TTP搜寻是一种基于情报的网络威胁搜寻类型，它分析黑客和网络犯罪分子使用的最新TTP（战术、技术和程序）。TTP威胁猎手研究网络犯罪分子使用的最新工具和技术，学习如何检测新的攻击趋势，并收集足够的网络威胁情报，以便公司能够充分保护其攻击面。本文将讨论为什么威胁搜寻是网络安全和网络安全防御策略的重要组成部分。

什么是网络威胁搜寻？

网络威胁搜寻包括主动寻找可能利用新漏洞的潜在网络攻击，并制定安全计划来防范这些攻击。为了做到这一点，威胁猎手必须对最新的威胁形势非常了解，这样他们才能保护自己或他们的公司免受新的和高级威胁的侵害。

尽管传统的安全措施可以抵御大多数网络威胁，但通常是不太常见但更复杂的恶意软件会造成最大的损害。一旦黑客进入系统，他们可以在不被发现的情况下自由移动，同时缓慢执行数据泄露。如果不积极寻找威胁，公司就会将自己置于数百万美元损失的风险之中。

网络威胁搜寻的主要目标是在任何恶意活动发生之前采取主动措施，而不是等待攻击发生响应。虽然威胁检测监控当前系统以识别任何安全问题，但威胁追踪更进了一步，尝试建立预防措施。公司和个人可以通过了解最新的TTP来提供更好的网络安全和端点保护以免受威胁。

网络威胁搜寻与TTP搜寻

TTP搜寻是一种网络威胁搜寻形式，专注于威胁参与者使用的特定行为、攻击模式和操作技术。TTP搜寻通过与过去的网络攻击建立关联以查明潜在来源，从而主动预测攻击。

TTP狩猎方法论

由于TTP搜寻依赖于行业内不断提高的意识和经验，因此威胁搜寻者可以根据数据及其广泛的知识创建假设进行测试。他们的专业知识帮助他们优先考虑首先测试和定位的潜在威胁。为了执行成功的搜寻，大多数威胁搜寻者使用以下过程：

1.了解威胁情况

新恶意软件技术不断变化的格局要求TTP或网络威胁猎人像威胁参与者一样思考。一个有效的威胁猎手需要展示高水平的创造性思维和分析技能，以领先于任何网络威胁。此外，他们还必须通过使用开源情报方法来随时了解最新威胁，例如扫描暗网或梳理互联网以寻找潜在的攻击媒介。

2013年，MitreCorporation创建了MITREATT&CK框架（对抗、战术、技术和常识），这是一个全面的、全球可访问的网络犯罪策略数据库。该数据库有助于生成对所有攻击范围的可见性，强烈建议希望改善其安全状况的公司使用。

2.收集数据以创建威胁模型

威胁猎手可以使用各种安全工具来帮助他们管理和分析数据以发现异常情况。然后，他们可以使用数据集创建威胁模型，代表组织的整个攻击面和每个可能的威胁场景。每个场景都成为一个可检验的假设，由团队决定哪些最有可能成为真正的威胁。

IOC（妥协指标）是网络事件后数据泄露的数字证据。使用MITREATT&CK框架，安全团队可以使用已知的IOC来寻找新的威胁。这种IOC搜索方法需要知识渊博的威胁猎手，因为他们需要微调搜索以过滤掉更常见的结果。返回太多结果的广泛搜索将妨碍对未来威胁的准确评估。

一旦确定了IOC，安全团队就可以开始确定IOA（攻击指标）。IOA是显示网络攻击很可能在不久的将来发生的指标，并且随着更多数据的进入而实时变化。因为IOA动态地适应传入的数据，所以它是主动TTP搜索的最重要方面之一。

4.执行安全计划

完成研究并收集必要的数据后，就该开始威胁搜寻了。使用威胁模型来定义首先要搜索的威胁，TTP搜索者将开始记录尽可能多的信息，包括消除误报并将高风险威胁和可疑发现传递给安全团队。

许多组织聘请专门的威胁搜寻服务或聘请全职威胁搜寻人员来管理此特定的安全协议。威胁搜寻需要全天候关注和不断更新的威胁情报生命周期，以更有效地分析潜在威胁。

其他网络威胁搜寻方法

虽然TTP搜寻更多地是一种基于情报的方法，但威胁搜寻者也可以使用基于分析和研究的方法。

人工智能(AI)和机器学习(ML)

使用人工智能和机器学习，许多大公司已经开始采用这种基于分析的自动化方法来梳理互联网上的大量数据源。这种高级分析方法可搜索任何可能预示潜在威胁的异常或违规行为。这些信号成为威胁追踪团队跟进和识别的新线索。

数字取证和事件响应(DFIR)

基于DFIR的搜寻是网络威胁搜寻的更先进的补救方法之一，它涉及数字取证的高级知识。它需要仔细调查受感染的网络或设备，以了解入侵的确切入口点。

尽管DFIR更像是一种反动技术，但DFIR分析师可以利用他们的发现来创建更好的网络安全实践，以最大限度地降低组织未来遭受攻击的风险。他们可以利用违规留下的数字工件与已知的IOCS相关联并识别潜在的IOA。

皇冠珠宝分析(CJA)

CJA采用更广泛的威胁搜寻方法，依靠行业的先进知识来寻找潜在威胁。在CJA期间，威胁猎手必须：