信息化觀察網(wǎng)

每年，互聯(lián)網(wǎng)上都會出現(xiàn)數(shù)百萬種新型惡意軟件，威脅獵人必須隨時候命，將識別和打擊惡意軟件列為優(yōu)先事項，以確保組織能夠保持安全，并且免受各種網(wǎng)絡(luò)威脅的侵害。

網(wǎng)絡(luò)安全本身就是一個獨立且完整的世界，其中分布著不同的領(lǐng)域，各種網(wǎng)絡(luò)安全專家每天在各自不同的領(lǐng)域中處理著紛繁復(fù)雜的安全問題。而近年來，這個世界中又迎來了一個“新人”——威脅獵人(Threat Hunter)。如今，網(wǎng)絡(luò)安全獵人的角色已經(jīng)日趨成熟且至關(guān)重要。

2017年，美國境內(nèi)發(fā)生的網(wǎng)絡(luò)攻擊事件比前一年高出了近50%。今年也不例外。根據(jù)Crowd Research Partners最近進行的一項調(diào)查指出，“網(wǎng)絡(luò)空間中的威脅數(shù)量每年都在持續(xù)增加一倍”。

在數(shù)百萬企業(yè)還在被網(wǎng)絡(luò)威脅搞得焦頭爛額的時候，聰明的企業(yè)已經(jīng)開始忙于招募、培訓(xùn)和配置網(wǎng)絡(luò)安全獵手了，同時還在其“武器庫”中添加了用于打擊網(wǎng)絡(luò)攻擊的先進工具和設(shè)備。

當(dāng)然，不乏還是有人并不清楚網(wǎng)絡(luò)安全威脅獵人的作用和工作職能，本文將幫助您能夠?qū)ν{獵人有個基礎(chǔ)認(rèn)知，以及了解他們在現(xiàn)代安全環(huán)境中的運作方式。

威脅獵人的職位描述，技能和資格

網(wǎng)絡(luò)威脅獵人通常是在假設(shè)網(wǎng)絡(luò)已經(jīng)遭到破壞的情境下，開始他們的研究工作。這種假設(shè)所基于的現(xiàn)實是，即便VPN(推薦使用PureVPN、PIA & Ivacy)等工具以及其他服務(wù)器保護措施已經(jīng)部署得當(dāng)，仍然無法排除網(wǎng)絡(luò)中存在安全問題。因為隨著技術(shù)的進步，很多惡意軟件已經(jīng)足夠成熟，能夠輕易地繞過VPN和其他防護措施。

威脅獵人需要采取主動的方式，同時掃描所有網(wǎng)絡(luò)和服務(wù)器以查找可能存在的違規(guī)或入侵行為。此外，他還需要非常富有創(chuàng)造性和警覺性，以明確識別異常情況以及網(wǎng)絡(luò)上發(fā)生的輕微異常事件或?qū)嵗?/p>

提到技術(shù)知識方面，威脅獵人必須是該技術(shù)領(lǐng)域的“頂尖高手”。只有當(dāng)他們能夠深度了解網(wǎng)絡(luò)功能，以及數(shù)據(jù)如何流經(jīng)網(wǎng)絡(luò)時，他們才有能力發(fā)現(xiàn)諸如數(shù)據(jù)泄露或更為嚴(yán)重的安全問題。

最后，網(wǎng)絡(luò)威脅獵人還需要了解他所從事的組織規(guī)定的SOP(Standard Operation Procedure，即標(biāo)準(zhǔn)作業(yè)程序)，以及網(wǎng)絡(luò)安全行業(yè)的SOP。只有當(dāng)他充分了解這些內(nèi)容后，他才有能力識別異常情況，并檢測出前所未見的威脅。

了解現(xiàn)代安全環(huán)境的動態(tài)

現(xiàn)代安全環(huán)境所面臨的威脅每天都在發(fā)生變化，這就意味著，現(xiàn)在使用的工具和程序很快就會過時，并被新的工具和技術(shù)所取代，這將是符合邏輯的認(rèn)知。因此，想要保持網(wǎng)絡(luò)和數(shù)字環(huán)境安全的組織，必須不斷采取新的工具和技術(shù)。

當(dāng)然，只是保持技術(shù)和工具更新并不能保證最終的安全性，但是它對于保障企業(yè)安全方面確實具有重要作用，因為如果缺乏這一步，企業(yè)所面臨的網(wǎng)絡(luò)威脅將會越來越大。

威脅獵人如何在現(xiàn)代安全環(huán)境中運作?

據(jù)G Data Software報道稱，2016年，互聯(lián)網(wǎng)上出現(xiàn)了680萬種新型惡意軟件樣本。一年后，這一數(shù)字上升到了710萬?？v觀這一趨勢，我們不難發(fā)現(xiàn)未來幾年對于威脅獵人來說將會異常艱難。事實上，這種趨勢也強調(diào)了培訓(xùn)威脅獵人的重要性，為最令人意想不到的威脅環(huán)境做好迎戰(zhàn)準(zhǔn)備。

雖然，事實證明，2017年發(fā)現(xiàn)的710萬新型惡意軟件并非都是危險的，但是，識別出的少數(shù)威脅因素可能就是決定數(shù)字環(huán)境是否安全的根源。而如何識別出這些少數(shù)威脅，就是威脅獵人能夠為保障網(wǎng)絡(luò)安全做出的貢獻。

