2.5　構建假設

本章提到威脅獵殺的主要特點之一是它是一項由人驅動的活動，而且不能完全自動化。這一過程的核心是生成獵殺假設，該假設指的是與威脅獵人預感一致的對組織環境的威脅，以及如何檢測這些威脅。假設部分基于觀察（在其中我們注意到與基線的偏差），部分基于信息（這些信息可能來自經驗，也可能來自其他來源）。

精心設計這一假設對于產生良好的獵殺效果至關重要。定義不清的假設會導致錯誤的結果或結論。這很可能會對組織產生負面影響，因為防御和可見性的差距將被遺漏，從而為對手提供了安全通道。缺乏足夠的可見性是組織最大的敵人，因為這會讓人產生一種錯誤的安全感，導致錯誤的假設，認為入侵沒有發生。

定義明確的假設必須是簡明而具體的。它必須是可以測試的，不需要假設有無限的時間和資源。獵人無法測試的假設是沒有用的，所以必須要考慮到獵人所掌握的工具和所需的數據。假設不能太寬泛，也不能太具體，但必須明確要從哪里收集數據，要搜索什么樣的數據。

Robert M.Lee和David Bianco寫了一篇論文“Generating Hypotheses for Successful Threat Hunting”，內容是為成功的威脅獵殺生成假設（https://www.sans.org/reading-room/whitepapers/threats/paper/37172）。在論文中，他們給出了三種主要類型的假設：

●基于威脅情報：這種類型的假設考慮了良好的IOC，也就是說，適當地結合了危害指標、威脅情況和地緣政治背景。這類假設的主要危險是過于關注IOC，所以最終會產生低質量的匹配結果。最好關注威脅行為體的TTP，而不是包含數百個指標的饋送源。

●基于態勢感知：這種類型的假設依賴于我們確定組織內最重要的資產的過程，這也被稱為皇冠寶石分析。獵人試圖弄清楚對手可能在組織環境中尋找什么，包括其目標。從這個角度來看，威脅獵人必須思考要尋找的數據需求和活動的類型。重要的是要記住，并不是所有的事情都應該局限于網絡領域。在設計態勢感知假設時，還應該考慮人員、流程和業務需求。

●基于領域專業知識：這類假設依賴威脅獵人的專業知識。獵人產生的假設取決于他們自己的背景和經歷。獵人過去進行的獵殺也將影響所做的假設。在這里，文檔流程對于記錄已學到的經驗教訓并與團隊中其他成員分享這些經驗教訓尤為重要。有經驗的獵人必須非常清楚地意識到認知偏見。盡量避免不良的分析習慣，并采用預防偏見的方法。

最好且成功的假設是那些結合了這三種知識的假設。