什么是网络威胁猎人（网络安全威胁分析师）？

网络威胁猎人，也称为网络安全威胁分析师，使用自动安全工具（如恶意软件检测器和防火墙）主动识别可能未被发现的安全事件。

网络威胁搜寻涉及监控网络流量、互联网协议（IP）地址、端点、数据集和内部威胁，通常是实时的，以发现可能未被发现的潜在安全事件。通过这种方式，猎人可以提供威胁情报，并额外防御网络攻击和高级持续威胁。

为什么网络安全威胁搜索很重要？

预测恶意活动具有挑战性，因为许多新的威胁没有明显的指标。保持领先于这些新兴威胁的唯一方法是主动寻找并防止其发生。

威胁搜寻过程不是等待潜在威胁出现，而是围绕在组织的环境中搜索可能表明漏洞的异常情况，然后实施主动威胁搜寻以验证假设并降低风险。

本质上，威胁猎人认为威胁行为者已经可以进入他们正在调查的环境。他们评估所有系统，直到发现任何恶意活动并纠正原因。

网络威胁搜索涉及哪些任务？

网络威胁猎人的工作是补充和加强检测或预测网络威胁的自动化系统。随着审查过程揭示发起攻击的模式，安全组织可以使用这些信息来改进其自动威胁检测软件。

网络威胁猎人定期执行以下操作：

• 搜索数据和系统中的漏洞和风险因素。
• 持续关注网络安全领域的最新创新和网络攻击策略。
• 围绕威胁行为者的行为、策略和目标研究网络犯罪的趋势。
• 分析收集到的数据，以发现安全环境中的潜在异常。
• 消除任何风险和漏洞。

网络威胁搜寻方法

威胁搜寻通常围绕以下三种行业公认的方法之一：

• 假设驱动的调查。假设驱动的调查是由大量众包数据驱动的，这些数据提供了对网络罪犯最新战术、技术和程序（TTP）的洞察。威胁猎人使用TTP洞察力来调查这些行为是否存在于组织的当前环境中。
• 妥协驱动调查的指标。在法医文物中发现了IOC，并识别出表明潜在威胁的活动。国际奥委会推动的调查使用威胁情报来识别组织环境中的有效威胁。潜在的IOC包括基于网络的工件、基于主机的工件和基于身份验证的工件。
• 机器学习调查。机器学习可以通过结合分析和机器学习来筛选大量数据，搜索可能表明潜在威胁的异常情况，从而帮助寻找威胁。

所有这些方法都结合了威胁情报、人力和先进的网络安全技术，主动调查组织的系统和数据，以减轻或预防安全事件。

网络威胁搜寻过程中的步骤

网络威胁搜寻过程通常使用以下步骤进行：

第一步：准备

网络威胁猎人会寻找异常数据或活动。如果检测到这些，它们将转到检测到异常的特定系统或网络区域。通常，对于意外的异常情况没有现成的解释，因此网络威胁猎人使用批判性思维来设计一个可能解释异常情况的理论或假设。

第二步：分析

此时，网络威胁猎人开始使用端点检测和响应软件或可以读取和分析计算机日志的自动化等专门工具深入研究这个问题。网络威胁猎人会继续调查，直到能够阐明解释或确定威胁是误报。

第三步：行动

网络威胁猎人收集尽可能多的关于检测到的和迫在眉睫的威胁的信息。然后，他们将此信息传达给中央安全团队，以便他们可以计划、消除和减轻威胁。

网络威胁搜索工具

一些工具补充了网络威胁猎人所花费的人力。这些措施包括：

• SIEM工具。安全信息和事件管理（SIEM）工具通过使用自动化从监控工具和其他来源收集和分析大量基于云的数据来帮助威胁猎人发现以前未识别的威胁。
• 安全监控工具。安全专业人员使用从安全监控工具收集的数据来帮助提供潜在威胁的全貌。
• 分析工具。这些工具使威胁猎人能够更好地可视化数据，以帮助他们更好地识别可能指示攻击的数据集之间的相关性。
• 威胁情报来源。威胁猎人使用互联网上各种形式的恶意IP地址、恶意软件哈希和其他威胁指标的威胁情报数据来支持他们的分析和调查工作。

威胁搜索和威胁情报有什么区别？

尽管威胁搜寻和威胁情报是两个网络安全组成部分，但它们服务于截然不同但互补的目的。

网络威胁猎人实际上是在寻找可能已经存在于系统或网络中的潜在状态的恶意病毒、恶意软件和其他可疑活动。网络威胁猎人的工作是在无声威胁变得活跃之前发现它们，并检测可能表明存在恶意恶意软件或病毒的系统行为模式。

网络威胁猎人认为潜在的病毒和恶意软件可能已经存在于网络中，在激活之前必须追捕并消除这些实体。

相比之下，网络威胁分析师通过监控进行日常网络威胁情报，并在必要时在检测到病毒或恶意软件并处于活动状态时进行威胁对抗，从而调查威胁形势。分析师假设恶意软件和病毒不一定存在，但可能随时存在。

网络威胁猎人和网络威胁分析师使用类似的工具。两者之间的区别在于，网络威胁猎人是攻击者，在恶意代码激活之前发现并销毁恶意代码，而网络攻击分析师则扮演着更中立、甚至防御的角色，使用从监控系统收集的威胁情报，检测异常活动，并在出现威胁时进行打击。

哪些类型的组织使用网络威胁猎人？

通常，网络威胁猎人受雇于特别容易受到网络攻击的大型企业组织。使用网络威胁猎人的行业包括金融服务、保险、航空航天、科研公司和其他拥有高度敏感信息的行业。

威胁猎人在安全运营中心（SOC）内工作，并领导他们的威胁检测和事件响应活动。它们通常由组织的首席信息安全官管理，他与首席信息官合作协调企业安全。

威胁搜寻可以作为SOC内一名或多名安全专业人员的额外职责，也可以为他们分配全职的威胁搜寻职责。对于较小的组织，威胁搜寻服务通常外包给托管安全服务提供商，这些提供商同时为多个组织提供安全监控和管理。

另一种选择是创建一个威胁搜寻团队，将安全工程师临时轮换到威胁搜寻角色，然后让他们返回SOC的日常工作。

成为网络安全威胁猎人所需的技能

安全威胁猎人必须能够发现可能隐藏在网络和系统深处的威胁。网络威胁猎人的关键技能领域和培训认证包括以下内容：

• 强大的数据分析背景，因此可以在出现的上下文中对数据进行批判性评估。
• 识别可能预示恶意软件入侵的数据和处理模式的能力。
• 了解网络及其如何传输数据、检查安全性、使用加密以及启用和禁用对网络资源的访问。
• 数据取证背景，可能包括收集证据、记录证据并将其发展为已实施或计划实施的网络犯罪的可能场景。

与网络威胁猎人相关的认证，包括以下内容：

• 认证信息系统安全专家。
• 经过认证的道德黑客。
• GIAC认证的事故处理人员。
• 认证信息安全经理。

网络安全威胁猎人的就业前景

根据全球市场研究公司The Business research Company的数据，网络威胁情报市场有望从2024年的115.8亿美元增长到2025年的141.6亿美元。随着市场的增长，机会也随之而来。

组织通常会寻找在网络安全或相关领域至少有三到五年经验，并拥有计算机科学、IT或网络安全学士学位的专业人士。高级职位可能需要硕士学位。

2024年，网络威胁猎人的工资中位数为13.7万美元，前10%的威胁猎人每年的收入约为20万美元。

了解可能表明组织内部存在内部威胁的迹象，以及如何在造成损害之前消除威胁。