Threat hunting（威脅狩獵，以下簡稱hunting）是近幾年業內的熱詞之一，出現了很多代表性的廠商和產品，如 FireEye Managed Defense 的核心特性之一就是主動狩獵¹，再如 Crowdstrike 的FALCON OVERWATCH?（其定義為基于 FALCON 平臺的可管理威脅狩獵服務²），還有專注在該領域、今年年初剛被 AWS 收購的Sqrrl。

2 周以前，Richard Bejtlich 和 Robert M. Lee 就 hunting 術語定義進行了一場精彩的博客辯論。沿著他們的思辨過程，了解到兩位作者基于之前工作經歷對 hunting 的理解以及價值主張陳述，回顧了 hunting 以及 IOC （Indicators of Compromise，失陷指標）的起源，也幫助讀者溫習了情報和安全分析領域多篇經典文章。

Richard Bejtlich 是前 Mandiant CSO & FireEye CSS、網絡安全監控領域的資深專家，也曾任職于 AF-CERT/GE-CIRT；而 Robert M. Lee ³是SANS 網絡安全滑動標尺模型的作者，有NSA Threat Operations Centers (NTOC)的工作經歷，他的另外兩篇威脅狩獵文章^{4 5}也為大家熟知。有感于國外實戰經驗豐富的安全專家同時具備上佳理論素養，筆者基于理解，分享總結本次討論的如下內容：

• 威脅狩獵是什么（不是什么）
• 威脅狩獵的目的

威脅狩獵是什么（不是什么）

Richard 認為，hunting 僅是一種檢測形式。最早源自2011年，時任GE-CERT事件響應團隊總監的 Richard在信息安全雜志發表《成為獵人》一文，提到：為了最好地對抗定向攻擊，需要一種主動檢測和響應入侵者的創新思考和方法，也即“hunting”。當時這一起源自軍方的概念已經在民用領域占據一席之地。具體來說，CIRT 團隊中資深的調查員發現了一種可能檢測到入侵者的新穎方法，他會指導一名或多名初級分析師通過數據和系統尋找敵人跡象。 一旦驗證了該項檢測技術（并響應任何敵人的行為）后，狩獵團隊應該努力將新的檢測方法納入安全運營中心分析師使用的可重復流程中。開發新的方法、對此進行在野測試、并將其訴諸實施，這種想法是對抗現代對手的關鍵。

更進一步，他于2013年在《網絡安全監控實踐（The Practice of Network Security Monitoring）》一書中定義NSM流程時，提出 IR 團隊用于檢測入侵者主要有兩種模式：一種是“匹配”模式，也即以IOC為中心的分析方法；hunting 為“IOC-free”的分析，因為分析師并不知道該找什么，而一旦知道找什么，就是一種匹配模式。hunting 技術一旦被驗證 (并響應任何敵人的行動) 后，獵人會將新的檢測方法集成到CIRT團隊以IOC為中心的操作中。

NSM流程.PNG

源：⁶

也正是Richard 基于上述定義回復twitter問題，促使 Robert 發文分享，他認為：

1. 狩獵時一種主動的、迭代的威脅檢測方法。（以滑動標尺模型來看，hunting是落到主動防御階段，而 Richard 耕耘甚深的NSM 也是該階段作者推薦的防御模型之一。）
2. 狩獵不是一種檢測形式，或者說不僅僅是一種檢測形式。
3. 狩獵是一種以假設為導向的方法，用于測試環境中面臨的威脅。
4. 狩獵是一種評估安全性（人員，流程和技術）免受威脅的方法，同時擴展自動化覆蓋度，以便在將來做好充分的準備。 或者簡單地說，狩獵是有目的性的事件尚未完成時的事件響應。

