Threat Hunting

Threat hunting（威胁狩猎，以下简称hunting）是近几年业内的热词之一，出现了很多代表性的厂商和产品，如 FireEye Managed Defense 的核心特性之一就是主动狩猎¹，再如 Crowdstrike 的FALCON OVERWATCH™（其定义为基于 FALCON 平台的可管理威胁狩猎服务²），还有专注在该领域、今年年初刚被 AWS 收购的Sqrrl。

2 周以前，Richard Bejtlich 和 Robert M. Lee 就 hunting 术语定义进行了一场精彩的博客辩论。沿着他们的思辨过程，了解到两位作者基于之前工作经历对 hunting 的理解以及价值主张陈述，回顾了 hunting 以及 IOC （Indicators of Compromise，失陷指标）的起源，也帮助读者温习了情报和安全分析领域多篇经典文章。

Richard Bejtlich 是前 Mandiant CSO & FireEye CSS、网络安全监控领域的资深专家，也曾任职于 AF-CERT/GE-CIRT；而 Robert M. Lee ³是SANS 网络安全滑动标尺模型的作者，有NSA Threat Operations Centers (NTOC)的工作经历，他的另外两篇威胁狩猎文章^{4 5}也为大家熟知。有感于国外实战经验丰富的安全专家同时具备上佳理论素养，笔者基于理解，分享总结本次讨论的如下内容：

• 威胁狩猎是什么（不是什么）
• 威胁狩猎的目的

威胁狩猎是什么（不是什么）

Richard 认为，hunting 仅是一种检测形式。最早源自2011年，时任GE-CERT事件响应团队总监的 Richard在信息安全杂志发表《成为猎人》一文，提到：为了最好地对抗定向攻击，需要一种主动检测和响应入侵者的创新思考和方法，也即“hunting”。当时这一起源自军方的概念已经在民用领域占据一席之地。具体来说，CIRT 团队中资深的调查员发现了一种可能检测到入侵者的新颖方法，他会指导一名或多名初级分析师通过数据和系统寻找敌人迹象。 一旦验证了该项检测技术（并响应任何敌人的行为）后，狩猎团队应该努力将新的检测方法纳入安全运营中心分析师使用的可重复流程中。开发新的方法、对此进行在野测试、并将其诉诸实施，这种想法是对抗现代对手的关键。

更进一步，他于2013年在《网络安全监控实践（The Practice of Network Security Monitoring）》一书中定义NSM流程时，提出 IR 团队用于检测入侵者主要有两种模式：一种是“匹配”模式，也即以IOC为中心的分析方法；hunting 为“IOC-free”的分析，因为分析师并不知道该找什么，而一旦知道找什么，就是一种匹配模式。hunting 技术一旦被验证 (并响应任何敌人的行动) 后，猎人会将新的检测方法集成到CIRT团队以IOC为中心的操作中。

NSM流程.PNG

源：⁶

也正是Richard 基于上述定义回复twitter问题，促使 Robert 发文分享，他认为：

1. 狩猎时一种主动的、迭代的威胁检测方法。（以滑动标尺模型来看，hunting是落到主动防御阶段，而 Richard 耕耘甚深的NSM 也是该阶段作者推荐的防御模型之一。）
2. 狩猎不是一种检测形式，或者说不仅仅是一种检测形式。
3. 狩猎是一种以假设为导向的方法，用于测试环境中面临的威胁。
4. 狩猎是一种评估安全性（人员，流程和技术）免受威胁的方法，同时扩展自动化覆盖度，以便在将来做好充分的准备。 或者简单地说，狩猎是有目的性的事件尚未完成时的事件响应。

