2.3　威胁猎杀成熟度模型

威胁猎杀团队的组成以及专门用于猎杀的时间将取决于组织的规模和需求。当没有针对猎杀团队的预算时，猎杀工作就要安排给其他安全分析师。在这种情况下，分析师通常是SOC或事件响应团队的一部分。

因此，如果团队的资源有限，为了成功实施威胁猎杀计划，我们有必要仔细计划和准备猎杀，并将猎杀流程和经验与正在使用的工具、技能和技术的渊博知识结合起来。David Bianco的威胁猎杀成熟度模型可以帮助我们确定所处的位置，以及要壮大猎杀团队还需要做哪些工作。

确定成熟度模型

所有组织都可以进行威胁猎杀，但为了有效开展猎杀计划，它们必须在必要的基础设施和工具方面进行投资。为了获得良好的投资回报，组织需要处于成熟度模型中较高的等级。如果团队没有提供需要的必要技能、工具和数据，那么威胁猎杀计划的效果将受到限制。

威胁猎杀成熟度模型（见图2.4）定义了五个等级，用于对团队的检测能力进行分类：初始级、极低级、程序级、创新级和领先级。该模型可用于确定组织所处的阶段，以及组织需要采取哪些步骤才能升级，同时可评估已建立的自动化程度、数据收集例程和数据分析程序。

图2.4　威胁猎杀成熟度模型

初始级和极低级都严重依赖自动检测工具，但在初始级，有些网络威胁情报可用于执行猎杀。

可用于威胁猎杀的威胁情报来源有两种类型：内部威胁情报来源和外部威胁情报来源。内部来源可以是历史事件或针对组织基础设施的侦察尝试的记录。外部来源可以是威胁情报团队使用OSINT或付费供应商报告或馈送进行的分析。任何有关组织环境可能受到威胁的信息，如果不是来自组织自身，都被视为外部信息。

程序级、创新级和领先级的等级都由高级的数据收集例程决定，彼此差异取决于团队是否能够创建自己的数据分析程序，以及它们是否能够为这些自动化程序提供反馈，以避免重复相同的猎杀。