專(zhuān)家談及網(wǎng)絡(luò)威脅的細(xì)分時(shí)，通常會(huì)提及二八定律（又名80/20定律、帕累托法則（定律）也叫巴萊特定律、最省力的法則、不平衡原則等，被廣泛應(yīng)用于社會(huì)學(xué)及企業(yè)管理學(xué)等。）。二八定律的概念為：80%的網(wǎng)絡(luò)威脅攻擊者通常比較“低能”，而剩下20%則非常先進(jìn)，如果給定的時(shí)間和資源充足，這20%的攻擊者可以入侵任何網(wǎng)絡(luò)。

從歷史上來(lái)看，國(guó)防和情報(bào)界主要關(guān)注那20%的網(wǎng)絡(luò)攻擊者。然而，如今商業(yè)化惡意軟件的興起讓傳統(tǒng) “菜鳥(niǎo)級(jí)”攻擊者也能使用先進(jìn)技術(shù)。

例如，2006年，WebAttacker漏洞利用工具提供了一套任何威脅攻擊者都能操作的工具套件。在這種新范式下，我們要認(rèn)清三大真相：

1. 不可能防止所有的攻擊。

2. 企業(yè)網(wǎng)絡(luò)難免會(huì)遭遇攻擊。

3. 不存在100%的安全

大多數(shù)安全從業(yè)人員都明白，良好的網(wǎng)絡(luò)習(xí)慣和邊界網(wǎng)絡(luò)安全將緩解底層80%的攻擊者。在安全運(yùn)維中心（SOC），阻止和處理技術(shù)可以應(yīng)對(duì)超過(guò)90%的攻擊者。而那剩下的10%，就屬于威脅狩獵的領(lǐng)域。

人工分析師可以調(diào)查數(shù)據(jù)源找到單靠機(jī)器無(wú)法檢測(cè)到的威脅證據(jù)。例如，尋找異常的分析師可以發(fā)現(xiàn)對(duì)手的指示器（Indicator），以及執(zhí)行攻擊者的部分殺傷鏈，并在對(duì)方采取行動(dòng)前加以阻止。

當(dāng)創(chuàng)建威脅狩獵計(jì)劃時(shí)，組織機(jī)構(gòu)應(yīng)牢記三件事：

威脅狩獵的基礎(chǔ)是安全信息和事件管理（SIEM）解決方案，該解決方案在網(wǎng)絡(luò)內(nèi)適當(dāng)聚合內(nèi)部結(jié)構(gòu)化數(shù)據(jù)。威脅情報(bào)信息允許組織機(jī)構(gòu)對(duì)比外部威脅指示器（Indicator），并理解威脅格局。

此外，還要增加統(tǒng)計(jì)分析引擎和情報(bào)分析工具。分析師可通過(guò)統(tǒng)計(jì)分析根據(jù)數(shù)學(xué)模型發(fā)現(xiàn)異常，而不是規(guī)則引擎。情報(bào)分析工具可以使相關(guān)數(shù)據(jù)可視化，以便分析師圍繞實(shí)體、聯(lián)系和財(cái)產(chǎn)進(jìn)行關(guān)聯(lián)。

威脅分析師是威脅狩獵從業(yè)人員。威脅分析師通常被稱(chēng)為“三級(jí)分析師”，他們具有信息安全、取證科學(xué)和情報(bào)分析相關(guān)的技能。因?yàn)榫邆溥@些技能，三級(jí)分析師能主動(dòng)根據(jù)情報(bào)需求積極發(fā)現(xiàn)威脅，并直接展開(kāi)調(diào)查。

執(zhí)行威脅狩獵最重要的起點(diǎn)是建立優(yōu)先情報(bào)需求（PIR）。PIR需求基本上都是領(lǐng)導(dǎo)層尋求的高層次問(wèn)題。

你可能想知道，自己是否遺漏了隱藏的威脅。若是如此，具體信息需求（SIR）可以幫助回答以下問(wèn)題：

眾多低級(jí)警報(bào)何時(shí)連接到同一指示器（Indicator）？

30天至90天之前，新威脅情報(bào)指示器（Indicator）在哪里與日志匹配？

通過(guò)以前從未見(jiàn)過(guò)的命令執(zhí)行的遠(yuǎn)程訪(fǎng)問(wèn)會(huì)話(huà)在哪里？

威脅狩獵者通過(guò)這些問(wèn)題可以了解重要情報(bào)，以解決高層次的問(wèn)題，并破壞先前未知的復(fù)雜威脅。

剛開(kāi)始涉足威脅狩獵的公司應(yīng)了解上述基本概念，并在成熟時(shí)增加更多功能。使用正確的工具和配備有技能的員工至關(guān)重要。通過(guò)適當(dāng)?shù)募夹g(shù)、人員和可操作的威脅情報(bào)，組織機(jī)構(gòu)可以填補(bǔ)安全空缺，并保護(hù)網(wǎng)絡(luò)免于遭受“藏在暗處”的惡意攻擊。