什么是威胁追踪？

威胁搜寻很重要，因为它可以帮助组织完善其安全状况，防范勒索软件、内部威胁和其他可能被忽视的网络攻击带来的风险。

虽然自动化安全工具和警惕的安全运营中心 (SOC) 分析人员能够在大多数网络安全威胁造成重大损害之前将其检测出来，但一些复杂的威胁可能会绕过这些防御机制。

恶意行为者进入系统后，可能会潜伏数周甚至数月，然后才被发现。根据 IBM 的《数据泄露成本报告》，识别已发生的数据泄露平均需要 194 天。而在此期间，攻击者不断窃取数据和凭据，以获取更多访问权限。

这些潜在威胁能造成多大的损害？根据数据泄露成本报告，一次泄露给公司造成的损失平均为 488 万美元。从攻击者初次访问到受到遏制之间相隔的时间越长，组织付出的代价就越高昂。

有效的威胁搜寻需要安全团队主动搜索这些隐藏的威胁。这样一来，组织就能更快地发现入侵并部署缓解措施，从而减少攻击者可能造成的损害。

网络威胁搜寻人员是具备熟练技能的网络安全专业人员。他们通常是公司 IT 部门内部的安全分析师，非常了解组织的运营，但有时是外部分析师。威胁搜寻团队采用自动化技术来帮助搜索、记录、监控和消除威胁，以免它们造成严重问题。

威胁搜寻程序以数据为基础——具体来说，是组织的威胁检测系统和其他企业安全解决方案收集的数据集。

在威胁搜寻过程中，威胁搜寻人员会梳理这些安全数据，搜索隐藏的恶意软件、隐身攻击者，以及自动化系统可能遗漏的任何其他可疑活动迹象。

威胁搜寻人员发现威胁后，会立即采取行动，消除威胁并加强防御，确保该情况不会再次发生。

搜寻人员首先根据观察、安全数据或其他触发因素提出假设。该假设为深入调查潜在威胁提供了跳板。

调查通常分为三种形式：结构化搜寻、非结构化搜寻和情境化搜寻。

基于情报的搜寻以来自威胁情报来源的 IoC 为基础。威胁搜寻人员使用安全信息和事件管理 (SIEM) 系统等工具来监控已知的 IoC，例如哈希值、IP 地址、域名和主机构件。发现 IoC 后，搜寻人员会通过检查警报发出前后的网络状态来调查潜在的恶意活动。

基于假设的搜寻以 MITRE ATT&CK 等框架中记录的已知 IoA 为指导。基于假设的搜寻会探索攻击者是否可以使用某些 TTP 来访问特定网络。识别出某种行为后，威胁搜寻人员可以监控活动模式，以检测、识别和隔离使用该行为的任何威胁。

由于具有主动性，基于假设的搜寻可以帮助识别和阻止高级持续性威胁 (APT)，避免其造成大范围破坏。

定制搜寻基于组织的背景，包括：以前的安全事件、地缘政治问题、有针对性的攻击、安全系统发出的警报以及其他因素。定制搜寻可以将基于情报的搜寻方法和基于假设的搜寻方法相结合。

安全团队使用各种工具来协助威胁追踪。最常见的一些工具包括：

SIEM 是一种安全解决方案，可帮助组织及早识别并解决威胁和漏洞，以免它们有机会破坏业务运营。SIEM 有助于更早地检出攻击，并减少威胁搜寻人员必须调查的误报数量。

EDR 软件利用实时分析和 AI 驱动的自动化技术，保护组织的最终用户、端点设备和 IT 资产，使其免受传统端点安全工具无法抵御的网络威胁侵袭。

MDR 是一种网络安全服务，能够实时监控、检测和应对威胁。它结合了先进的技术和专家分析，可推动主动威胁搜寻，实现有效的事件响应，并快速执行威胁修复。

这些系统将大数据与复杂的机器学习和人工智能工具相结合，可提供对安全数据更深入的洞察分析。安全分析可以通过提供详细的可观测性数据来加速网络威胁搜寻。

威胁情报，也称为“网络威胁情报”，是组织可以用来预防和应对网络安全威胁的具体且切实可行的信息。

威胁情报让组织能够深入了解针对其网络的最新威胁，以及更大范围内的威胁态势。

威胁搜寻人员利用威胁情报在整个系统中进行全面搜索，以发现不良行为者。换言之，威胁搜寻始于威胁情报的终点，将威胁情报的洞察分析转化为消除现有威胁和预防未来攻击所需的具体行动。