Threat hunting（威脅狩獵楼眷，以下簡(jiǎn)稱hunting）是近幾年業(yè)內(nèi)的熱詞之一，出現(xiàn)了很多代表性的廠商和產(chǎn)品，如 FireEye Managed Defense 的核心特性之一就是主動(dòng)狩獵¹磅氨，再如 Crowdstrike 的FALCON OVERWATCH?（其定義為基于 FALCON 平臺(tái)的可管理威脅狩獵服務(wù)²）既棺，還有專注在該領(lǐng)域讽挟、今年年初剛被 AWS 收購(gòu)的Sqrrl。

2 周以前丸冕，Richard Bejtlich 和 Robert M. Lee 就 hunting 術(shù)語(yǔ)定義進(jìn)行了一場(chǎng)精彩的博客辯論耽梅。沿著他們的思辨過程，了解到兩位作者基于之前工作經(jīng)歷對(duì) hunting 的理解以及價(jià)值主張陳述胖烛，回顧了 hunting 以及 IOC （Indicators of Compromise眼姐，失陷指標(biāo)）的起源，也幫助讀者溫習(xí)了情報(bào)和安全分析領(lǐng)域多篇經(jīng)典文章佩番。

Richard Bejtlich 是前 Mandiant CSO & FireEye CSS众旗、網(wǎng)絡(luò)安全監(jiān)控領(lǐng)域的資深專家，也曾任職于 AF-CERT/GE-CIRT趟畏；而 Robert M. Lee ³是SANS 網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺模型的作者逝钥，有NSA Threat Operations Centers (NTOC)的工作經(jīng)歷，他的另外兩篇威脅狩獵文章^{4 5}也為大家熟知拱镐。有感于國(guó)外實(shí)戰(zhàn)經(jīng)驗(yàn)豐富的安全專家同時(shí)具備上佳理論素養(yǎng)艘款，筆者基于理解，分享總結(jié)本次討論的如下內(nèi)容：

• 威脅狩獵是什么（不是什么）
• 威脅狩獵的目的

威脅狩獵是什么（不是什么）

Richard 認(rèn)為沃琅，hunting 僅是一種檢測(cè)形式哗咆。最早源自2011年，時(shí)任GE-CERT事件響應(yīng)團(tuán)隊(duì)總監(jiān)的 Richard在信息安全雜志發(fā)表《成為獵人》一文益眉，提到：為了最好地對(duì)抗定向攻擊晌柬，需要一種主動(dòng)檢測(cè)和響應(yīng)入侵者的創(chuàng)新思考和方法姥份，也即“hunting”。當(dāng)時(shí)這一起源自軍方的概念已經(jīng)在民用領(lǐng)域占據(jù)一席之地年碘。具體來(lái)說(shuō)澈歉，CIRT 團(tuán)隊(duì)中資深的調(diào)查員發(fā)現(xiàn)了一種可能檢測(cè)到入侵者的新穎方法，他會(huì)指導(dǎo)一名或多名初級(jí)分析師通過數(shù)據(jù)和系統(tǒng)尋找敵人跡象屿衅。 一旦驗(yàn)證了該項(xiàng)檢測(cè)技術(shù)（并響應(yīng)任何敵人的行為）后埃难，狩獵團(tuán)隊(duì)?wèi)?yīng)該努力將新的檢測(cè)方法納入安全運(yùn)營(yíng)中心分析師使用的可重復(fù)流程中。開發(fā)新的方法涤久、對(duì)此進(jìn)行在野測(cè)試涡尘、并將其訴諸實(shí)施，這種想法是對(duì)抗現(xiàn)代對(duì)手的關(guān)鍵响迂。

更進(jìn)一步考抄，他于2013年在《網(wǎng)絡(luò)安全監(jiān)控實(shí)踐（The Practice of Network Security Monitoring）》一書中定義NSM流程時(shí)，提出 IR 團(tuán)隊(duì)用于檢測(cè)入侵者主要有兩種模式：一種是“匹配”模式蔗彤，也即以IOC為中心的分析方法川梅；hunting 為“IOC-free”的分析，因?yàn)榉治鰩煵⒉恢涝撜沂裁慈欢簦坏┲勒沂裁刺羰疲褪且环N匹配模式。hunting 技術(shù)一旦被驗(yàn)證 (并響應(yīng)任何敵人的行動(dòng)) 后啦鸣，獵人會(huì)將新的檢測(cè)方法集成到CIRT團(tuán)隊(duì)以IOC為中心的操作中潮饱。

NSM流程.PNG

源：⁶

也正是Richard 基于上述定義回復(fù)twitter問題，促使 Robert 發(fā)文分享诫给，他認(rèn)為：

1. 狩獵時(shí)一種主動(dòng)的香拉、迭代的威脅檢測(cè)方法。（以滑動(dòng)標(biāo)尺模型來(lái)看中狂，hunting是落到主動(dòng)防御階段凫碌，而 Richard 耕耘甚深的NSM 也是該階段作者推薦的防御模型之一。）
2. 狩獵不是一種檢測(cè)形式胃榕，或者說(shuō)不僅僅是一種檢測(cè)形式盛险。
3. 狩獵是一種以假設(shè)為導(dǎo)向的方法，用于測(cè)試環(huán)境中面臨的威脅勋又。
4. 狩獵是一種評(píng)估安全性（人員苦掘，流程和技術(shù)）免受威脅的方法，同時(shí)擴(kuò)展自動(dòng)化覆蓋度楔壤，以便在將來(lái)做好充分的準(zhǔn)備鹤啡。 或者簡(jiǎn)單地說(shuō)，狩獵是有目的性的事件尚未完成時(shí)的事件響應(yīng)蹲嚣。

