什麼是搜尋威脅？

搜尋威脅是一種安全功能，其結合了主動式方法、創新技術和威脅情報，以找出並遏止惡意活動。

對於已準備好採取更主動的網路安全性方法，也就是試圖在攻擊過度深入之前加以遏止的公司來說，在其安全性計畫中增添搜尋威脅的能力，會是合乎邏輯的下一個步驟。

企業在鞏固端點安全性並確立安全事件應變策略，以緩解現今無法避免的已知惡意軟體攻擊後，便能著手轉守為攻。這些企業已準備好深入探索，找出尚未偵測到的項目，而這正是搜尋威脅的目的所在。

搜尋威脅是一項積極的策略，其運作方式是以「入侵假設」為前提；也就是認為攻擊者已經位於企業的網路內部，並且正秘密地監控網路及在網路中移動這似乎顯得牽強附會，但實際上，攻擊者可能會持續停留在網路內部數天、數週甚或數月，以準備和執行如進階的持續性威脅等攻擊，卻沒有任何自動化防禦機制偵測到其存在。搜尋威脅是透過找出隱密的入侵指標 (IOC) 來遏止這些攻擊，以便在任何攻擊達成目標前，先予以緩解。

搜尋威脅的目標是監控網路上的日常活動與流量，並調查可能的異常狀況，以找出任何尚未發現且可能導致漏洞充分發展的惡意活動。為了達成這種早期偵測的目標，搜尋威脅納入了四項同等重要的元素：

方法。若要成功搜尋威脅，公司必須致力於採取持續進行、與時俱進且全年無休的主動式方法。「等有時間再做」這種被動又臨時的態度，不但會弄巧成拙，更只能獲得微乎其微的成果。

技術。大多數公司已具備全方位端點安全性解決方案，亦已實行自動化偵測。搜尋威脅則可在上述作業之外進一步發揮作用，並增添多種進階技術，以找出異常情況、異常模式，以及其他不應存在於系統與檔案中的攻擊者蹤跡。運用大數據分析的全新雲原生端點保護平台(EPP) 可擷取和分析大量未篩選的端點資料，而行為分析和人工智慧則能提供廣泛且迅速的能見度，以掌握找出最初看似正常的惡意行為。

高技能的專屬人員。威脅搜尋人員或網路安全威脅分析師都是自成一格的人員。這些專家不但知道如何使用上述安全性技術，更同時擁有努力不懈的抱負，願意主動出擊，利用直覺式的問題解決鑑識能力，找出與減輕隱藏的威脅。

威脅情報。若能取得全球專家所提供的實證式全球情報，就可進一步強化並加快搜尋現有入侵指標的作業。搜尋人員可利用相關資訊以獲得協助，例如惡意軟體的攻擊類型、威脅群組識別，以及可協助人員鎖定惡意入侵指標的進階威脅指標等。

根據 Crowd Research Partners 公司的 2018 年搜尋威脅報告研究，證實了這類搜尋威脅功能的重要性。在請受訪者對最重要的功能進行排名時，該問卷調查發現：

69% 選擇威脅情報

57% 選擇行為分析

56% 選擇自動偵測

54% 選擇機器學習與自動化分析

威脅搜尋人員會尋找透過公司可能根本不知道存在的弱點，以躲避雷達偵測的攻擊者。這些攻擊者會花費相當多的時間來規劃和執行偵察行動，並且只有在知道自己能在不遭到注意下成功入侵網路時，才會採取行動。他們也會植入和建置尚未受到識別的惡意軟體，或是使用完全不仰賴惡意軟體的技術，為自己建立屹立不搖的基礎，以從該處發起攻擊。

那麼，我們需要怎麼做才能智取最聰明的攻擊者？

網路威脅搜尋人員努力不懈，並且能夠找到網路攻擊者所遺留的最微弱蹤跡。

搜尋威脅人員會利用經過充分調整的技能，以鎖定因攻擊者在系統或檔案內移動而產生的輕微變化。

最優秀的威脅搜尋人員會仰賴自己的直覺，以找出最惡劣攻擊者的隱匿舉動。