2.2　威脅獵殺的定義

在討論威脅獵殺的定義之前，我們先來說明一下哪些不是威脅獵殺，進而澄清一下關于這個概念的一些誤解。首先，威脅獵殺與網絡威脅情報（CTI）或事件響應不同，盡管它與它們密切相關。CTI可能是一個很好的獵殺起點。事件響應可能是該組織在成功獵殺后采取的下一步行動。威脅獵殺也不是指安裝檢測工具，盡管安裝檢測工具可以提高它們的檢測能力。此外，它并不是在組織的環境中搜索IOC，相反，將尋找繞過檢測系統的工件，而這些系統已饋送有IOC。威脅獵殺既不等同于監控，也不等同于在監控工具上隨機運行查詢。最重要的是，威脅獵殺并不是一項只能由選定的專家小組完成的任務。當然，專業知識很重要，但這并不意味著只有專家才能進行威脅獵殺。有些威脅獵殺技巧需要更長時間才能掌握，有些則是與事件響應和分類共享的。威脅獵殺實踐本身已經存在多年了，早在它被叫作“威脅獵殺”之前就已經存在了。進行獵殺的主要條件是知道該問什么，從哪里挖出答案。那么，威脅獵殺是什么呢？

根據SANS最早的一份關于威脅獵殺的白皮書The Who,What,Where,When,Why and How of Effective Threat Hunting（https://www.sans.org/reading-room/whitepapers/analyst/membership/36785）——由羅伯特·M·李（Robert M.Lee）和羅布·李（Rob Lee）于2016年撰寫，威脅獵殺被定義為“一種集中和迭代的方法，用于搜索、識別和了解防御者網絡內部的對手”。

讓我們稍微擴展一下上述定義。首先，我們需要聲明，威脅獵殺是一種由人驅動的活動。將威脅情報應用于獵殺實踐是一種主動的安全方法，因為它是在為時已晚之前做一些事情，也就是說，它不是一種被動的措施。威脅獵殺也是為了在組織的環境中不斷尋找危害的跡象。它是一種迭代過程，因為它從其他安全活動中獲取信息，也為其他安全活動提供信息。此外，威脅獵殺的前提是已經發生了入侵。

在威脅獵殺中，我們假設對手已經在我們的環境中，獵人的工作是盡快發現入侵，以便將其損害降至最低。這一過程涉及人的分析能力，因為能否找到繞過可能已經部署就位的自動檢測系統的入侵跡象取決于獵人。總而言之，威脅獵人的目標是縮短威脅的駐留時間。

駐留時間是指從對手滲透到環境到檢測到入侵之間的時間量（見圖2.1）。根據SANS 2018威脅獵殺調查結果，平均而言，對手可以在失陷環境中自由漫游超過90天。需要明白的一件重要事情是，減少駐留時間的戰斗永無止境。對手會適應我們的檢測率，并將改進其技術，以便在我們的系統中實現滲透而不被發現。社區和獵人將從他們的新技術中學習，并將再次減少駐留時間，只要對手以組織的環境為目標，這個循環就會繼續下去。

圖2.1　威脅獵殺時間表

因此，我們可以說威脅獵殺是一種由人驅動的活動，它在組織的環境（網絡、終端和應用程序）中主動地迭代搜索危害跡象，以縮短威脅的駐留時間并最大限度地減少入侵對組織的影響。

此外，如果希望了解組織在嘗試檢測某些技術時的可見性差距，威脅獵殺也可派上用場。它將有助于創建新的監控和檢測分析，可以引領發現新對手的TTP（這些TTP將為網絡威脅情報團隊和社區提供支持），而且獵殺本身也可能會帶來進一步的分析。

2.2.1　威脅獵殺類型

Sqrrl Team（https://www.cybersecurity-insiders.com/5-types-of-Threat-Hunting/）將威脅獵殺劃分為五種不同類型：數據驅動、情報驅動、實體驅動、TTP驅動和混合驅動。同時，這五種不同的類型又可以分為結構化（基于假設）和非結構化（基于數據中觀察到的異常）類型，如圖2.2所示。

