調查發現，除了任務之外，威脅獵手本身也在尋求更多的培訓、教育和管理層的支持。隨著CISO展望2024年及其將帶來的網絡安全挑戰，他們需要從威脅追捕團隊那里獲得什么，威脅獵手本身應該如何加強他們的技能集？

 

 

威脅分析員需要融合傳統和現代的技術技能，所有與記者交談的專家都表示，要進行高效的數據分析，Python是不可或缺的，其他需要了解的重要語言和工具包括C、C++、JavaScript、Ruby on rails、SQL、PowerShell、Burp Suite、Nessus和Kali Linux。網絡和系統的基礎知識、數據分析技能、云架構知識和逆向工程也被認為是有用的。

 

威脅獵手需要具備在有限細節下研究復雜問題、解決謎題和評估風險的總體傾向，然而，獨立安全顧問、iANS教員、前SANS高級講師杰克·威廉姆斯表示，出于幾個原因，這項任務變得更具挑戰性，他在接受記者采訪時表示：“隨著我們的周邊防御系統，如終端檢測和響應能力的提高，以及威脅因素的改進，搜尋工作變得更加困難，它更加先進，需要更多的技能，通常情況下，它會在數據中尋找異常情況。”

 

Bug Bounty平臺Sajeeb Lohani的網絡安全總監BugCrowd表示，需要熟悉MISP等威脅情報平臺，以及Splunk、LogRythm和ManageEngine等安全信息和事件管理(SIEM)工具，才能識別和檢查威脅暴露。Lohani在接受記者采訪時表示：“MITRE ATT&CK框架的應用知識可以幫助識別在某些攻擊過程中使用的不同戰術和技術，它可以幫助分析師指出其他人可能會遺漏的不同攻擊模式。”隨著加密貨幣的崛起將挖掘活動引入網絡安全擔憂，像Wazeh這樣的較新的輕量級工具正變得越來越普遍，以幫助識別和管理威脅。

 

 

除了技術能力，軟技能也同樣重要，例如，簡明扼要地向各方解釋威脅的能力至關重要，而對細節的關注、分析思維、壓力管理、創造力和團隊合作都被視為現代威脅獵手的關鍵技能。

 

例如，經常迫切需要向不同的受眾傳達新的漏洞，這就需要為技術團隊、CISO和董事會成員量身定做溝通。威廉姆斯強調任務管理和耐心，特別是在處理不確定或誤導性信息時，最重要的是在不同信息來源之間進行協調。Williams說：“今天的威脅獵殺在很大程度上與生活在陸地上的事情有關，在那里你會看到看起來很惡意的東西，因此，你經常會提出假設，這涉及咨詢系統管理員并努力解決問題。”他指出，同樣重要的是，你的思維要靈活，不要把你的思想與這件事或那件事隔絕開來。“那些能同時持有不同觀點的人是最棒的。”

 

 

威脅獵手的職責已從傳統的網絡監控轉變為主動的威脅搜索和情報收集，這意味著大幅提高技能和新的優先事項。數字信任專家兼ISACA非執行董事Niel Harper告訴記者：“與過去不同，現在對黑名單的人工研究和輸入更少，對入侵檢測系統的依賴也更少。”能夠分析大量數據的工具已經出現在框架中，“這些威脅檢測工具正在為威脅獵手提供有意義的、可操作的情報和威脅的優先順序。” Harper說。

 

然而，它造成了許多誤報，這意味著威脅分析師需要接受培訓，分析虛假信號，以找到妥協的跡象。現在，隨著ML和AI以及更多的自動化，這個角色繼續演變。Harper看到了威脅獵手的研究和分析技能的巨大價值，“它有助于將來自各種工具的信息轉化為可操作的情報。” Harper說。

 

Chaucer Group的安全運營專家Christian Scott指出，其職權范圍還擴大到包括云安全監控以及了解日志集中和分析。Christ Scott對記者說：“攻擊者對這些空間的攻擊越來越頻繁。”在與一些大型公司合作過后，他親眼目睹了這種轉變。“有人會在云中制造一些東西，這會打開另一個攻擊面，所以你需要有人主動尋找漏洞。”

 

這也是一種心理游戲，威脅獵手需要高度適應，因為威脅每天都在變化，有時甚至是每小時一次。SentinelOne負責威脅追蹤、情報和DFIR的副總裁Brian Hussey表示：“你需要與他們一起改變，永遠不要讓僵化的思維滲透到你的作戰方法中。”同時，你還需要透過樹木看到森林。Hussey告訴記者：“通常，威脅行為者會對其攻擊模式進行表面上的改變，但核心操作方式保持不變，即使在新的攻擊到來之前，也留下了識別和消除新攻擊的重要機會。”

