威胁猎手养成的成长史

第一代威胁猎手成长史，事件响应、取证和安全分析技术是关键。

[[229808]]

渗透测试员是很有趣的工作，你可以拿着钱去尝试突破客户公司，与超酷的人一起工作，学到很多东西。最棒的是，即使你没能闯入客户的系统，客户还会非常高兴，吹嘘自己的计算机安全防御如何坚挺，连持续的黑客测试都能撑过。

而在过去几年中，出现了更为菁英的白帽子黑客分支：威胁猎手。威胁猎手，既是先发制人的黑客，也是取证调查员，还是入侵检测者和事件响应(IR)人员。当然，IR是他们的重点角色。

Rob Lee 是波士顿地区的作家、顾问和SANS教职研究员，在数字取证、漏洞发现、入侵检测/预防和事件响应方面有超过18年的从业经验。他的职业生涯始于在美国空军特别调查处追踪黑客，曾是安全公司曼迪安特的部门总监，专注跟踪高级持续性威胁(APT)。

威胁猎手这个概念已经出现了大约有6年时间。在曼迪安特与各种民族国家公司作斗争的工作催生了主动威胁追捕。我们主动搜寻对手，基本就是在追捕坏人。最近3年这个词成为了更加流行的热词，几乎随处可见，招聘列表和安全大会上也有，包括SANS自己的威胁追捕与事件响应峰会。

Rob Lee 与人合著了讲述蜜罐技术的《了解你的敌人》( Know Your Enemy )第2版，共同编撰了曼迪安特威胁情报报告《M-Trends：高级持续性威胁》。同时，他还是第一批威胁猎手，在威胁追捕这个术语出现前就是了。那么，他是如何走上威胁追捕之路的呢?

国家安全的需求

1998年，作为对抗俄罗斯“月光迷宫”黑客攻击行动的响应团队一员时。这还是第一次已知民族国家黑客(这里指俄罗斯)开始出于国家原因而主动攻击多个政府网站。在此之前，大多数黑客行动都只是改个网站首页之类的事，但这次这些人是真的专业级对手，他们根本不逃。

过去，只要被发现，黑客通常就退出系统或网络，逃之夭夭再不回头了。但这些俄罗斯黑客却根本不跑。他们确实静默了一段时间，可能一两个月吧。但他们从未离开。今天，这种持续性攻击已成常态，但那时确实是一种全新的反应。他们潜伏在那里，观察我们的做法，甚至用键盘记录记下我们的动作，然后重启他们的攻击活动。我们也在观察他们，发现他们非常有耐心。相互观察间我们了解了很多民族国家黑客组织的信息。我们必须转变事件响应的方法。

威胁猎手≥事件响应人员

威胁猎手是主动事件响应者。普通的事件响应人员接到事件通报才会行动起来。威胁猎手则是在事件发生前就在搜寻坏人。他们掌握坏人的部分信息，知道坏人最有可能攻击哪里，用什么方法攻击，然后有针对性地搜索这些坏人。威胁猎手是先于传统入侵检测方法感知到坏人之前，就主动查找新威胁的事件响应人员和取证调查人员。

威胁猎手是早期预警系统。他们缩短了威胁的“驻留时间”——从初始侵入到被检测出来的时间间隔。过去，威胁往往能在网络中潜伏数月之久。而威胁追捕团队就是要缩短这个发现威胁的时间。

如何成为一名威胁猎手?

首先在安全分析师的岗位上积累经验，然后进入IR和网络威胁情报领域。再加上一点攻击者方法论及技术的知识，威胁追捕就成为了炙手可热的技术。威胁追捕是当今信息安全领域里能获得的最高级技术集之一。威胁猎手的核心技术包括安全运营与分析、IR及修复、攻击者方法论和网络威胁情报能力。综合来看，威胁猎手就是企业防御与检测部门的特种部队。

威胁猎手不会干坐着等通知，会利用传统攻击指标(IoC)主动出击。面对狡猾的对手，传统入侵检测是没什么大用的。这些对手会避免触发常规入侵检测防御。只有威胁猎手才能找出他们。

每家公司都应配备威胁猎手吗?

不。得有一定规模的公司才具备这个条件。首先，你得有专门的安全运营中心(SOC)，不是很小的或兼职的那种，而是能够创建、消费和利用威胁情报，并能理解潜在的对手而不仅仅是IoC的那种。威胁追捕团队需要威胁情报，并辅以网络运维人员、终端维护人员、恶意软件分析员和可扩展的工具集。

威胁猎手首先得知道搜捕的方向和内容，只有专门的SOC能够获取到这些信息。就跟打猎似的，总得知道猎物会出现在哪里，会有哪些猎物，才能做好相应的准备。比如民族国家黑客，在进行网络间谍行动，他们最有可能出现在哪里?他们要找什么东西?他们的IoC是什么?知道了这些信息，就可以放出特种部队来搜他们了。

有多少威胁猎手?

很难估算。很多人都自称威胁猎手，但肯定只有拥有大规模安全运营的大型企业才养得起威胁猎手。财富200强企业大多拥有威胁猎手，美国国防部和其他政府机构也有。这些机构中大多都有不止一支威胁追捕团队。遭受大型攻击的很多大公司，比如塔吉特和微软，如今就有多支菁英威胁追捕团队，每一支都专门负责不同的业务部门。这些公司从安全状况较差发展到拥有多支主动作为的威胁追捕团队，反映出安全能力的提升。

量化成效很难

威胁猎手本身和雇佣他们的公司都需要明白，威胁追捕也是有可能失败的。威胁猎手的工作非常艰难，他们要找出不想被发现的狡猾对手，可能来不及及时揪出坏人。威胁猎手是个很有必要的角色，但按传统意义量化其成功却很难。只要在主动搜捕威胁，威胁猎手们就已履职尽责。