譯者序

情報能夠用來及時預測變化，從而促進組織采取行動。基于這種集遠見性和洞察力于一體的情報，我們能夠發現即將發生的變化：機會或威脅。在人類歷史上，情報和戰爭一樣古老。在各式各樣的間諜故事中，主角的最終目的都是獲取情報。有了情報就有了走夜路的燈籠，有了牽著對手鼻子走的法寶。1939年，毛澤東在一次講話中談起長征時感慨：“沒有二局，長征是很難想象的。有了二局，我們就像打著燈籠走夜路。”據公開報道，正是二局通過破譯敵人密電碼掌握了敵人的核心機密，才為長征勝利奠定了堅實的基礎。破譯密電碼的過程就是獲得敵方的威脅情報的過程。

在日益復雜、嚴峻的網絡空間中，包括數據在內的各類資產面臨的威脅從概率事件向必然事件轉變，如何盡早感知、發現威脅并掌握威脅態勢，及時介入干預，成了當前安全的重要方向，而網絡威脅情報正是在這一方向有效前行的基石。本書作者將網絡威脅情報當作一門網絡安全學科，并將其視為計算機和網絡安全的一種主動防御措施，也就是說使用威脅情報進行獵殺是一種主動行為。對組織而言，有了威脅情報就有了將威脅拒之門外的決策知識；對安全企業而言，有了威脅情報就有了提升其威脅預警發現能力的關鍵資產。

與基于威脅情報的安全態勢感知預警不同，威脅獵殺則聚焦于假定對手已攻陷目標網絡，在其對業務造成重大危害之前，應盡早將其控制、捕獲、清除等。它是關于主動測試并強化組織防御能力的防護行動，這也是當前安全防護重點從傳統邊界防護向感知發現轉變的一個典型表現。威脅獵殺始于威脅情報，威脅情報為獵殺提供知識支持。SANS最早將威脅獵殺定義為“一種集中和迭代的方法，用于搜索、識別和了解防御者網絡內部的對手”。可以看出，威脅獵殺是為了在組織環境中不斷尋找危害的跡象，是一種迭代過程，因為它從其他安全活動中獲取信息，也為其他安全活動提供信息。

威脅情報與威脅獵殺的目標本質上是一致的，都是強化防御。威脅情報能夠提供感知預警，以便相關人員盡早采取行動；威脅獵殺則能夠發現入侵，以便將其損害降至最低。獵殺過程涉及信息分析，而能否找到可能已經繞過部署就位的自動檢測過程的入侵跡象取決于威脅獵人。總而言之，威脅情報讓組織遠離威脅，威脅獵殺的目標是縮短威脅的駐留時間。打個比喻，如果坐標軸原點表示威脅侵入的時刻，那么左半軸意味著事件之前，右半軸意味著事件之后，威脅力圖從左半軸向右移動，威脅情報有助于將威脅抑制在左半軸，威脅獵殺則旨在控制威脅突破原點后向右移動的距離，即抑制駐留時間。

作者結合自己多年的威脅情報分析和威脅獵殺實踐經驗，通過ATT&CK框架和其他開源工具，對威脅情報搜集利用和獵殺過程進行了詳細的介紹，并輔以實戰講解，可以讓讀者快速理解概念、技術原理，提升動手實踐能力。值得一提的是，本書中文版是國內第一本詳細講解ATT&CK框架的專業性書籍（截至本書翻譯時）。讀者可以借助本書在ATT&CK知識庫支撐下順暢地完成基于ATT&CK的威脅模擬、對手映射、對手仿真及相應的查詢、獵殺過程。相信本書將引領你在威脅獵殺領域前行。

參與本書翻譯的除封面署名譯者姚領田、孔增強、曾憲偉、劉璐以外，還有趙宏偉、賀丹、王旭峰、蔣蓓。感謝機械工業出版社華章分社的劉鋒編輯在本書翻譯過程中提供的支持。譯者研究領域涉及威脅情報、威脅建模、網絡靶場技術及應用、武器系統網絡安全試驗與評估等，歡迎讀者就本書中涉及的具體問題及上述領域內容與譯者積極交流，聯系郵箱fogsec@qq.com。

姚領田

2021年10月