討論過程中，盡管上述兩者的定義不同，兩人都認同狩獵是一種基于假設并需要進行驗證和測試的，用于尋找新的威脅的可迭代安全分析方法。而單純的基于指標匹配并不是狩獵。

威脅狩獵的目的

雙方最主要的分歧則在于 hunting 的目的。Richard 基于歷史語境，從美國軍方概念起源到民用領域（GE-CIRT 的經驗）的實踐，遵循傳統觀念，認為狩獵的目的是將發現對手視為第一位的，而識別“看見”和“對抗”上的差距則是衍生出來的收益。具體追溯 hunting 起源⁷時，Richard 提及：“hunt”這一術語最早起源于2000年代中期，美國空軍推廣“hunter-killer”這一術語。同時期他參與一次 NSA 舉辦的紅/藍隊研討會上，該術語來自時任 NSA Vulnerability and Analysis Operations (VAO)主任 Tony Sager 的分享。而 Sager 在評論這篇博客時，分享了于 VAO 的 hunting 歷史定義：

1. “Hunt“ 意味著利用現有紅/藍隊以及通信安全（COMSEC）監控的基礎架構、非常有計劃和持續地搜索攻擊者，同時還會應用情報信息來指導搜索。
2. “Hunt” 作為 NSA 信息保障署（ Information Assurance Directorate）下 VAO 團隊聯合任務模式的一部分，在 2000 年代中期出現。它也是一種聯合 IA 和 SIGINT （NSA創建時的兩個主要任務，信息保障和信號情報）任務的一種方式—情報驅動狩獵。

Robert 則基于之前在 NSA Threat Operations Centers (NTOC) 的工作經歷，認為狩獵的目的不在于發現威脅，而在于確定防守方在檢測和響應威脅的能力方面以及情報收集方面存在哪些差距。

小結

本次“論戰”，雙方都是基于自身的經驗分享對于hunting的理解，如果說Richard對于hunting的定義基于傳統，那么Robert 的定義則更為廣義，但雙方的理解都深受美國軍方思想的影響。最主要的分歧在于狩獵的目的。本身這樣的討論并無絕對的對錯，于行業是受益的。我比較贊成Robert在這個系列最后一篇博客中提到的觀點：避免“訴諸傳統”的邏輯謬誤。有些術語的形成可能只是約定成俗。值得一提的是，這次討論過程，兩位作者引經據典，幫助我們回顧了近 10 年美國安全行業一些重要的安全理念和理論，尤其很多模型和理論來自實踐總結。雖說“紙上得來終覺淺”，但從實踐到理論無疑是一次提升和沉淀。

附錄1—本次論戰博客鏈接

• Robert M. Lee, “Hunting vs. Incident Response vs. Just Doing Your Job“，http://www.robertmlee.org/hunting-vs-incident-response-vs-just-doing-your-job/，2018年11月22日
• Richard Bejtlich, “More on Threat Hunting”，https://taosecurity.blogspot.com/2018/11/more-on-threat-hunting.html，2018年11月23日
• Richard Bejtlich, “Even More on Threat Hunting”，https://taosecurity.blogspot.com/2018/11/even-more-on-threat-hunting.html，2018年11月24日
• Robert M. Lee, “Threat Hunting, TTPs, Indicators, and MITRE ATT&CK – Bingo”，http://www.robertmlee.org/threat-hunting-ttps-indicators-and-mitre-attck-bingo/，2018年11月25日
• Richard Bejtlich, “The Origin of the Term Indicators of Compromise (IOCs)”，https://taosecurity.blogspot.com/2018/11/the-origin-of-term-indicators-of.html，2018年11月25日

1. https://www.fireeye.com/content/dam/fireeye-www/solutions/pdfs/ds-managed-defense.pdf
2. https://www.crowdstrike.com/products/falcon-overwatch/
3. http://www.robertmlee.org/
4. https://www.sans.org/reading-room/whitepapers/threats/paper/37172
5. https://www.sans.org/reading-room/whitepapers/analyst/who-what-where-when-effective-threat-hunting-36785
6. https://taosecurity.blogspot.com/2018/11/even-more-on-threat-hunting.html
7. https://taosecurity.blogspot.com/2017/03/the-origin-of-threat-hunting.html