威胁追踪是一种安全功能，此功能将主动方法、创新技术和威胁情报相结合，来发现和阻止恶意活动。

对于准备采取更主动的方法（一种试图在攻击变得深入之前阻止攻击的方法）来应对网络安全问题的公司来说，向其安全程序中增加威胁追踪功能是后续可采取的合理步骤。

在加强端点安全性和突发事件响应战略，以缓解当今不可避免的已知恶意软件攻击后，企业可以开始进行反击。企业已准备好深入挖掘并发现尚未检测到的问题，而这正是威胁追踪的用武之地。

威胁追踪是一种激进的策略，发挥作用的前提是“假设发生泄露”，攻击者已经进入企业网络内部，并在整个网络中进行秘密监控和移动。这种情况听起来像是无稽之谈，但实际上，攻击者可能已经在网络内部待了数天、数周甚至数月，正在准备和执行高级持续性威胁等攻击，而没有任何自动防御机制检测到他们的存在。威胁追踪通过找出隐蔽的入侵指标 (IOC) 来阻止这些攻击，从而在攻击得逞前消除其影响。

威胁追踪的目标是监控网络中的日常活动和流量，并调查可能的异常情况，以发现可能会导致全面泄露的任何尚未发现的恶意活动。为了实现这一级别的早期检测，威胁追踪融入了四个同等重要的组件：

方法。要成功实现威胁追踪，公司必须致力于采用一种持续且不断发展的主动式全天候方法。被动、临时、“有时间的情况下”这样的观念只会事与愿违，并且收效甚微。

技术。大多数公司已经实施了采用自动化检测方法的全面端点安全解决方案。威胁追踪是在这些之外增加的工作，并且还增加了先进的技术来发现不应存在于系统和文件中的异常、非正常模式和其他攻击者痕迹。利用大数据分析的全新云原生端点保护平台 (EPP) 可以捕获和分析大量未经筛选的端点数据，而行为分析和人工智能可以对看似正常的恶意行为实现广泛而又高速的发现。

技能娴熟的专职人员。威胁追踪者或网络安全威胁分析师是这方面的专家。这些专家不仅知道如何使用所提到的安全技术，而且还极度渴望利用直观的问题解决取证功能来进行反击，以发现和消除隐藏的威胁。

威胁情报。通过从世界各地的专家获得有据可循的全球情报，进一步增强并加快对已经存在的 IOC 的追踪。追踪者可以从多种信息得到协助，例如恶意软件的攻击分类、威胁群体识别以及高级威胁指标，利用这些信息，可以帮助专注于处理恶意 IOC。

来自 Crowd Research Partners 的“2018 年威胁追踪报告”的研究证实了这些威胁追踪功能的重要性。当要求对最重要的功能进行排名时，调查发现：

69% 的人选择了威胁情报

57% 的人选择了行为分析

56% 的人选择了自动检测

54% 的人选择了机器学习和自动分析

威胁追踪者的职责是发现通过公司甚至可能不知道存在的漏洞偷偷溜进来的攻击者。这些攻击者花费大量时间进行规划和侦察，只有在他们知道自己可以悄无声息地成功渗透到网络中时，才会采取行动。他们还会植入和构建尚未被识别出来的恶意软件，或者使用根本不依赖恶意软件的技术来为自己建立可以开展攻击的持久根据地。

那么，如何才能战胜即使最聪明的攻击者呢？

网络威胁追踪者会竭尽全力工作，甚至能够找到网络攻击者留下的最细微痕迹。

当攻击者游走于系统或文件中时，威胁追踪者将利用自己高度娴熟的技能来发现所发生的细微变化。

最出色的威胁追踪者能依赖自己的直觉嗅探出最邪恶攻击者的隐秘行动。