碳泽解读 | 威胁狩猎系列之如何成为优秀的威胁猎手

继续本系列的第二篇文章（第一篇复习：碳泽解读 | 威胁狩猎系列之基础篇），在深入了解威胁狩猎过程之前有必要先学习成为威胁猎人所需的技能和知识。

威胁猎手应该具备一定的技能和经验。这样他们就可以利用他们的经验来识别可疑的活动模式并利用他们的技能来调查每个案例。尽管有一些例外，但对于一个组织来说，有强烈学习欲望的人才也是一笔巨大的投资。在这些情况下，团队中通常有经验更丰富的威胁猎手愿意帮助和指导该领域的新手。

威胁狩猎以人为中心，不能完全被自动化取代。威胁猎手将始终必须根据假设启动威胁狩猎，或分析收集的遥测数据以寻找可疑活动。一些供应商声称他们可以使用机器学习 (ML) 为客户自动寻找威胁。

机器学习可以成为威胁猎手的重要信息来源，但它不能取代人类驱动的威胁狩猎计划。具体来说，它可以使用特定的威胁狩猎技术（如聚类分析）突出显示异常情况，并使整体分析更容易。威胁猎手可以利用SOAR解决方案收集和解析数据以帮助进行分析。同时，威胁猎手应该具备一定的编程技能。尽管机器学习可能会有所帮助，但如今的攻击者试图混合使用管理工具来实现其目标。这使得威胁猎手对于分析和识别恶意活动至关重要。

本文将探讨威胁猎手应具备的一些最重要的特质、技能和知识。以下列表并非详尽无遗。

积极的人格特质

要成为一名成功的威胁猎手，必须具备各种积极的人格特质。从最重要的一个开始，那就是谦逊。威胁猎手应该不断寻找机会来获得新得视角，同时避免偏见。此外，信息安全是一个非常快节奏的行业，可以公平地说，你知道的越多，你就会越意识到自己不知道的更多。许多人是在刚开始时，高估了他们的能力或知识，这可能会减慢他们提高技能的能力。这种现象被称为邓宁-克鲁格（Dunning–Kruger）效应。下图准确地描述了这种认知偏差：

第二个特点是善于沟通。威胁猎手必须准备好向具有不同知识水平的广泛受众解释复杂的技术主题。沟通可以是书面的或口头的。以下是我们自己发现的一些沟通示例：

总的来说，做一个体面的人会让你走更长的路，没有人喜欢无所不知的人。这并不是特定于威胁狩猎，但如果您讨人喜欢，您将更容易与人建立联系。

分析能力

识别可疑活动的模式是威胁猎手必备的技能。威胁猎手应该熟悉他们试图保护的环境，并了解“正常”的样子。然后，他们可以利用他们的知识来寻找攻击指标 (IOA) 或根据异常活动模式发现恶意活动。

威胁猎手利用他们的分析技能来调查传统检测机制遗漏的可能入侵。为此，他们使用假设驱动的方法来弥补证据的不足。在威胁狩猎期间，猎人会筛选所有可用的日志。在初步识别后，他们预计将跟踪证据并揭开攻击的时间表。

分析技能需要经验和大量工作才能形成调查思维。阅读入侵分析报告是培养这项技能的一个很好的方法。阅读报告将使您了解当前的威胁形势，并使您了解对手用于渗透网络的各种技术。

技术知识

威胁猎手必须精通信息安全的众多领域，才能有效地搜寻以前未知的恶意活动。拥有必要的技术知识将有助于在威胁狩猎期间完成各种任务。

1、数字取证和事件响应 (DFIR)

在收集和分析相关工件时，威胁猎手应该能够遵循与事件响应者相同的程序。在某些情况下，当可用的遥测数据不足时，威胁猎手可能需要更深入地挖掘特定于系统的工件。例如，在搜索执行证据时查看UserAssist、预取文件或跳转列表。威胁猎手应该知道如何收集和处理这些信息。

