威胁猎杀（Thread Hunting）

什么是威胁猎杀

• 是一种集中和迭代的方法，用来搜索、识别和理解进入网络内部的攻击者。
• 利用内外威胁情报资源，主动识破对手的意图、能力和攻击机会，并将对手的优势扭转为防御方的优势，是一个持续改善的迭代过程。

作为一个威胁，攻击者含有三个要素：意图、能力和机会。威胁猎杀将搜索重点放在具有着三个特征的对象身上，收集证据、部署对策。最近对威胁猎杀的强调不在于重塑多年来防护者所做的努力，而是关于分析人员有意识地确定和对抗可能已经在环境中的对手。威胁猎杀需要一些具体的分析技能，例如对企业网络环境熟悉，提前假设和调查的能力。使用自动化攻击的分析人员，使这些追踪更快，更容易，更频繁和更准确。

为什么需要威胁猎杀

威胁是指对手，是人，而不仅仅是他们的工具。这些对手是持久和灵活的，经常能够逃避网络防御。这些威胁通常被认为是高级持续威胁（APT），而不仅仅是因为对手所拥有的能力，而且还因为他们有能力发起和维持长期的攻击。

什么时候进行猎杀

许多组织面临的挑战是使威胁猎杀过程成为可实现和可重复的过程，以产生价值。
这个挑战的最重要部分是将威胁猎杀有机地整合到现有的工作流中，以便它补充当前的工作。
威胁猎杀不应该被视为一个一站式服务来解决网络上的每一个问题，而应该是总体安全战略的一部分。

威胁猎杀链Hunt Chain

威胁猎杀成熟度模型

成熟的模型注重三个要素：收集数据的质量， 用于访问和分析数据的工具以及进行追踪的分析人员的技能。
威胁猎杀成熟度模型提出了五个阶段：初始—>最小化—>程序化—>创新—>领先。
该模型的主要目的是表现出威胁猎杀不是一个单一的状态，而是迭代的持续化发展。组织应该最大限度地收集数据，有效地分析数据，然后适当地利用其分析人员进行分析。机器学习应该把追踪重点你放在数据优先级别和分析上。

威胁猎杀团队的组织架构