专家谈及网络威胁的细分时，通常会提及二八定律(又名80/20定律、帕累托法则(定律)也叫巴莱特定律、最省力的法则、不平衡原则等，被广泛应用于社会学及企业管理学等。)。二八定律的概念为：80%的网络威胁攻击者通常比较“低能”，而剩下20%则非常先进，如果给定的时间和资源充足，这20%的攻击者可以入侵任何网络。
 

　　网络“狩猎”新范式

　　从历史上来看，国防和情报界主要关注那20%的网络攻击者。然而，如今商业化恶意软件的兴起让传统 “菜鸟级”攻击者也能使用先进技术。

　　例如，2006年，WebAttacker漏洞利用工具提供了一套任何威胁攻击者都能操作的工具套件。在这种新范式下，我们要认清三大真相：

　　1. 不可能防止所有的攻击。

　　2. 企业网络难免会遭遇攻击。

　　3. 不存在100%的安全

　　大多数安全从业人员都明白，良好的网络习惯和边界网络安全将缓解底层80%的攻击者。在安全运维中心(SOC)，阻止和处理技术可以应对超过90%的攻击者。而那剩下的10%，就属于威胁狩猎的领域。

　　人工分析师可以调查数据源找到单靠机器无法检测到的威胁证据。例如，寻找异常的分析师可以发现对手的指示器(Indicator)，以及执行攻击者的部分杀伤链，并在对方采取行动前加以阻止。

　　威胁狩猎新手需了解的注意事项

　　当创建威胁狩猎计划时，组织机构应牢记三件事：

　　1. 需求是什么?

　　威胁狩猎的基础是安全信息和事件管理(SIEM)解决方案，该解决方案在网络内适当聚合内部结构化数据。威胁情报信息允许组织机构对比外部威胁指示器(Indicator)，并理解威胁格局。

　　此外，还要增加统计分析引擎和情报分析工具。分析师可通过统计分析根据数学模型发现异常，而不是规则引擎。情报分析工具可以使相关数据可视化，以便分析师围绕实体、联系和财产进行关联。

　　2. 需要哪些人才?

　　威胁分析师是威胁狩猎从业人员。威胁分析师通常被称为“三级分析师”，他们具有信息安全、取证科学和情报分析相关的技能。因为具备这些技能，三级分析师能主动根据情报需求积极发现威胁，并直接展开调查。

　　3. 怎么做?

　　执行威胁狩猎最重要的起点是建立优先情报需求(PIR)。PIR需求基本上都是领导层寻求的高层次问题。

　　你可能想知道，自己是否遗漏了隐藏的威胁。若是如此，具体信息需求(SIR)可以帮助回答以下问题：

　　众多低级警报何时连接到同一指示器(Indicator)?

　　30天至90天之前，新威胁情报指示器(Indicator)在哪里与日志匹配?

　　通过以前从未见过的命令执行的远程访问会话在哪里?

　　威胁狩猎者通过这些问题可以了解重要情报，以解决高层次的问题，并破坏先前未知的复杂威胁。

　　奠定基础

　　刚开始涉足威胁狩猎的公司应了解上述基本概念，并在成熟时增加更多功能。使用正确的工具和配备有技能的员工至关重要。通过适当的技术、人员和可操作的威胁情报，组织机构可以填补安全空缺，并保护网络免于遭受“藏在暗处”的恶意攻击。

(责任编辑：宋编辑)