2.3　威脅獵殺成熟度模型

威脅獵殺團隊的組成以及專門用于獵殺的時間將取決于組織的規(guī)模和需求。當(dāng)沒有針對獵殺團隊的預(yù)算時，獵殺工作就要安排給其他安全分析師。在這種情況下，分析師通常是SOC或事件響應(yīng)團隊的一部分。

因此，如果團隊的資源有限，為了成功實施威脅獵殺計劃，我們有必要仔細計劃和準(zhǔn)備獵殺，并將獵殺流程和經(jīng)驗與正在使用的工具、技能和技術(shù)的淵博知識結(jié)合起來。David Bianco的威脅獵殺成熟度模型可以幫助我們確定所處的位置，以及要壯大獵殺團隊還需要做哪些工作。

確定成熟度模型

所有組織都可以進行威脅獵殺，但為了有效開展獵殺計劃，它們必須在必要的基礎(chǔ)設(shè)施和工具方面進行投資。為了獲得良好的投資回報，組織需要處于成熟度模型中較高的等級。如果團隊沒有提供需要的必要技能、工具和數(shù)據(jù)，那么威脅獵殺計劃的效果將受到限制。

威脅獵殺成熟度模型（見圖2.4）定義了五個等級，用于對團隊的檢測能力進行分類：初始級、極低級、程序級、創(chuàng)新級和領(lǐng)先級。該模型可用于確定組織所處的階段，以及組織需要采取哪些步驟才能升級，同時可評估已建立的自動化程度、數(shù)據(jù)收集例程和數(shù)據(jù)分析程序。

圖2.4　威脅獵殺成熟度模型

初始級和極低級都嚴重依賴自動檢測工具，但在初始級，有些網(wǎng)絡(luò)威脅情報可用于執(zhí)行獵殺。

可用于威脅獵殺的威脅情報來源有兩種類型：內(nèi)部威脅情報來源和外部威脅情報來源。內(nèi)部來源可以是歷史事件或針對組織基礎(chǔ)設(shè)施的偵察嘗試的記錄。外部來源可以是威脅情報團隊使用OSINT或付費供應(yīng)商報告或饋送進行的分析。任何有關(guān)組織環(huán)境可能受到威脅的信息，如果不是來自組織自身，都被視為外部信息。

程序級、創(chuàng)新級和領(lǐng)先級的等級都由高級的數(shù)據(jù)收集例程決定，彼此差異取決于團隊是否能夠創(chuàng)建自己的數(shù)據(jù)分析程序，以及它們是否能夠為這些自動化程序提供反饋，以避免重復(fù)相同的獵殺。