与DFIR一样，威胁猎手正在寻求重建事件的时间线。不同之处在于，威胁狩猎行动的调查触发是基于假设的，而不是活动驱动的。

2、编程

如今，编程已成为威胁猎手的必备技能。它提供了创建用于解析大量数据、分析工件和自动化工作流的工具或脚本的自由。Python是为此目的最简单和最常用的语言之一。Python易于学习，并且拥有大量第三方库，可以帮助加快开发过程。

3、系统管理

在不知道系统如何工作的情况下，很难对系统进行分析和分类。例如，了解如何安装、配置它们，并了解它们在涉及日志时生成的工件。这方面的一个例子是从较高的层次了解Active Directory（AD）的工作原理。

大多数企业环境中都使用了AD。它是一个数据库，保存有关网络上的用户和计算机等对象的信息，便于管理员和用户查找和使用。威胁猎手应该大致了解AD的工作原理以及一些常见的错误配置。

4、网络

威胁猎手应该知道信息是如何在网络内外流动的。他们还应该熟悉各种常见的网络协议。威胁制造者使用不同的协议来完成任务，例如：

威胁猎手应该能够读取网络流量并提取有助于调查的信息。

5、红队

尽管是作为防御方，威胁猎手都应该熟悉红队工具，尤其是那些威胁制造者最常使用的工具，大多数这些工具都可以免费使用。因此，威胁猎手应该了解如何使用它们以及它们在使用时会产生哪些工件。

例如，Kerberoasting可以利用Kerberos协议收集具有servicePrincipalName (SPN) 值的Active Directory用户帐户的密码哈希。Rubeus是一种滥用Kerberos协议缺陷的工具。威胁猎手应该能够创建一个AD实验室环境，将其设置为暴露Kerberos协议中的缺陷，并针对该环境使用Rubeus。然后，他们可以查看生成的遥测数据，例如网络流量、进程执行活动等。然后，他们可以将威胁狩猎查询建立在搜索此活动的基础上。

与上例相同的原理可以适用于不同的攻击场景。

正如一开始所提到的，这绝不是一个完整的列表，尽管这些是威胁猎手应该具备的一些主要核心能力。威胁狩猎既可以是团队游戏，也可以是单人工作。但是，你可能会发现花更多的时间在自己的想法上，而不是与团队讨论调查是更喜欢这种工作方式。能够在数小时的研究、调查和分析中自立，有助于缓解迷失的感觉。

现在，我们了解了为什么威胁狩猎是一个多学科领域，它结合了软技能和专业技术知识。威胁猎人通常具有独特的技能、特质和经验组合。下面，我们分享一些可能有帮助的资源，希望这些资源能对你的威胁猎人之路有一些帮助。

入侵分析报告：

https://thedfirreport.com/

https://news.sophos.com/en-us/

https://www.mandiant.com/resources/blog

https://redcanary.com/blog/page/2/?topic=threat-intelligence,threat-detection,security-operations,incident-response

https://www.crowdstrike.com/blog/category/threat-intel-research/

书籍：

<<Practical Threat Intelligence and Data-Driven Threat Hunting>>

<<Intelligence-Driven Incident Response: Outwitting the Adversary>>

<<Hunting Cyber Criminals>>

<<All of Sparc FLOW’s books>>

<<Learning Malware Analysis>>

<<The Art of Memory Forensics>>

<<Applied Incident Response>>

<<Incident Response & Computer Forensics, Third Edition 3rd Edition>>

<<Automate the Boring Stuff with Python, 2nd Edition>>

安全新闻：

https://thisweekin4n6.com/

https://security-soup.net/

https://www.bleepingcomputer.com/

https://risky.biz/

https://thehackernews.com/

播客：

Detection Challenging Paradigms

Discarded: Tales From The Threat Research Trenches

Darknet Diaries

Cyberwire Daily

Malicious Life

CPradio

Digital Forensic Survival Podcast

Black Hills Information Security

Click Here

Shadowtalk Threat Intelligence by Digital Shadows

7 Minute Security

油管频道：

TheCyberMentor

SANS Digital Forensics and Incident Response

Cybercdh

NetworkChuck

John Hammond

下期预告：《威胁狩猎系列之威胁狩猎过程》，请持续关注！