译者序

情报能够用来及时预测变化，从而促进组织采取行动。基于这种集远见性和洞察力于一体的情报，我们能够发现即将发生的变化：机会或威胁。在人类历史上，情报和战争一样古老。在各式各样的间谍故事中，主角的最终目的都是获取情报。有了情报就有了走夜路的灯笼，有了牵着对手鼻子走的法宝。1939年，毛泽东在一次讲话中谈起长征时感慨：“没有二局，长征是很难想象的。有了二局，我们就像打着灯笼走夜路。”据公开报道，正是二局通过破译敌人密电码掌握了敌人的核心机密，才为长征胜利奠定了坚实的基础。破译密电码的过程就是获得敌方的威胁情报的过程。

在日益复杂、严峻的网络空间中，包括数据在内的各类资产面临的威胁从概率事件向必然事件转变，如何尽早感知、发现威胁并掌握威胁态势，及时介入干预，成了当前安全的重要方向，而网络威胁情报正是在这一方向有效前行的基石。本书作者将网络威胁情报当作一门网络安全学科，并将其视为计算机和网络安全的一种主动防御措施，也就是说使用威胁情报进行猎杀是一种主动行为。对组织而言，有了威胁情报就有了将威胁拒之门外的决策知识；对安全企业而言，有了威胁情报就有了提升其威胁预警发现能力的关键资产。

与基于威胁情报的安全态势感知预警不同，威胁猎杀则聚焦于假定对手已攻陷目标网络，在其对业务造成重大危害之前，应尽早将其控制、捕获、清除等。它是关于主动测试并强化组织防御能力的防护行动，这也是当前安全防护重点从传统边界防护向感知发现转变的一个典型表现。威胁猎杀始于威胁情报，威胁情报为猎杀提供知识支持。SANS最早将威胁猎杀定义为“一种集中和迭代的方法，用于搜索、识别和了解防御者网络内部的对手”。可以看出，威胁猎杀是为了在组织环境中不断寻找危害的迹象，是一种迭代过程，因为它从其他安全活动中获取信息，也为其他安全活动提供信息。

威胁情报与威胁猎杀的目标本质上是一致的，都是强化防御。威胁情报能够提供感知预警，以便相关人员尽早采取行动；威胁猎杀则能够发现入侵，以便将其损害降至最低。猎杀过程涉及信息分析，而能否找到可能已经绕过部署就位的自动检测过程的入侵迹象取决于威胁猎人。总而言之，威胁情报让组织远离威胁，威胁猎杀的目标是缩短威胁的驻留时间。打个比喻，如果坐标轴原点表示威胁侵入的时刻，那么左半轴意味着事件之前，右半轴意味着事件之后，威胁力图从左半轴向右移动，威胁情报有助于将威胁抑制在左半轴，威胁猎杀则旨在控制威胁突破原点后向右移动的距离，即抑制驻留时间。

作者结合自己多年的威胁情报分析和威胁猎杀实践经验，通过ATT&CK框架和其他开源工具，对威胁情报搜集利用和猎杀过程进行了详细的介绍，并辅以实战讲解，可以让读者快速理解概念、技术原理，提升动手实践能力。值得一提的是，本书中文版是国内第一本详细讲解ATT&CK框架的专业性书籍（截至本书翻译时）。读者可以借助本书在ATT&CK知识库支撑下顺畅地完成基于ATT&CK的威胁模拟、对手映射、对手仿真及相应的查询、猎杀过程。相信本书将引领你在威胁猎杀领域前行。

参与本书翻译的除封面署名译者姚领田、孔增强、曾宪伟、刘璐以外，还有赵宏伟、贺丹、王旭峰、蒋蓓。感谢机械工业出版社华章分社的刘锋编辑在本书翻译过程中提供的支持。译者研究领域涉及威胁情报、威胁建模、网络靶场技术及应用、武器系统网络安全试验与评估等，欢迎读者就本书中涉及的具体问题及上述领域内容与译者积极交流，联系邮箱fogsec@qq.com。

姚领田

2021年10月