威脅獵人能夠識別出AI系統(tǒng)可能錯過的威脅。他們通過關(guān)注其組織安全體系機構(gòu)的缺陷來實現(xiàn)這一點，這種體系機構(gòu)無法阻止威脅進入數(shù)字環(huán)境。

如何實現(xiàn)威脅捕獲

1. 外包或DIY

有效進行“全組織范圍”威脅搜索的第一步，是確定它是否能夠由內(nèi)部安全團隊執(zhí)行。對于這種情況，為威脅獵人分配專門的資源和設(shè)備非常重要。

如果出于任何原因，內(nèi)部安全團隊缺乏這種任務(wù)敏感度，或者缺乏足夠的資源和時間可以配置給安全團隊，那么更安全的選擇是將其外包出去。

2. 關(guān)注重點領(lǐng)域并制定計劃

制定適當(dāng)?shù)挠媱?，并確定在整個威脅搜尋過程中應(yīng)當(dāng)遵循的程序，將對威脅捕獲工作起到非常積極的關(guān)鍵作用。通過制定計劃和時間表，可以確保威脅捕獲團隊的任務(wù)不會干擾到其他團隊。此外，時間表還可以幫助預(yù)先確定任務(wù)優(yōu)先級，這將有助于威脅獵人有效地執(zhí)行操作，同時追蹤已經(jīng)完成的所有任務(wù)，以及需要關(guān)注的優(yōu)先級任務(wù)。

3. 生成一個假設(shè)

從頭到尾在你的腦海中構(gòu)建一個假設(shè)場景，可以幫助你輕松地繪制任務(wù)路線圖，以及確定任務(wù)完成的時間。在捕獲威脅的過程中，團隊?wèi)?yīng)該確定好需要尋找的內(nèi)容，以及期待找到什么。例如，就本文而言，威脅獵人應(yīng)該事先確定他們正在尋找惡意軟件，或入侵者可能已經(jīng)入侵了系統(tǒng)。

知道要查找的內(nèi)容，就可以輕松地找到它，或者在明確沒有威脅的情況下停止搜索。如果缺乏假設(shè)，那么對威脅的搜索過程將變得無邊無際、無從著手，同時，威脅獵人也永遠無法明確何時停止搜索任務(wù)。

4. 整合關(guān)鍵信息和數(shù)據(jù)

有效地組織所有可用信息和數(shù)據(jù)是一項任務(wù)量很大的工作。但是，如果這些數(shù)據(jù)和信息沒有組織起來，就無法發(fā)揮效用，因為你將無法在適當(dāng)?shù)臅r候找到所需的內(nèi)容。威脅獵人收集和整理的數(shù)據(jù)可以包括進程名稱、命令行文件、DNS查詢、目標(biāo)IP地址以及數(shù)字簽名等。

如果所有這些信息都可用，但卻未按易于篩選的方式排序的話，那么威脅獵人可能仍然需要很長時間才能找到正確的信息，然后才能利用額外的時間來利用這些數(shù)據(jù)完成操作。此外，這種做法還會過度消耗用于威脅搜索的預(yù)算和資源，破壞威脅獵人的整體生產(chǎn)力。

5. 任務(wù)自動化

沒有AI和任務(wù)自動化的幫助，就無法跟上不斷增長的網(wǎng)絡(luò)威脅的步伐。即便人力搜索必不可少，但是沒有自動化的話，每天出現(xiàn)在互聯(lián)網(wǎng)上的數(shù)千種新型威脅和惡意軟件都可能會被忽略和漏掉。對于威脅獵人來說，人力和AI的組合能夠有效地針對現(xiàn)代安全環(huán)境和敏感網(wǎng)絡(luò)進行精確的威脅捕獲。

6. 執(zhí)行

不得不說，威脅獵人可以用于消除現(xiàn)代安全環(huán)境威脅的完美工具或程序根本不存在。隨著威脅行為者的技能不斷提升，威脅獵人也需要創(chuàng)新思維，以保證能夠搶先網(wǎng)絡(luò)攻擊一步鎖定并阻止威脅，這始終是一場持續(xù)性的斗爭。

AI和網(wǎng)絡(luò)威脅捕獲的未來

近年來，最新發(fā)展起來的工具之一就是人工智能(AI)以及機器學(xué)習(xí)，它們一直在幫助威脅獵人縮減在搜索、防御和解決問題上花費的時間，大幅提升了威脅獵人的工作效率。

然而，有些人認(rèn)為，隨著AI技術(shù)日益成熟，它將最終取代人類威脅獵人的地位。但我認(rèn)為，這種情況永遠不會發(fā)生，主要包含如下兩個原因：

最主要的原因是，AI還是一種發(fā)展中的技術(shù)，它可以提供給善意和惡意兩者類型的行為者所用。此外，一些分析師甚至認(rèn)為，未來的網(wǎng)絡(luò)威脅將通過AI甚至區(qū)塊鏈來創(chuàng)造和傳播，從而產(chǎn)生更廣泛的影響。

其次，AI是人類創(chuàng)造的工具。盡管它在同時分析所有選項并做出最佳決策方面非常有效，但它可能永遠無法超越人類思維所能實現(xiàn)的創(chuàng)造力和創(chuàng)新型。AI在實現(xiàn)和研究方面可能非常好用，但是現(xiàn)在，人類將以他們自身的創(chuàng)造力和批判性思維來引領(lǐng)網(wǎng)絡(luò)安全發(fā)展。