能性。但是，如果發生了攻擊，他們需要減輕其影響以減少傷害。但是，總是尋找入侵的跡象並不是一個很好的方法。相反，威脅獵手應該努力預測攻擊者的下一步行動。

一旦威脅獵人知道攻擊者可能會做什麼，他們應該設定一些觸發器，一旦攻擊者執行此移動就應該觸發。CB Response等工具可用於確定攻擊者的行動。

請記住：沒有任何組織總是擁有完美且難以理解的安全措施，而且攻擊者現在使用非常複雜的技術來繞過公司的監控工具和大多數安全措施。因此，威脅獵人應該超越對手的期望，以防止攻擊成為主要的噩夢。

3. 制定OODA戰略

OODA是Observe，Orient，Decide和Act的縮寫。軍事人員在進行戰鬥行動時應用OODA。同樣，威脅獵人在網路戰期間使用OODA。在威脅搜尋的背景下，OODA的工作原理如下：

觀察：第一階段涉及從端點進行常規資料收集
Orient：徹底瞭解收集的資料，並將此資訊與其他收集的資訊相結合，以幫助理解其含義。之後，分析是否發生了對流量的命令和控制(C&C)的標誌或檢測到任何攻擊跡象
決定：一旦分析了資訊，就需要確定行動方案。如果事件發生，威脅獵手將執行事件響應策略
行動：最後階段涉及執行計劃以結束入侵併增強公司的安全態勢。採取進一步措施以防止將來發生同類型的攻擊
4. 使用足夠的資源

威脅狩獵被認為是當今最好的安全解決方案之一。但是，投入足夠的資源，包括人員，系統和工具，對於有效地進行威脅搜尋是不可或缺的。

人員是指威脅獵手，他們必須具備作業系統(OS)和子系統的深入知識，例如應用程式伺服器，Web伺服器，資料庫伺服器，資料庫管理系統，更重要的是網路，Wi-Fi系統和Internet共。瞭解CB響應工具也很有幫助。

5. 保護所有端點

端點安全是客戶端/伺服器資訊保安方法，用於通過監視端點(網路裝置)，其活動，軟體，身份驗證和授權來保護公司的網路。保護所有端點至關重要，因為疏忽可能會給對手留下空白點。通常，除了位於每個端點上的客戶端安全軟體之外，還通過安裝在網路中集中管理的伺服器或閘道器上的安全軟體來確保端點安全性。

僅使用防病毒程式無法阻止高階永續性威脅(APT)。因此，組織也應該部署端點保護解決方案，例如CB Response或Comodo端點保護軟體。

6. 網路可見性是關鍵

除了在所有端點上部署威脅搜尋工具之外，還必須深入瞭解網路環境中的攻擊模式和活動。您可以通過使用允許您具有網路可見性的其他工具來實現此目的。

在您設定高階端點工具時，還應使用入侵檢測系統(IDS)，入侵防禦系統(IPS)，NetFlow，Web過濾器，防火牆和資料丟失防護系統(DLP)等工具。通過這種方式，您可以驗證攻擊並收集有關可能表示違規的異常流量模式的寶貴知識。

7. 注意威脅狩獵的人性

威脅搜尋的一個關鍵部分是與公司的主要IT人員進行有效和高效的溝通。這意味著威脅獵人應該以不同的方式與端點工程師，應用程式開發人員，服務檯和系統工程師協同工作。威脅獵人實際上需要與他們進行有效溝通，以便了解關鍵系統和應用程式的操作。在搜尋敵人時，獵人會發現網路，系統和應用程式的設計和實施中的漏洞。

威脅獵手和關鍵IT人員之間的信任關係是不可或缺的。最重要的是，在響應事件時，您需要他們的協作。只有通過確保相互信任，您才能夠在環境中的弱點和漏洞面前一起正確診斷惡意活動並執行補救。

8. 記錄你的狩獵記錄

優秀的威脅獵手不僅試圖遏制或消除惡意入侵，還記錄他們在IT環境中執行的每一次威脅搜尋。您不僅需要詳細說明每個案例的技術資訊，更重要的是，您需要記錄與公司相關的業務知識，例如，尋找原因。

但如果沒有合理收集資料，好的文件就不值得。必須選擇一種可以幫助您組織威脅搜尋活動的工具，以便在您懷疑反覆入侵併與其他方分享知識時重新審視您的步驟。可用於組織資料的工具可能包括報告工具，分析工具甚至Microsoft Excel。

9. 保持刀鋒鋒利

即使最好的武器也會生鏽，除非它得到照顧。為了有效地開展工作，威脅獵人需要做好準備，並始終對可疑活動保持警惕。由於網路犯罪分子正在尋找數十種新方法來滲透安全系統，因此威脅獵手需要不斷學習和發展他們的技能，以便讓自己能夠應對挑戰。

每個職業威脅獵人都必須花時間接受技術培訓

10. 及時瞭解現代攻擊趨勢

在不斷髮展的技術世界中，威脅行為者每天都在開發新的攻擊。網路犯罪分子具有創造性，他們正在利用這種創造力不斷髮明新的犯罪方法。威脅獵人需要跟上不斷變化的網路攻擊格局。

在不久的將來，他們將會為他們做很多工作。根據Alert Logic 2018年的威脅搜尋報告，安全專家將55%的高階威脅檢測作為其安全運營中心(SOC)的首要挑戰。此外，43%的安保人員缺乏足夠的技能來緩解這些威脅。此外，36%的自動化工具嚴重缺乏威脅效能力。為了防止入侵，威脅獵人必須自己掌握現代威脅形勢和犯罪分子發現進行攻擊的複雜技術。