TTP 搜尋是一種基于情報的網絡威脅搜尋類型，它分析黑客和網絡犯罪分子使用的最新 TTP（戰術、技術和程序）。TTP 威脅獵手研究網絡犯罪分子使用的最新工具和技術，學習如何檢測新的攻擊趨勢，并收集足夠的網絡威脅情報，以便公司能夠充分保護其攻擊面。本文將討論為什么威脅搜尋是網絡安全和網絡安全 防御策略的重要組成部分。

什么是網絡威脅搜尋？

網絡威脅搜尋包括主動尋找可能利用新漏洞的潛在網絡攻擊，并制定安全計劃來防范這些攻擊。為了做到這一點，威脅獵手必須對最新的威脅形勢非常了解，這樣他們才能保護自己或他們的公司免受新的和高級威脅的侵害。

盡管傳統的安全措施可以抵御大多數網絡威脅，但通常是不太常見但更復雜的惡意軟件會造成最大的損害。一旦黑客進入系統，他們可以在不被發現的情況下自由移動，同時緩慢執行數據泄露。如果不積極尋找威脅，公司就會將自己置于數百萬美元損失的風險之中。

網絡威脅搜尋的主要目標是在任何惡意活動發生之前采取主動措施，而不是等待攻擊發生響應。雖然威脅檢測監控當前系統以識別任何安全問題，但威脅追蹤更進了一步，嘗試建立預防措施。公司和個人可以通過了解最新的 TTP 來提供更好的網絡安全和端點保護以免受威脅。

網絡威脅搜尋與 TTP 搜尋

TTP 搜尋是一種網絡威脅搜尋形式，專注于威脅參與者使用的特定行為、攻擊模式和操作技術。TTP 搜尋通過與過去的網絡攻擊建立關聯以查明潛在來源，從而主動預測攻擊。

TTP狩獵方法論

由于 TTP 搜尋依賴于行業內不斷提高的意識和經驗，因此威脅搜尋者可以根據數據及其廣泛的知識創建假設進行測試。他們的專業知識幫助他們優先考慮首先測試和定位的潛在威脅。為了執行成功的搜尋，大多數威脅搜尋者使用以下過程：

1. 了解威脅情況

新惡意軟件技術不斷變化的格局要求 TTP 或網絡威脅獵人像威脅參與者一樣思考。一個有效的威脅獵手需要展示高水平的創造性思維和分析技能，以領先于任何網絡威脅。此外，他們還必須通過使用開源情報方法來隨時了解最新威脅，例如掃描暗網或梳理互聯網以尋找潛在的攻擊媒介。

他們需要考慮的一些問題：

• 潛在的黑客將如何嘗試從外部訪問網絡？
• 過去的網絡犯罪分子使用過哪些已知的攻擊行為或技術？
• 哪里是最容易利用漏洞的入口點？

2013 年，Mitre Corporation 創建了MITRE ATT&CK 框架（對抗、戰術、技術和常識），這是一個全面的、全球可訪問的網絡犯罪策略數據庫。該數據庫有助于生成對所有攻擊范圍的可見性，強烈建議希望改善其安全狀況的公司使用。

2. 收集數據以創建威脅模型

威脅獵手可以使用各種安全工具來幫助他們管理和分析數據以發現異常情況。然后，他們可以使用數據集創建威脅模型，代表組織的整個攻擊面和每個可能的威脅場景。每個場景都成為一個可檢驗的假設，由團隊決定哪些最有可能成為真正的威脅。

一些常用的安全工具有：

• 安全信息和事件管理 (SIEM) - SIEM 工具結合了安全信息管理 (SIM) 和安全事件管理 (SEM)，以提供對系統的實時監控和分析。它們將有價值的事件報告和對潛在安全威脅的日志記錄直接提供給組織的安全運營中心 (SOC)。當與 AI 和 ML 結合使用時，SIEM 安全解決方案可以成為預測威脅的強大工具。
• 托管檢測和響應 (MDR) - MDR 是一項服務，可監控組織的整個 IT 環境并提供威脅追蹤功能。MDR 通常配備 SOC，其中可以包括一套工具，包括防火墻保護、入侵檢測系統 (IDS)、入侵保護系統 (IPS)、端點檢測和響應 (EDR)、滲透測試、漏洞掃描器、用戶和實體行為分析 (UEBA) 等等。

3. 調查使用已知 IOC 來確定 IOA

IOC（妥協指標）是網絡事件后數據泄露的數字證據。使用 MITRE ATT&CK 框架，安全團隊可以使用已知的 IOC 來尋找新的威脅。這種 IOC 搜索方法需要知識淵博的威脅獵手，因為他們需要微調搜索以過濾掉更常見的結果。返回太多結果的廣泛搜索將妨礙對未來威脅的準確評估。

一些常見的 IOC 是：

• 不規則的網絡流量或DNS 請求
• 大量文件請求
• 未經授權的提權
• 誤報文件哈希（MD5、SHA1、SHA256）
• 無法識別的 IP 地址
• 多次登錄失敗
• 數據庫活動激增
• 對系統注冊表或系統文件的異常更改

一旦確定了 IOC，安全團隊就可以開始確定IOA（攻擊指標）。IOA 是顯示網絡攻擊很可能在不久的將來發生的指標，并且隨著更多數據的進入而實時變化。因為 IOA 動態地適應傳入的數據，所以它是主動 TTP 搜索的最重要方面之一。

4. 執行安全計劃

完成研究并收集必要的數據后，就該開始威脅搜尋了。使用威脅模型來定義首先要搜索的威脅，TTP 搜索者將開始記錄盡可能多的信息，包括消除誤報并將高風險威脅和可疑發現傳遞給安全團隊。

許多組織聘請專門的威脅搜尋服務或聘請全職威脅搜尋人員來管理此特定的安全協議。威脅搜尋需要全天候關注和不斷更新的威脅情報生命周期，以更有效地分析潛在威脅。

其他網絡威脅搜尋方法

雖然 TTP 搜尋更多地是一種基于情報的方法，但威脅搜尋者也可以使用基于分析和研究的方法。

人工智能 (AI) 和機器學習 (ML)

使用人工智能和機器學習，許多大公司已經開始采用這種基于分析的自動化方法來梳理互聯網上的大量數據源。這種高級分析方法可搜索任何可能預示潛在威脅的異?；蜻`規行為。這些信號成為威脅追蹤團隊跟進和識別的新線索。

數字取證和事件響應 (DFIR)

基于 DFIR 的搜尋是網絡威脅搜尋的更先進的補救方法之一，它涉及數字取證的高級知識。它需要仔細調查受感染的網絡或設備，以了解入侵的確切入口點。

盡管 DFIR 更像是一種反動技術，但 DFIR 分析師可以利用他們的發現來創建更好的網絡安全實踐，以最大限度地降低組織未來遭受攻擊的風險。他們可以利用違規留下的數字工件與已知的 IOCS 相關聯并識別潛在的 IOA。

皇冠珠寶分析 (CJA)

CJA 采用更廣泛的威脅搜尋方法，依靠行業的先進知識來尋找潛在威脅。在 CJA 期間，威脅獵手必須：

1. 確定組織的核心使命以及它認為最重要的數字資產（又名“皇冠上的寶石”）。
2. 然后，他們必須通過執行威脅敏感性評估 (TSA) 來確定與這些資產相關的所有潛在風險和威脅。
3. 隨后，必須執行風險補救分析 (RRA) 以確定降低或減輕風險的最佳程序。