2.5　构建假设

本章提到威胁猎杀的主要特点之一是它是一项由人驱动的活动，而且不能完全自动化。这一过程的核心是生成猎杀假设，该假设指的是与威胁猎人预感一致的对组织环境的威胁，以及如何检测这些威胁。假设部分基于观察（在其中我们注意到与基线的偏差），部分基于信息（这些信息可能来自经验，也可能来自其他来源）。

精心设计这一假设对于产生良好的猎杀效果至关重要。定义不清的假设会导致错误的结果或结论。这很可能会对组织产生负面影响，因为防御和可见性的差距将被遗漏，从而为对手提供了安全通道。缺乏足够的可见性是组织最大的敌人，因为这会让人产生一种错误的安全感，导致错误的假设，认为入侵没有发生。

定义明确的假设必须是简明而具体的。它必须是可以测试的，不需要假设有无限的时间和资源。猎人无法测试的假设是没有用的，所以必须要考虑到猎人所掌握的工具和所需的数据。假设不能太宽泛，也不能太具体，但必须明确要从哪里收集数据，要搜索什么样的数据。

Robert M.Lee和David Bianco写了一篇论文“Generating Hypotheses for Successful Threat Hunting”，内容是为成功的威胁猎杀生成假设（https://www.sans.org/reading-room/whitepapers/threats/paper/37172）。在论文中，他们给出了三种主要类型的假设：

●基于威胁情报：这种类型的假设考虑了良好的IOC，也就是说，适当地结合了危害指标、威胁情况和地缘政治背景。这类假设的主要危险是过于关注IOC，所以最终会产生低质量的匹配结果。最好关注威胁行为体的TTP，而不是包含数百个指标的馈送源。

●基于态势感知：这种类型的假设依赖于我们确定组织内最重要的资产的过程，这也被称为皇冠宝石分析。猎人试图弄清楚对手可能在组织环境中寻找什么，包括其目标。从这个角度来看，威胁猎人必须思考要寻找的数据需求和活动的类型。重要的是要记住，并不是所有的事情都应该局限于网络领域。在设计态势感知假设时，还应该考虑人员、流程和业务需求。

●基于领域专业知识：这类假设依赖威胁猎人的专业知识。猎人产生的假设取决于他们自己的背景和经历。猎人过去进行的猎杀也将影响所做的假设。在这里，文档流程对于记录已学到的经验教训并与团队中其他成员分享这些经验教训尤为重要。有经验的猎人必须非常清楚地意识到认知偏见。尽量避免不良的分析习惯，并采用预防偏见的方法。

最好且成功的假设是那些结合了这三种知识的假设。