APT攻擊、無文件攻擊、加密流量、社會工程、勒索軟件，對手一連串的“組合拳”對終端發起了瘋狂攻擊，并且這些技術基本都可以穿透所有傳統安全產品下堆疊出的安全架構和系統。但也許你并不需要被動挨揍，威脅狩獵（Threat Hunting）將會為你的反擊贏得“加分”。

亞信安全正式推出威脅狩獵服務，以“早發現、早診斷、早處置、高質量”為優勢原則，為用戶徹底解決缺少高級攻擊防御經驗、缺乏相關高級技術工具、無法對威脅進行溯源等難題提供全面協助。

什么是威脅狩獵服務？

威脅狩獵是主動的發現網絡中惡意數據及行為的安全審計方法。威脅狩獵服務是由威脅分析專家根據客戶環境中的威脅線索，主動進行關聯分析，在確認威脅影響范圍和影響程度的基礎上，提供治理建議的服務。

判斷威脅狩獵的成熟度級別需要考慮以下三個基本因素：

收集和分析數據的工具； 所收集的數據質量及細粒度； 威脅分析專家的技能水平和獵捕經驗。

傳統安全服務 vs 威脅狩獵服務

在網絡安全行業，“傳統安全服務”就像“常規體檢”，云服務器，由普通安服人員使用常規安服工具，對用戶的網絡和主機進行合規檢查、資產發現、漏洞掃描、打補丁和網絡入侵檢測等，這些普通安服人員往往缺乏更專業的知識和工具對異常的情況進行深度的分析。在國際上，以EDR技術為核心的威脅狩獵專家服務已經獲得用戶的廣泛認可，其服務核心是由威脅狩獵專家，使用EDR終端檢測及響應工具，根據威脅跡象和異常情況主動對高級威脅進行“早發現”、“早診斷”和“早處置”。

威脅狩獵服務的價值

亞信安全威脅狩獵服務為用戶帶來的價值 —— 3“早”1“高”：

l 早發現：威脅狩獵是需要高級威脅的線索，而安全產品告警和異常行為檢測是這些線索的來源。黑客團伙或者紅藍對抗攻擊方入侵總會利用一些未知的漏洞或者手段，但是在入侵跳板主機成功后，會用一些常規的手段進行提權、探測和橫向移動，傳統的安全產品和EDR ATT&CK規則檢測框架都會發現一些“蛛絲馬跡”，這些蛛絲馬跡就像是叢林中獵物留下的足跡，指引著獵人進行狩獵追蹤。

l 早診斷：EDR相比于傳統的端點安全防病毒產品的最大區別就在于操作系統內核級別的行為日志高清記錄，它就像是安裝在操作系統上的高清攝像頭，將進程啟停、文件操作、網絡連接、注冊表修改和系統日志如實記錄下來并且長期存儲。威脅狩獵人員可以輸入威脅線索和查詢條件，EDR服務端能夠以可視化的方式繪制出進程事件樹，幫助威脅狩獵人員有效關聯出疑似威脅的入侵軌跡，確認威脅的影響范圍和影響程度，為根治問題提供技術支撐。

l 早處置：威脅狩獵人員使用EDR工具進行遠程的遏制和修復，對高級威脅入侵造成的破壞和留存的后期進行根治修復，避免在紅藍對抗和上級監管過程中集中爆發問題。

l 高質量：在亞信安全威脅狩獵諸多的成功案例中，我們發現用戶對于安全事件線索的看法普遍處于“狼來了”的麻木狀態，即各種安全廠家的產品（尤其是安全態勢感知平臺）每天都生成海量的告警信息，而安全運維人員即使加班加點也無法處理如此多的告警事件，結果就是放任這些告警于不顧，等到黑客團伙真正發起總攻的時候，亞洲服務器租用，毫無防范之力。亞信安全推出的大終端2.0運維平臺從根本上改善了上述被動的防護態勢，我們將亞信安全產品（例如OfficeScan、DS、TDA等）的日常告警日志聚類成有優先級排序的安全事件，并且聯動到EDR產品進行遏制、調查和修復，完成威脅狩獵分析早發現、早診斷和早處置的閉環操作。

亞信安全的威脅狩獵服務，區別于傳統的安全服務和紅藍對抗的攻防服務，開辟了高級威脅檢測響應的服務新賽道。

威脅狩獵服務依托亞信安全的EDR行為檢測能力和威脅分析的專家能力，能夠有效地檢測零日漏洞等高級威脅，解決這些安全漏洞可能隱藏幾年都發現不了的安全風險。

威脅狩獵服務由亞信安全具備攻防能力的威脅狩獵專家為用戶提供高級威脅的溯源分析，能夠回答 “誰進來了、是敵是友、干了什么”的疑問，能夠及早發現治理“潛伏”的高級威脅，避免這些高級威脅在紅藍對抗、重保的關鍵時刻集中發作。

為何選擇亞信安全威脅狩獵服務

亞信安全開啟國內威脅狩獵服務新賽道：

l 亞信安全的專業威脅狩獵服務，為用戶提供本地和遠程的高級威脅檢測響應服務，開啟了國內威脅狩獵服務新賽道。

l 在已經購買EDR產品的客戶中，威脅狩獵服務積累了眾多成功案例，幫助用戶主動檢測并溯源潛伏在端點側的高級威脅，深受用戶好評。