随着网络攻击技术和方法不断升级换代，攻击者的攻击能力正在快速提高。为了应对日益严峻的网络安全挑战，现代企业需要将自身安全建设从被动防御转换到主动防御、反制等主动安全的方向上来，威胁狩猎技术应运而生。

企业希望通过威胁狩猎发现被忽视的已知威胁和新的未知威胁。但遗憾的是，要想真正落地一项威胁狩猎计划并不容易，据《威胁猎人之声》网站的最新调查报告发现，超过半数的受访者认为当前实施的威胁狩猎计划只取得非常有限的安全效果，甚至部分受访者表示其威胁狩猎计划根本无效。研究人员发现，企业在实施威胁狩猎计划时普遍面临数据质量、工具性能、可见性以及专业人员等方面的限制，而导致企业威胁狩猎行动失败的主要原因包括以下三个方面：

原因1：缺乏先进的狩猎工具

威胁狩猎分析师需要各种工具和技术的支持，才能有效地发现恶意活动、修补漏洞，并拥有应对攻击的情报。报告研究人员发现，阻碍企业搜寻威胁的最大因素是没有使用先进的狩猎工具。

企业实施威胁狩猎计划的核心目标就是要缩短出现危险和完成攻击之间的时间差，即所谓的“停留时间”。因此，威胁狩猎需要能够发现传统安全工具未检测到的风险，并帮助企业分析和提高现有威胁检测机制和流程的有效性，提出合理的安全性优化建议。此外，它们还需要能够识别新的攻击手法、战术、技术和程序 (TTP)，从而发起全新的威胁处置任务。

建议：

尽管安全分析师可以人工方式完成以上各种任务，但是在效率和时间上很难满足企业的实际应用需求。更有效的威胁狩猎工作应该是在高度自动化的流程中完成，充分利用UEBA、机器学习等技术手段为分析师提供帮助。企业在选型威胁狩猎工具时，应该重点关注以下功能：

• 是否能够为安全分析师提供各种安全事件的信息收集服务；
• 是否可以聚合数据，形成统一的事件记录情报；
• 是否支持多样化的威胁检测策略；
• 是否具有人工分析的选项；
• 自动响应设置能力是否强大；
• 是否可以在正式购买前提供试用。

原因2：未深入了解企业的安全基线

威胁狩猎行动失败的另一个主要原因是，狩猎团队没有完全了解企业自身的安全基线。如果深入了解安全基线，需要拥有完备的文档，并知道什么是“正常的活动”，在这之外的任何“异常活动”都需要予以调查。

如果不了解企业的安全基线，狩猎团队对企业的数字化环境就会缺乏足够的可见性，或者难以收集足够准确的情报来深入分析当前的威胁态势。此外，如果狩猎团队不知道正常的安全基线，也意味着分析师无法衡量哪些行为可以接受、哪些不可接受，从而使组织面临各种恶意活动的威胁。

建议：

为了保证威胁狩猎计划的效果，企业需要拥有一套标准化的威胁狩猎流程和程序，在此背景下，深入了解企业的安全基线就变得尤为重要。要了解企业的安全基线是什么，企业需要通过一段时间的数据积累，总结出企业正常数字化活动的特征与指标参数。为此需要部署适当的监控技术和工具，实现全面的数字化环境可见性，并能够从各类型的端点上收集所需要的运行数据，这些数据可以让组织更深入地了解谁在访问系统。

只有在知道“正常活动”的基础上，威胁狩猎团队才可以实施标准化的威胁诱捕策略和规程，这些策略和规程会在考虑整个组织的数字化应用环境基础上，定义出对可疑活动的识别和响应。

原因3：计划未获得管理层的支持

报告研究发现，近六成（56%）的受访者表示，他们在实施威胁狩猎计划难以获得公司领导层的支持，这也是导致狩猎行动难以取得真正成功的重要原因。尽管企业的高层都希望组织的数字化发展能够受到保护、安全开展，但他们很难理解实施威胁狩猎计划的本质及其必要性。

而对安全团队而言，尽管他们非常清楚采取威胁狩猎行动的必要性，但对于管理层提出的各种问题，他们往往难以给出满意的答案，或者拿出表明其工作价值的数据证明。在此情况下，威胁狩猎的计划和行动之间就会存在脱节，并影响安全团队获得组织资源和财务上的支持。

建议：

为了取得企业管理层对威胁狩猎计划的认同和支持。安全管理者应该加强和公司的沟通，并学习以简化的术语表述狩猎计划和取得的收益，尤其要摈弃安全专业术语。同时，狩猎团队还应该准备一个全面、清晰的案例，让管理者和其他业务部门充分了解威胁狩猎计划能够有效帮助公司各部门实现他们的数字化发展目标。

参考链接：

https://www.cybersecurity-insiders.com/top-challenges-threat-hunting-teams-face-in-2023-and-how-to-overcome-them-team-cymru/