討論過程中递瑰，盡管上述兩者的定義不同祟牲，兩人都認(rèn)同狩獵是一種基于假設(shè)并需要進(jìn)行驗(yàn)證和測(cè)試的，用于尋找新的威脅的可迭代安全分析方法抖部。而單純的基于指標(biāo)匹配并不是狩獵说贝。

威脅狩獵的目的

雙方最主要的分歧則在于 hunting 的目的。Richard 基于歷史語(yǔ)境慎颗，從美國(guó)軍方概念起源到民用領(lǐng)域（GE-CIRT 的經(jīng)驗(yàn)）的實(shí)踐乡恕，遵循傳統(tǒng)觀念，認(rèn)為狩獵的目的是將發(fā)現(xiàn)對(duì)手視為第一位的哗总，而識(shí)別“看見”和“對(duì)抗”上的差距則是衍生出來(lái)的收益几颜。具體追溯 hunting 起源⁷時(shí)倍试，Richard 提及：“hunt”這一術(shù)語(yǔ)最早起源于2000年代中期讯屈，美國(guó)空軍推廣“hunter-killer”這一術(shù)語(yǔ)。同時(shí)期他參與一次 NSA 舉辦的紅/藍(lán)隊(duì)研討會(huì)上县习，該術(shù)語(yǔ)來(lái)自時(shí)任 NSA Vulnerability and Analysis Operations (VAO)主任 Tony Sager 的分享涮母。而 Sager 在評(píng)論這篇博客時(shí)，分享了于 VAO 的 hunting 歷史定義：

1. “Hunt“ 意味著利用現(xiàn)有紅/藍(lán)隊(duì)以及通信安全（COMSEC）監(jiān)控的基礎(chǔ)架構(gòu)躁愿、非常有計(jì)劃和持續(xù)地搜索攻擊者叛本，同時(shí)還會(huì)應(yīng)用情報(bào)信息來(lái)指導(dǎo)搜索。
2. “Hunt” 作為 NSA 信息保障署（ Information Assurance Directorate）下 VAO 團(tuán)隊(duì)聯(lián)合任務(wù)模式的一部分彤钟，在 2000 年代中期出現(xiàn)来候。它也是一種聯(lián)合 IA 和 SIGINT （NSA創(chuàng)建時(shí)的兩個(gè)主要任務(wù)，信息保障和信號(hào)情報(bào)）任務(wù)的一種方式—情報(bào)驅(qū)動(dòng)狩獵逸雹。

Robert 則基于之前在 NSA Threat Operations Centers (NTOC) 的工作經(jīng)歷营搅，認(rèn)為狩獵的目的不在于發(fā)現(xiàn)威脅，而在于確定防守方在檢測(cè)和響應(yīng)威脅的能力方面以及情報(bào)收集方面存在哪些差距梆砸。

小結(jié)

本次“論戰(zhàn)”转质，雙方都是基于自身的經(jīng)驗(yàn)分享對(duì)于hunting的理解，如果說(shuō)Richard對(duì)于hunting的定義基于傳統(tǒng)帖世，那么Robert 的定義則更為廣義休蟹，但雙方的理解都深受美國(guó)軍方思想的影響。最主要的分歧在于狩獵的目的日矫。本身這樣的討論并無(wú)絕對(duì)的對(duì)錯(cuò)赂弓，于行業(yè)是受益的。我比較贊成Robert在這個(gè)系列最后一篇博客中提到的觀點(diǎn)：避免“訴諸傳統(tǒng)”的邏輯謬誤哪轿。有些術(shù)語(yǔ)的形成可能只是約定成俗椒功。值得一提的是，這次討論過程阴汇，兩位作者引經(jīng)據(jù)典，幫助我們回顧了近 10 年美國(guó)安全行業(yè)一些重要的安全理念和理論姓惑，尤其很多模型和理論來(lái)自實(shí)踐總結(jié)。雖說(shuō)“紙上得來(lái)終覺淺”按脚，但從實(shí)踐到理論無(wú)疑是一次提升和沉淀于毙。

附錄1—本次論戰(zhàn)博客鏈接

• Robert M. Lee, “Hunting vs. Incident Response vs. Just Doing Your Job“，http://www.robertmlee.org/hunting-vs-incident-response-vs-just-doing-your-job/辅搬，2018年11月22日
• Richard Bejtlich, “More on Threat Hunting”唯沮，https://taosecurity.blogspot.com/2018/11/more-on-threat-hunting.html，2018年11月23日
• Richard Bejtlich, “Even More on Threat Hunting”堪遂，https://taosecurity.blogspot.com/2018/11/even-more-on-threat-hunting.html介蛉，2018年11月24日
• Robert M. Lee, “Threat Hunting, TTPs, Indicators, and MITRE ATT&CK – Bingo”，http://www.robertmlee.org/threat-hunting-ttps-indicators-and-mitre-attck-bingo/溶褪，2018年11月25日
• Richard Bejtlich, “The Origin of the Term Indicators of Compromise (IOCs)”币旧，https://taosecurity.blogspot.com/2018/11/the-origin-of-term-indicators-of.html，2018年11月25日

1. https://www.fireeye.com/content/dam/fireeye-www/solutions/pdfs/ds-managed-defense.pdf
2. https://www.crowdstrike.com/products/falcon-overwatch/
3. http://www.robertmlee.org/
4. https://www.sans.org/reading-room/whitepapers/threats/paper/37172
5. https://www.sans.org/reading-room/whitepapers/analyst/who-what-where-when-effective-threat-hunting-36785
6. https://taosecurity.blogspot.com/2018/11/even-more-on-threat-hunting.html
7. https://taosecurity.blogspot.com/2017/03/the-origin-of-threat-hunting.html