威胁狩猎及其所需技能

---

在保护系统、网络和数据方面，全面的威胁管理解决方案是每个 IT 专业人员工具包中必不可少的；然而，并非每个人都知道如何采取先发制人的措施来应对潜在威胁。当识别出潜在威胁时，防火墙（例如入侵检测系统 (IDS) 或安全信息和事件管理 (SIEM) 系统）可以开始执行其职责。

您需要制定并执行威胁狩猎计划，以充分保护公司信息技术基础设施免受恶意网络行为者的攻击。根据 Domaintools 进行的一项研究的结果，威胁狩猎之所以有效，是因为：

• 74% 的受访者报告攻击面减少。

• 59% 的受访者报告响应时间和准确性都有所提高。

• 调查显示，50% 的公司在其信息安全系统中隐藏了漏洞。

威胁狩猎基础

什么是威胁狩猎？

“威胁狩猎”是指一种特定的安全调查，旨在发掘迄今为止未被发现的潜在风险。此类研究的目的是发现潜在的威胁。

谁是威胁猎人？

精通其专业领域并对了解潜在威胁有着无限渴望的人有资格被称为威胁猎人。他们选择忽略安全系统发送的警告，并且不尝试修补已识别的漏洞。相反，他们受雇于公司担任分析师，利用他们对业务复杂性和面临威胁的性质的了解来指导公司的调查，并引导公司获得最重要的信息。

他们为什么要狩猎？

曾经有一段时间，公司担心可能危害其信息技术基础设施的自动化形式的恶意软件和病毒。敌人不再仅仅是像计算机病毒这样的有害软件；如今，是实际的人以独特且持续的方式对您的系统构成威胁。世界发现安全漏洞的平均时间从 2015 年的 146 天减少到 2016 年的 99 天。此变化发生在 2015 年至 2016 年之间。但是，您仍然需要注意接下来的 199 天。最好不要等待安全工具发出警报，而是主动搜寻危害，以便您可以快速响应并最大程度地减少损害。如果您等待安全工具发出警报，您可能会错过潜在的威胁。

威胁猎人做什么？

专门负责查找信息系统漏洞的信息技术 (IT) 安全从业人员被称为威胁猎人。他们可以检查系统端点（如手机、IP 地址和计算机）的全貌，并建议 IT 部门如何充分利用其可用资源来检测和消除任何安全问题。由于他们使用相同的方法，因此黑客熟悉网络最佳实践，并深入了解数据在网络中的传输方式。

在对网络的系统或端点进行调查以查找损害迹象或模式后，分析师有责任分析情况并报告其发现。电子邮件和即时消息等技术的融合导致生物识别作为控制安全漏洞的一种方法的发展。他们首先将潜在威胁通知安全官或安全运营中心，然后与高级管理层合作找到解决这些问题的方案。

获得识别和避免潜在风险的能力

如果您目前具备这些技能或认为自己可以快速学习这些技能，并且有兴趣成为威胁猎人，请考虑以下信息。

• 了解您感兴趣领域的方方面面，并培养对信息的强烈渴望。

• 了解可以帮助您识别潜在威胁的尖端资源。

• 获得利用您的“第六感”来识别潜在威胁的能力。

• 做出明智的预测。

• 获得识别情况、获得视角、做出决策并采取行动 (OODA) 的必要技能。

• 为对手可能采取的行动做好准备。

培训应优先于任何其他事项。可以通过使用许多有用的工具（例如 Simplilearn CompTIA Security+ 认证课程）来学习信息技术安全。除了全面了解本课程中详细介绍的网络安全和风险管理基础知识外，参与者还将获得威胁分析和使用适当的缓解措施进行响应的实践经验。

由于该行业对熟练人才的需求不断增加，因此从事网络安全领域的工作可能会带来有利可图的职业选择。一个人可以在这个行业中执行各种各样的任务，但其中一个特别引人注目的选择是成为一名威胁猎人。

威胁狩猎所需技能

要追求威胁猎人的职业生涯，您必须具备以下技能

数据分析

要成功地担任威胁猎人的角色，必须保持持续的意识状态，收集相关数据，然后详细检查这些数据。因此，一位称职的威胁猎人需要对数据科学中使用的分析、工具和方法有扎实的了解。他们需要能够使用数据可视化工具创建图表和图表，以帮助他们发现模式，从而为他们的狩猎调查和工作找到完美的下一步。他们还需要知道如何正确使用这些工具。

模式识别

对于威胁猎人来说，能够识别表明黑客攻击、恶意软件和其他异常行为的模式至关重要。如果要检测网络上发生的任何不良活动或交易，他们首先需要识别此类模式。

良好的沟通能力

威胁猎人需要具备良好的沟通能力，以便向管理层和安全团队负责人解释他们的发现，以及他们减少发现的漏洞的建议。

数据取证能力

调查新威胁（包括部署方法、恶意软件的功能和潜在损害）的能力需要数据取证专业知识，而这只有威胁猎人才能提供。如果评估文件的人知道要查找什么以及在哪里查找，则不需要成为数据取证专家。例如，特洛伊木马病毒可能会接管 Netcat 命令并使其看起来好像系统正常工作，而实际上它已被感染。这将构成病毒的欺骗行为。

了解系统的工作原理

要成为一名有效的威胁猎人，您必须彻底了解所有事物如何相互交互。重点放在可使用的知识上，这些知识可以通过深入了解自己的组织及其使用的流程来收集。您需要掌握预测挑战的技能。也就是说；威胁猎人需要能够观察情况并立即理解其含义。之后，他们必须与其他团队合作并帮助提高安全级别。

结论

有兴趣转向威胁狩猎的人可以自学许多必要的技能，尤其是在他们已经拥有技术或信息技术背景的情况下。对于其他类型的网络安全职位也是如此。对于有兴趣从事威胁猎人职业的人员，可获得 CompTIA Security+、GIAC 渗透测试员 (GPEN) 和认证道德黑客 (CEH) 等认证。这些认证可以帮助个人在该领域脱颖而出。