威脅狩獵及其所需技能

---

在保護系統、網路和資料方面，全面的威脅管理解決方案是每個 IT 專業人員工具包中必不可少的；然而，並非每個人都知道如何採取先發制人的措施來應對潛在威脅。當識別出潛在威脅時，防火牆（例如入侵檢測系統 (IDS) 或安全資訊和事件管理 (SIEM) 系統）可以開始執行其職責。

您需要制定並執行威脅狩獵計劃，以充分保護公司資訊科技基礎設施免受惡意網路行為者的攻擊。根據 Domaintools 進行的一項研究的結果，威脅狩獵之所以有效，是因為：

• 74% 的受訪者報告攻擊面減少。

• 59% 的受訪者報告響應時間和準確性都有所提高。

• 調查顯示，50% 的公司在其資訊安全系統中隱藏了漏洞。

威脅狩獵基礎

什麼是威脅狩獵？

“威脅狩獵”是指一種特定的安全調查，旨在發掘迄今為止未被發現的潛在風險。此類研究的目的是發現潛在的威脅。

誰是威脅獵人？

精通其專業領域並對了解潛在威脅有著無限渴望的人有資格被稱為威脅獵人。他們選擇忽略安全系統傳送的警告，並且不嘗試修補已識別的漏洞。相反，他們受僱於公司擔任分析師，利用他們對業務複雜性和麵臨威脅的性質的瞭解來指導公司的調查，並引導公司獲得最重要的資訊。

他們為什麼要狩獵？

曾經有一段時間，公司擔心可能危害其資訊科技基礎設施的自動化形式的惡意軟體和病毒。敵人不再僅僅是像計算機病毒這樣的有害軟體；如今，是實際的人以獨特且持續的方式對您的系統構成威脅。世界發現安全漏洞的平均時間從 2015 年的 146 天減少到 2016 年的 99 天。此變化發生在 2015 年至 2016 年之間。但是，您仍然需要注意接下來的 199 天。最好不要等待安全工具發出警報，而是主動搜尋危害，以便您可以快速響應並最大程度地減少損害。如果您等待安全工具發出警報，您可能會錯過潛在的威脅。

威脅獵人做什麼？

專門負責查詢資訊系統漏洞的資訊科技 (IT) 安全從業人員被稱為威脅獵人。他們可以檢查系統端點（如手機、IP 地址和計算機）的全貌，並建議 IT 部門如何充分利用其可用資源來檢測和消除任何安全問題。由於他們使用相同的方法，因此駭客熟悉網路最佳實踐，並深入瞭解資料在網路中的傳輸方式。

在對網路的系統或端點進行調查以查詢損害跡象或模式後，分析師有責任分析情況並報告其發現。電子郵件和即時訊息等技術的融合導致生物識別作為控制安全漏洞的一種方法的發展。他們首先將潛在威脅通知安全官或安全運營中心，然後與高階管理層合作找到解決這些問題的方案。

獲得識別和避免潛在風險的能力

如果您目前具備這些技能或認為自己可以快速學習這些技能，並且有興趣成為威脅獵人，請考慮以下資訊。

• 瞭解您感興趣領域的方方面面，並培養對資訊的強烈渴望。

• 瞭解可以幫助您識別潛在威脅的尖端資源。

• 獲得利用您的“第六感”來識別潛在威脅的能力。

• 做出明智的預測。

• 獲得識別情況、獲得視角、做出決策並採取行動 (OODA) 的必要技能。

• 為對手可能採取的行動做好準備。

培訓應優先於任何其他事項。可以透過使用許多有用的工具（例如 Simplilearn CompTIA Security+ 認證課程）來學習資訊科技安全。除了全面瞭解本課程中詳細介紹的網路安全和風險管理基礎知識外，參與者還將獲得威脅分析和使用適當的緩解措施進行響應的實踐經驗。

由於該行業對熟練人才的需求不斷增加，因此從事網路安全領域的工作可能會帶來有利可圖的職業選擇。一個人可以在這個行業中執行各種各樣的任務，但其中一個特別引人注目的選擇是成為一名威脅獵人。

威脅狩獵所需技能

要追求威脅獵人的職業生涯，您必須具備以下技能

資料分析

要成功地擔任威脅獵人的角色，必須保持持續的意識狀態，收集相關資料，然後詳細檢查這些資料。因此，一位稱職的威脅獵人需要對資料科學中使用的分析、工具和方法有紮實的瞭解。他們需要能夠使用資料視覺化工具建立圖表和圖表，以幫助他們發現模式，從而為他們的狩獵調查和工作找到完美的下一步。他們還需要知道如何正確使用這些工具。

模式識別

對於威脅獵人來說，能夠識別表明駭客攻擊、惡意軟體和其他異常行為的模式至關重要。如果要檢測網路上發生的任何不良活動或交易，他們首先需要識別此類模式。

良好的溝通能力

威脅獵人需要具備良好的溝通能力，以便向管理層和安全團隊負責人解釋他們的發現，以及他們減少發現的漏洞的建議。

資料取證能力

調查新威脅（包括部署方法、惡意軟體的功能和潛在損害）的能力需要資料取證專業知識，而這隻有威脅獵人才能提供。如果評估檔案的人知道要查詢什麼以及在哪裡查詢，則不需要成為資料取證專家。例如，特洛伊木馬病毒可能會接管 Netcat 命令並使其看起來好像系統正常工作，而實際上它已被感染。這將構成病毒的欺騙行為。

瞭解系統的工作原理

要成為一名有效的威脅獵人，您必須徹底瞭解所有事物如何相互互動。重點放在可使用的知識上，這些知識可以透過深入瞭解自己的組織及其使用的流程來收集。您需要掌握預測挑戰的技能。也就是說；威脅獵人需要能夠觀察情況並立即理解其含義。之後，他們必須與其他團隊合作並幫助提高安全級別。

結論

有興趣轉向威脅狩獵的人可以自學許多必要的技能，尤其是在他們已經擁有技術或資訊科技背景的情況下。對於其他型別的網路安全職位也是如此。對於有興趣從事威脅獵人職業的人員，可獲得 CompTIA Security+、GIAC 滲透測試員 (GPEN) 和認證道德駭客 (CEH) 等認證。這些認證可以幫助個人在該領域脫穎而出。