行业新闻与博客

建立威胁搜寻小组需要找到准备好查询数据，热衷于率先发现威胁并拥有适合他们工作的正确文化的人。

思科 Talos 的外联经理和技术负责人 Martin Lee 在 Bsides Belfast 2019 上发表讲话时说，Talos 的团队“致力于分析我们所拥有的情报，发现有什么不同并理解它，并且因为没有关于如何操作的手册为了管理威胁研究和情报团队并使之运转，研究团队已经有机成长。

他说，人们普遍认为威胁搜寻涉及“使用 SIEM 将数据放入工具中并与工具混合，并使用程序来查找威胁”，而在将威胁搜寻视为不应该使用的“技术堆栈”时，需要“只有您才能访问的秘密数据存储”。 

Lee 补充说：“我们正在寻找互联网上最重大的新威胁，并将我们的角色视为保护整个互联网。我们想寻找并找到坏人，并率先保护客户并通知社区。”

许多威胁搜寻“都是经典工程”，就好像您将流程放在一开始并遵循它们一样，您将以明确的答案走到可预见的结尾，Lee 称这种情况为“圣杯”。在大多数情况下，威胁搜寻涉及浏览危害和可比较数据的指标，而解决方案受攻击者使用不同域，不同 IP 地址和不同数据的影响。 

Lee 还说，如果成功地进行威胁搜寻，可以将其转变为自动化过程。

他说：“我们找到坏人，首先找到他们，然后在互联网上追捕他们。” “我们有强烈的使命感和高度的成功感，因为人们想狩猎并互相鼓励继续前进，这不是工作，而是一种生活方式。”

Lee 还表示，很少有威胁搜寻是“获得 SIEM 并进入黑暗网络”的常识，因为 SIEM 向分析师展示了一种观点，这使得很难提出不同的创新数据问题。

至于暗网，他承认暗网中存在恶意活动，“因为您可以发现坏人在事发之前就在讨论 [事物]，”但是，相对于在暗网中讨论的事物，发生的事情通常意味着“其中很多可能只是噪音，人们正在讨论可能不会发生的事情。”

他说：“拥有技能的人比拥有工具的人更重要”，他们将在正确的文化中壮成长，因为“如果您的文化错误，可以杀死拥有工具的人。”此外，您还需要对要找到的东西有所了解，如果您不知道要寻找什么，就永远找不到。 

Lee 建议根据您希望找到的东西和想要找到的东西制定策略，并决定您将如何使用它以及如何提高组织的目标。另外，使用允许您轻松询问数据问题的工具，并聘请对事物好奇的人“并找到正在发生的事情的根本原因”。

非常感谢您对亚洲注册的支持与信任！

禁止转载