DOMAINTOOLS：2020年度威胁狩猎报告

越来越多的组织将威胁狩猎作为安全运营的一部分，主动地狩猎威胁可以降低威胁的风险和影响，提高抵御新威胁的能力。

威胁狩猎目标

超过一半（51%）的组织应用威胁狩猎主要为了减少内部威胁的暴露，其次45%的组织是为了减少恶意感染与数据泄露事件发生的次数，而43%的组织为了减少攻击面。

关键安全挑战

调查显示，网络安全从业人员认为安全运营中面临最要紧的问题是要及时检测高级威胁（55%），其次是对专业人员的缺乏（52%）。另外有 37% 的人表示对现有自动化威胁狩猎工具缺乏信心，36% 的人表示现在有太多精力浪费在了误报上。

带来的好处

威胁狩猎平台为安全分析人员提供了能够更早检测威胁、缩短处置时间、改进未来攻击防御的强大工具。68% 的组织认为威胁狩猎提高了对高级威胁的检测，55% 的组织认为减少了分析调查的时间。同样有 55% 的组织认为节省了手动关联事件的时间。

对待态度

尽管威胁狩猎仍然是新兴的门类，但绝多数组织（88%）都强烈同意“威胁狩猎应该是顶级安全方案”。

威胁管理成熟度

安全运营中心（SOC）应该具有快速应变的能力，但只有 12% 的组织声称拥有成熟的尖端 SOC 来应对新出现的威胁。

专业人员技能

根据组织的反馈，防范安全威胁对数据分析和推理分析的能力要求很高。例如模式识别（76%）、数据分析（70%）和演绎推理（67%）是在雇佣时优先被考虑的。

投入预算

相比往年，为威胁狩猎投入预算的模式没有太大变化。36% 的组织将会增加威胁狩猎上的支出，而 53% 的企业会维持预算的稳定投入。

协同增效

更多的教育培训（45%）、更好的端点检测和响应（43%）、更好的网络检测和响应（43%）、更好的SIEM（40%）都可以大幅度地提升威胁检测的能力。

威胁频率

每年都只有极少部分组织能够找到降低组织面临威胁的方法，今年是 5%。

常见攻击

最常见的攻击仍然是恶意软件（76%），其次是钓鱼（71%）与网络入侵（46%）。值得注意的是勒索软件（41%）也在快速攀升，另外供应链安全（2%）虽然比例不高，但是危害很大。

攻击者洞察

有 68% 的组织至少会偶尔深入了解对手的攻击基础设施，70% 的组织发现了 IoC 会立即进行响应与处置。

数据来源

防火墙日志不再是数据的首要来源，数据来源被端点活动、系统日志所取代。

最有价值的数据来源

被认为是最有价值的数据来源是活动日志（31%）、威胁情报源（24%）和网络数据（21%），其次是端点数据（18%）。

侦察活动

侦察活动中仍然是端口扫描占大头，对活动目录和主机的探测也越来越多。

活动目录

威胁狩猎中最关注的活动目录事件是：尝试重置管理员和敏感帐户密码（67%）、登录失败（61%）和域策略更改（48%）。

威胁狩猎技术

EDR 位列榜首，其次是 SIEM（56%）。

从业人员

2021 年 2 月对网络安全专业人员进行的全面的在线调查。