Threat Hunting：面對內部威脅，應採取積極探尋的方式，從被動反應改為主動防禦

為了強化網路安全，過去IT業界提出很多概念來突顯所要著重的層面，像是：主動防禦（Active Defense）相對於傳統的被動防禦（Passive Defense），積極式防禦（Proactive Defense）相對於一貫採用的反應式防禦（Responsive Defense），而在主動防禦策略的發展上，這幾年開始有人提倡網路威脅獵捕（Cyber Threat Hunting），希望發展出一種能夠不斷反覆執行的作法，所針對的主要目標是防守方的內部網路威脅，執行相關的搜尋、辨識，並且提升對於敵對勢力的理解。

關於網路威脅獵捕的定義，目前可追溯到的起源，應該是2013年發表的美國陸軍網路空間作戰白皮書《THE U.S. ARMY LANDCYBER WHITE PAPER 2018-2030》，在網路空間防禦作業的部分，提出相關的描述。

例如，將獵捕視為反偵查的同義詞，而且表明這類作業執行的主要環境，就是在陸軍的內部網路，負責的任務，包括：調動部隊、守護安全、防禦重要的網路空間領域，以及識別、擊退隱藏的網路敵對勢力，尤其是那些通過自動化系統監控而潛入的部分。

接著，美國陸軍繼續強調，網路獵捕、反情報、反偵查都是在內部運作，而且能夠針對已滲透進來、但尚未展露意圖的種種威脅，做到主動搜尋及標定所在位置；此外，網路獵捕團隊本身需擁有進階的技術能力，可提供強化的防禦態勢，而能保護指令任務執行期間的各種網路環境。

關於網路威脅獵捕的另一個參考定義，則是由美國內政部督察長辦公室提出的。他們認為，為了對抗國家級的資安威脅，我們必須承認，傳統的網路防禦機制，諸如防火牆、入侵偵測系統、防毒軟體，越來越難以嚇阻、偵測日益精良的惡意軟體，因此，組織必須假定電腦與網路系統已經遭到滲透，應該要設法找出隱藏的惡意軟體，而這樣的主動、積極的方法，就稱為威脅獵捕，而且，不只是分析網路流量來發現惡意內容，還要能夠剖析電腦的記憶體，以便找出惡意軟體。

不只是分析可疑與惡意行為與工具，同時，要讓攻擊背後指使者現形

在當前，有不少企業或組織單位，為了強化本身的資安防禦與管理能力，而成立了安全維運中心（SOC），而具備這樣的專屬資安團隊之後，下一步該怎麼做？其實，可以考慮採取網路威脅獵捕，因為這會更聚焦在敵對者的明確界定。

一般而言，攻擊者若要造成傷害與破壞，需要下列三個要素配合，那就是：意圖、能力與時機，而網路威脅獵捕人員的工作，就是要在他們所在的企業或組織環境內，從既有的網路與系統當中，找出具備這些條件的敵人，而不只是等著其他單位發布威脅警報或入侵指標（IOC），然後再予以反應；同時，網路威脅獵捕者必須得到單位本身的充分授權，以便收集足以鑑識可疑與惡意行為的資料，並且部署反制措施，達到積極預防的效果，將可能導致的降低減至最低。

因此，網路威脅獵捕在實施的時候，需要特定的分析能力來配合，而且，獵捕的目的主要就夠辨識與反擊內部既有的威脅，因此，負責搜尋這些威脅的人員或團隊，需熟悉企業的整體運作方式，以及業務與IT維運的流程，並且能夠產生相關的攻擊假設、實際執行調查。

基本上，威脅的存在是跟「人」有關，尤其是敵對人士，所以網路威脅獵捕者的搜尋重點是在這個部分，而不只是攻擊者所採用的工具，像是惡意軟體。因為這些主導攻擊發動的人員，在行動上，是更為持續且同樣有應變的彈性，所以能夠經常突破網路防禦而侵入，而這也是相關威脅被視為進階持續威脅（APT）的主要理由，因為難以防禦的部份，並非只是對方的攻擊能力，同樣也牽涉到針對目標能夠發起攻擊，以及維持長期運作的活動能力。