 

 

SANS的調查顯示，近75%的公司需要更多的培訓和熟練的員工，AI和ML技術可能會發揮作用。專家們一致認為，ML和AI在增強威脅狩獵檢測能力方面的重要性日益增長。“它可以在短時間內分析大量信息，我們從這些工具中看到了更多的情報，因為它們可以為你提供穿透目標的最佳行動方案，這可以優化你的利用效率。” Harper說。

 

例如，根據Williams的說法，異常值分析曾經是手動完成的，但現在正在被納入工具中，因此對數據科學和ML工具包有一些了解，其中許多工具包是通過Python公開的，可以顯著增強威脅檢測能力。你可以立即利用這些功能來幫助你找到非常常見的東西或非常不常見的東西。

 

同樣，他們也告誡不要過度依賴ML和AI，并強調人類監督的必要性，例如，AI降低了技能障礙，但這些技術無法像人類那樣推斷或質疑。Chaucer Group的斯科特指出，這些工具永遠不應該削弱人類好奇心的力量，他們會問“為什么”。“這是在問為什么會有東西這么做？這是美國廣播公司的規則，什么都不假設，什么都不相信，一切都是肯定的。”

 

 

作為一名威脅獵手，持續學習和適應能力是與時俱進的關鍵，初學者需要從網絡和安全的基礎知識開始，逐步進入更復雜的領域，參與在線社區和利用在線資源也是獲取信息的有效方式，網絡安全方面的實踐經驗是關鍵。Williams建議，在進入威脅追蹤之前，要在安全運營中心工作幾年或從事事件應對工作。

 

Harper建議初學者從網絡和安全的基礎知識開始，利用在線和社區提供的資源作為指導。“與從業者社區和專業協會建立聯系是共享工具和信息并在學習道路上取得進展的一種方式。”他說。

 

 

威脅獵手被忽視的一個方面是，需要有一個強大的個人道德框架，而不是泄露敏感的商業信息或濫用利用漏洞或其他有關潛在漏洞的信息。

 

SentinelOne的Hussey說：“在你的職業生涯中，你會遇到幾個道德方面的問題。”黑客還擊，或對威脅參與者采取攻擊性行動，劫持攻擊者的加密貨幣，與勒索軟件威脅參與者談判等等。“與你的法律團隊和同事溝通你的行動是至關重要的。當好人走到一起做正確的事情時，這會讓這些棘手的話題更容易定義。”然后需要負責任和透明地處理敏感信息，并遵守法律標準。Harper說：“它通過強大的訪問控制，確保你以安全的方式保護和存儲信息，如果你與第三方分享這些信息，他們是可信的。”

 

同樣重要的是，當涉及到某些調查時，威脅獵手要保持中立，比如商業間諜活動或調查個人。有必要避免從某些假設開始，避免做出任何假設，而是專注于不偏不倚。Chaucer Group的Scott強調了威脅追捕的潛在倫理影響，強調了保持不偏不倚和保護敏感信息的責任。“它遵循ABC規則，不做任何假設，專注于數據，甚至確保更廣泛的數據范圍，以避免得出預先確定的結論。”

 

 

威脅追捕團隊中缺乏熟練的工作人員是成功的主要障礙。與其他面臨技能缺口的網絡安全領域一樣，多元化招聘可能是一種解決方案，但這如何轉化為威脅追捕？

 

哈珀倡導對網絡安全采取包容性的方法，他說，來自不同教育背景的個人可以在這一領域出類拔萃。“我認為你不需要有嚴格的計算機科學或信息技術背景，只要你有興趣、愿意和熱情去學習。”

 

讓人們能夠超越威脅的機制，甚至考慮攻擊者的更大目標或動機，這也是有幫助的。BugCrowd的Lohani說：“通過掌握攻擊背后的‘原因’，分析人員可以更好地理解攻擊的‘方式’和‘時間’，從而能夠更有效地分析對手，并加強針對特定威脅媒介的安全措施。”這有助于為風險評估提供信息，確定防御工作的優先順序，并為用戶開發更有針對性的安全教育計劃，掌握網絡安全的人的因素對于全面的防御戰略至關重要。

 

 

國內主流的to B IT門戶，同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)。

 

版權聲明：本文為企業網D1Net編譯，轉載需在文章開頭注明出處為：企業網D1Net，如果不注明出處，企業網D1Net將保留追究其法律責任的權利。