讨论过程中，尽管上述两者的定义不同，两人都认同狩猎是一种基于假设并需要进行验证和测试的，用于寻找新的威胁的可迭代安全分析方法。而单纯的基于指标匹配并不是狩猎。

威胁狩猎的目的

双方最主要的分歧则在于 hunting 的目的。Richard 基于历史语境，从美国军方概念起源到民用领域（GE-CIRT 的经验）的实践，遵循传统观念，认为狩猎的目的是将发现对手视为第一位的，而识别“看见”和“对抗”上的差距则是衍生出来的收益。具体追溯 hunting 起源⁷时，Richard 提及：“hunt”这一术语最早起源于2000年代中期，美国空军推广“hunter-killer”这一术语。同时期他参与一次 NSA 举办的红/蓝队研讨会上，该术语来自时任 NSA Vulnerability and Analysis Operations (VAO)主任 Tony Sager 的分享。而 Sager 在评论这篇博客时，分享了于 VAO 的 hunting 历史定义：

1. “Hunt“ 意味着利用现有红/蓝队以及通信安全（COMSEC）监控的基础架构、非常有计划和持续地搜索攻击者，同时还会应用情报信息来指导搜索。
2. “Hunt” 作为 NSA 信息保障署（ Information Assurance Directorate）下 VAO 团队联合任务模式的一部分，在 2000 年代中期出现。它也是一种联合 IA 和 SIGINT （NSA创建时的两个主要任务，信息保障和信号情报）任务的一种方式—情报驱动狩猎。

Robert 则基于之前在 NSA Threat Operations Centers (NTOC) 的工作经历，认为狩猎的目的不在于发现威胁，而在于确定防守方在检测和响应威胁的能力方面以及情报收集方面存在哪些差距。

小结

本次“论战”，双方都是基于自身的经验分享对于hunting的理解，如果说Richard对于hunting的定义基于传统，那么Robert 的定义则更为广义，但双方的理解都深受美国军方思想的影响。最主要的分歧在于狩猎的目的。本身这样的讨论并无绝对的对错，于行业是受益的。我比较赞成Robert在这个系列最后一篇博客中提到的观点：避免“诉诸传统”的逻辑谬误。有些术语的形成可能只是约定成俗。值得一提的是，这次讨论过程，两位作者引经据典，帮助我们回顾了近 10 年美国安全行业一些重要的安全理念和理论，尤其很多模型和理论来自实践总结。虽说“纸上得来终觉浅”，但从实践到理论无疑是一次提升和沉淀。

附录1—本次论战博客链接

• Robert M. Lee, “Hunting vs. Incident Response vs. Just Doing Your Job“，http://www.robertmlee.org/hunting-vs-incident-response-vs-just-doing-your-job/，2018年11月22日
• Richard Bejtlich, “More on Threat Hunting”，https://taosecurity.blogspot.com/2018/11/more-on-threat-hunting.html，2018年11月23日
• Richard Bejtlich, “Even More on Threat Hunting”，https://taosecurity.blogspot.com/2018/11/even-more-on-threat-hunting.html，2018年11月24日
• Robert M. Lee, “Threat Hunting, TTPs, Indicators, and MITRE ATT&CK – Bingo”，http://www.robertmlee.org/threat-hunting-ttps-indicators-and-mitre-attck-bingo/，2018年11月25日
• Richard Bejtlich, “The Origin of the Term Indicators of Compromise (IOCs)”，https://taosecurity.blogspot.com/2018/11/the-origin-of-term-indicators-of.html，2018年11月25日

---

1. https://www.fireeye.com/content/dam/fireeye-www/solutions/pdfs/ds-managed-defense.pdf
2. https://www.crowdstrike.com/products/falcon-overwatch/
3. http://www.robertmlee.org/
4. https://www.sans.org/reading-room/whitepapers/threats/paper/37172
5. https://www.sans.org/reading-room/whitepapers/analyst/who-what-where-when-effective-threat-hunting-36785
6. https://taosecurity.blogspot.com/2018/11/even-more-on-threat-hunting.html
7. https://taosecurity.blogspot.com/2017/03/the-origin-of-threat-hunting.html