实现主动威胁搜索的最佳实践与热门工具

随着攻击技术的演进，网络安全防御者也需要不断升级企业的防御方案，将网络安全建设从被动防御转换到主动防御、积极反制的方向上来，主动威胁搜索技术应运而生，并逐渐成为现代企业网络安全防护计划的重要组成部分。

主动威胁搜索有别于目前企业中常见的SOC、IDS、渗透测试和安全扫描等安全防护方案，其主要由安全分析师利用多种威胁分析工具、威胁情报和实践经验来排查和寻找可疑的攻击痕迹。主动威胁搜索是一种更加积极的新一代安全防护策略，通过主动寻找和调查网络中的任何可疑行为，可以帮助安全人员比网络攻击者抢先一步采取行动。

如果能够有效实现主动威胁搜索，企业组织将会受益匪浅。以下是关于主动威胁搜索的六个最佳实践经验，可以帮助企业更好地实现主动威胁搜索。

如果要及时发现网络中的威胁，一个基本的要求是要了解网络正常时的状态是什么样子。安全分析师只有非常熟悉网络的运行情况，才能充分获得这方面信息。例如，如果企业充分了解不同时间段进入网络的流量情况，就可以准确识别出流量异常的情况，并对此展开进一步调查，这样就很可能会发现威胁。安全分析师还有必要了解各种网络流量的来源和IP地址。如果突然发现从陌生来源的流量，应及时验证这些来源的真实性和安全性。

今天的网络攻击者不会是孤军奋战，他们会经常利用暗网平台，相互交流探讨最新的攻击技术，并不断设计出新的手法来实施网络攻击。对于安全防护者而言，如果能够获得攻击者的第一手信息，将对防护新型攻击大有助益。安全分析师需要寻找机会与这些黑客打交道，这样就有机会了解他们的手法，并利用这些信息来加强防御。

身处企业网络内部的安全人员往往看不到外部黑客能看到的东西，特别是网络系统中的漏洞和不足。从攻击者的角度思考可以更快速了解企业在网络防御方面的缺陷。企业如果要有效地开展威胁搜索活动，需要定期开展网络攻击演练活动，梳理企业的IT资产、寻找漏洞和攻击路径，以便更好地发现和应对风险。通过实战化的攻防演练，可以帮助企业积累宝贵的攻击技能，其作用不仅仅在于主动发现安全问题，对系统开发人员深入了解计算机系统也会大有帮助。

可见性是指对企业内部及所覆盖的整个网络流量进行收集、监控、分析，发现恶意访问、影子资产、异常流量。对网络安全防护人员而言，网络的可见性是安全防护的前提，因为他们无法保护不知道的东西。这通常意味着需要了解所有设备、用户和应用程序的行为和活动，还包括它们之间发生的交互。部署应用有效的网络监控工具可以全面地洞察网络中的各种活动，还可以提供反映系统安全运营情况的实时性报告。

如今，网络犯罪分子正在积极使用机器学习、人工智能等新技术，更深入地了解其攻击目标的行为，并发动更精准的攻击。因此，企业组织有必要利用同样的技术，实施安全防护和威胁检测，做到比网络犯罪分子领先一步。基于AI的工具可以对海量数据进行自动化检测，快速识别异常情况，并从错误中学习。通过有效部署人工智能和机器学习工具，企业可以优化现有的威胁搜索策略，提升主动威胁搜索能力。

主动威胁搜索并非一蹴而就的活动。网络犯罪分子在不断寻找网络中的漏洞，所以企业的威胁猎手须时刻保持警惕，才能及时发现并捕获他们。网络攻击者会采取不同的策略来躲避检测。网络威胁分析师必须对所有活动保持警惕，留意微小的细节，以识别可疑或恶意的攻击途径，忽略任何一些小细节都可能会导致企业遭受严重的网络安全攻击。

目前，市面上有一些热门工具有助于企业主动搜索威胁。这些工具提供了自动化功能，可以减少安全人员的手动工作，用户只需要正确配置就可以快速使用。

攻击者通过网络钓鱼手段，诱骗疏于防范的受害者泄露敏感信息。这是一种常见的攻击，这些黑客将他们伪造的网站、电子邮件和文本信息冒充为合法内容。反钓鱼威胁搜索工具Phishing Catcher可以近乎实时地将使用恶意传输层安全（TLS）证书的域名标注出来，它使用了一种标记语言（YAML）配置文件，为TLS证书域名中的字符串分配数字。

传送门：

https://github.com/x0rz/phishing_catcher

CyberChef是一种可靠的安全威胁搜索软件，可用于数据编码、解码、加密、解密和格式化。这个工具通过Web应用部署，便于用户使用，可以处理Base64或XOR之类的基本编码，也可以处理高级加密标准（AES）和数据加密标准（DES）之类的复杂编码。

传送门：https://gchq.github.io/CyberChef/

DNSTwist主要监控试图访问网络域名的可疑行为细节，以识别恶意活动或网络攻击，其算法能够检测异常，比如域名欺骗、品牌假冒和钓鱼攻击。一旦用户在系统中输入要访问的域名，它会创建一个监测列表，列出可能的域名变体，并检查列表中是否有相关域名是活跃的。

传送门：http://dnstwist.it/

YARA是一个针对恶意软件的威胁搜索工具，可以对各个恶意软件家族进行分类。用户只需编写一组字符串以执行指定的函数，就可以使用它。YARA可以与多种操作系统兼容。它还提供了一个Python扩展，以便用户创建自定义Python脚本。

传送门：https://github.com/VirusTotal/yara

AttackerKB是一个威胁搜索工具，可以用来检测系统中的各种类型安全漏洞，并根据它生成的数据构建主动安全防御系统。AttackerKB的主要能力包括利用漏洞、技术分析和防御建议。用户可以根据漏洞的影响来确定漏洞修补优先级，以收到最大成效。

传送门：https://attackerkb.com/

https://www.makeuseof.com/best-threat-hunting-practices-and-tools/