圖2.2　威脅獵殺類型

2.2.2　威脅獵人技能

截至目前，我們已經嘗試給出了威脅獵殺的定義。我們已經提到，威脅獵殺并不是只有經驗豐富的安全分析師才能做的事情。那么，威脅獵人都需要具備哪些技能呢？

由于威脅情報是獵殺的觸發因素之一，因此稱職的威脅獵殺分析師至少要對網絡威脅情報的核心主題——高級持續性威脅、惡意軟件類型、危害指標、威脅行為體動機和意圖等——有基本的了解。此外，威脅獵人還需要了解攻擊者將如何實施攻擊。熟悉網絡殺傷鏈和ATT&CKTM框架將會對此有所幫助。尤其需要指出的是，如果我們希望熟悉在不同的技術環境（Linux、macOS、Windows、云、移動和工業控制系統）中實施攻擊的方式，那么ATT&CK框架將非常有用，并且這些技術（和子技術）提供的粒度能夠讓分析師更好地了解攻擊的設計過程和隨后的執行方式。

一般來說，在分析網絡活動時，對網絡的架構和取證有很好的了解將非常有用。同樣，執行威脅獵殺時一部分工作是處理大量的日志。與此相適應，威脅獵人需要能夠識別網絡活動以及從終端和應用程序收集的數據中的異常模式。在這方面，熟悉數據科學方法和SIEM的使用方法將大有裨益。我們將在第4章深入討論這一具體問題。

最后，威脅獵殺分析師需要很好地了解組織使用的操作系統的工作原理，以及他們將要使用的工具。

為了進行獵殺并能夠發現什么是偏離常規的行為，威脅獵人需要熟悉組織的正常活動（基線）以及事件響應流程。理想情況下，負責獵殺的團隊不會是負責事件響應的團隊，但有時由于資源限制，情況并非如此。在任何情況下，團隊都需要知道在發現入侵后應該采取什么步驟，以及如何保存入侵的證據。

威脅獵人也需要善于溝通。一旦確定了威脅，就需要將信息適當地傳達到該組織的關鍵實體。獵人需要能夠溝通，以驗證他們的發現，并傳達其發現的緊迫性和可能會對組織產生的影響。最后，威脅獵人必須能夠有效地傳達投資回報是如何達成的，以保證威脅獵殺計劃的持續開展（我們稍后將對此進行更深入的挖掘）。

2.2.3　痛苦金字塔

大衛·比安科（David Bianco）的痛苦金字塔（https://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html）模型是一種同時用于CTI和威脅獵殺的模型，如圖2.3所示。這種模型可以表示一旦你確定了對手的危害指標、網絡基礎設施和工具后，對手不得已改變自己的攻擊方式時面臨的“痛苦”程度。

圖2.3　痛苦金字塔

最下面的前三個級別（散列值、IP地址和域名）是自動檢測工具最感興趣的。這些都是威脅行為體可以輕松改變的指標。例如，一旦域名暴露，威脅行為體只需注冊一個新域名即可。比更改域名更容易的是更改IP地址。域名更令人頭疼的主要原因是它們必須付費購買并進行配置。

散列是加密算法的結果，加密算法可以將原始信息映射到另一個值（具有固定大小的十六進制字符串）中，而不考慮其原始大小。散列有多種類型，包括MD5、SHA-1、SHA-2和SHA-256。散列化不僅僅是一個單向的過程，理想情況下，它不能從不同的文件中產生相同的結果。對原始文件所做的任何細微更改都會導致生成不同的散列。這就是為什么威脅行為體更改與其工具相關的散列值是微不足道的。

重要提示：

散列沖突是指兩個不同的值生成相同散列值的現象。雖然MD5散列仍可用于驗證數據完整性，但眾所周知，它們存在較高的散列沖突率。

你可以在Ameer Rosic關于該主題（https://blockgeeks.com/guides/what-is-hashing/）的文章中了解更多關于散列的信息。

攻擊者需要付出更多的努力才能更改網絡和主機工件。這類指標可以是注冊表鍵、用戶代理和文件名。為了更改它們，攻擊者需要猜測哪些指標被攔截，從而需要修改該工具的配置。如果獵殺團隊能夠檢測到對手工具的大部分工件，對手將被迫更改它以便規避檢測。

想象一下，分配了大量資源并花費大量時間開發了一個軟件，而且已根據需要進行了調整，然后有一天不得不完全放棄這個項目而開始另一個新的項目。盡管這個示例可能過于極端，但對于了解為什么對手更換工具會很有挑戰性是非常有用的。

金字塔的頂端是戰術、技術和程序（TTP）。當對這些TTP作出反應時，我們不是對對手使用的工具作出反應，我們的實際目標是它的核心，也就是它們的行為方式。檢測對手的技術及行為方式是最令其痛苦的事情，因為對手為了改變做事的方式，必須重新思考，學習新的做事方式，走出已有的舒適區，重新塑造自己，這就意味著需要更多時間、資源和金錢。