Sean Mason，思科安全事件响应服务总监

　　Jeff Bollinger，思科安全事件响应团队 （CSIRT） 调查经理

　　作为不断查找恶意威胁的安全从业人员，我们经常被问到的其中一个问题是：未来会面临什么样的威胁？威胁发起者往往与时俱进，那么我们怎样才能做到不仅知道他们目前的行动，而且还能知道其后续的行动？如果一切都看似安然无恙，我们也没有观察到任何事件，这是否意味着一切都在控制之中？还是敌手们只是在翻新花样？

　　为了帮助回答这些难题，我们推出了威胁追踪—Threat Hunting。该持续性行动的目标是找到并消除已绕过防线但我们尚未检测到的攻击者。本质上，这是一种思维的转变。我们不再等待事件触发警报后再对其进行回应，而是竭尽全力主动探索，找出我们尚未发现的威胁。

　　正如思科最新发布的网络安全报告系列《追踪隐藏威胁：将威胁追踪纳入安全计划》中所述，威胁追踪是事件响应人员武器库中的又一有力工具。虽然不是一招致命的武器，但是，基于 30 年来我们自己积累的丰富威胁缓解经验，我们认为这是奠定安全基础的重要组成部分。

　　保护您企业的数据免遭窃取或锁定，或者避免您的企业因遭到入侵而登上新闻头条，这种能力对您而言有多大的价值？如果您能成功阻止哪怕一次攻击，那么您投入到威胁追踪的所有时间和资金都是值得的。

　　虽然威胁追踪的最终目标是在攻击者造成损害之前找到并驱逐他们，但其还有许多其他优势，包括：

　　成功的威胁追踪计划有许多组成要素，但我们一再强调的包括数据访问、多元化团队和正确的思维模式。

　　高质量数据的重要性显而易见，但您可能会惊讶地发现，访问这些数据竟如此困难。为我们的客户进行威胁追踪时，我们经常发现缺少必要的数据，甚至在我们自己的环境中也是如此。

　　对于数据访问问题，您需要跳出固定思维模式，而不是走进死胡同。是否能够以不同的方式看待问题？是否可以使用另一组网络日志？同样重要的是，您需要将此转变为机遇，使得下次可以改进成果，并且通过付出额外努力，与那些可以向您提供更优质数据的团队合作。

　　因此接下来我们要谈到人员要素。人员要素涉及两个方面，一方面是培养跨团队关系的重要性，尤其是那些受您的安全活动影响的团队，例如网络管理员和开发人员；另一方面是追踪团队的成员。成功需要多样化的思维。您需要招收具备创新思维、能以略微不同的方式看待世界的人才，而不是一根筋思维的人。我们从具有各种不同背景的人员（甚至是非技术人员）之中寻找追踪者。

　　这也有助于您以正确的思维模式进行追踪。当您日复一日地面对着熟悉的安全环境，尤其当您还是该环境的设计者时，很难保持客观。退后一步，问问自己可能缺失哪些东西，这并不容易。既负责追踪设计又负责追踪执行的多元化团队会给您提供全新的视角。

　　除了合适的人员，您还需要合适的技术和流程。您可能已经具备一个可以开始追踪计划的基础，很可能您在自己未察觉的情况下，一直都在进行威胁追踪。如果您曾调查过攻击，试图了解所发生的情况，那么您所回答的一些问题以及执行的一些步骤正是追踪者所回答和执行的。

　　然而，一个慎重计划的开发确实需要时间。先从小步骤和简单的策略性数据源开始，然后再一步步地构建。不要犯马上使用大量数据源的错误，否则会遇到很多困难。您甚至不需要复杂的工具就能开始，因为您可以通过操作系统事件日志或您的系统管理员为故障排除目的而保留的日志中发现恶意行为。

　　最后的一点想法。有一种误解认为，只有规模较大的组织才可以实施威胁追踪计划。实际上，威胁发起者不关心组织的规模，而是寻找容易攻击的目标；规模较小的组织可以因预先防范这些威胁而至少同样受益。如果您没有内部资源，可以将此工作外包给专家顾问。如果您已经有一个付费的外部 IR 团队，请开始讨论主动寻找攻击者所需的资源。

　　为了让用户和合作伙伴更好地了解思科如何降低网络安全复杂性并优化运营，思科将于 12 月 4 日上午 10:00~11:30 举办首届思科安全在线技术峰会，通过在线网络直播与用户和合作伙伴分享思科协同、全面的安全解决方案，共同探索防火墙的未来、SD-WAN 和零信任技术。
　　长按识别或扫描上方二维码

　　免费报名首届思科安全在线技术峰会

　　详情查看：https://www.cisco.com/c/zh_cn/products/security/security-reports.html?dtid=osowct000775&ccid=cc000828&oid=wprsc019008 下载了解思科网络安全报告系列《追踪隐藏威胁：将威胁追踪纳入安全计划》