写在开头的话，按照事物发展的规律，说（写）比做是要容易很多的，动嘴比动手简单多了。因此整个社会的发展驱动始终是依靠那些不断探索试错的人们，安全领域也是如此，我理解到的是大多数人可以写下很多的方法与思路和文章，但是实质能够真正落地与应用的太少了，而且即使能成功应用，最终的效果可能并不一定能及时反馈，所以那些能够真正提高安全能力带来价值的实践之路都是值得尊敬与学习的。

确保网络安全是现代社会中的重要问题，因此安全技术运营的目的是为了更好地解决各种安全问题和风险。在这方面，我们需要不断思考、整理和总结最优的实践方法，以确保网络安全得到最有效的保护。同时，我们也需要不断更新和提升技术手段，以适应不断变化的安全威胁和风险。借用备考CISSP时提及的道德规范内容“推动行业发展、维护职业声誉”觉得很符合，因此个人也得跟上行业的发展。

凡事预则立，不预则废。在这个过程中，我们需要有一个流程以及相关的方法论，这样才能更好地指导工作，达成效果。首先需要围绕威胁出发，书里提及定位在“发现威胁”、“分析威胁”与“定位威胁”这些方面，当把这些流程走完后，我们就有概率获取到目前流行的威胁情报信息并共享来实现价值最大化，从这里可以回答威胁情报从哪来？可以从威胁中来。

书里提及了大数据和机器学习在安全运营上的应用是一个比较好的威胁狩猎思路，但自身对这块确实感触不深，受限于资产支配，也和之前从未接触过有关（无知者总无畏吧）。阅读到这里也是发现有新思路可以应用，我觉得挺有启发的，虽然总是听周围人说AI解决不了网络安全问题，国外几十年前就研究并投入应用了，但是目前还没有主推AI来解决网络安全问题等观点。通过最近的观察发现，AI是可以解决部分或者小部分的网络安全问题的，前提是不可能依靠一个模型解决所有的问题，总归是要回到针对性应用与解决，当把这些想通后就很自然地接触这类的案例以及应用，凡事都不要有先入为主的观念。

查询了一些互联网资料，目前大数据和机器学习在安全运营上的应用越来越广泛。以下是一些例子：

1. 威胁检测：大数据和机器学习技术可以帮助安全运营团队检测威胁，通过分析大量的网络流量、日志和事件数据，自动发现异常行为，包括恶意软件和网络攻击。

2. 异常检测：大数据和机器学习技术可以帮助识别异常行为，包括未经授权的数据访问、恶意活动和内部欺诈等。通过对大量数据进行分析，可以建立基线模型，并利用机器学习算法自动检测与基线不符的行为。

3. 风险评估：大数据和机器学习技术可以帮助安全运营团队评估风险，包括基于数据分析来确定潜在的安全风险，同时还可以预测可能的攻击目标和攻击方式。

4. 威胁情报：大数据和机器学习技术可以帮助安全运营团队获取更准确的威胁情报。通过分析大量的公开数据和内部数据，可以自动发现潜在的威胁，包括攻击者的IP地址、恶意软件的特征等。

总之，大数据和机器学习技术在安全运营中的应用可以帮助安全运营团队更好地了解网络威胁，并提高对安全事件的响应速度和准确度。这些应用的效果好坏最终还得依靠持续不断的反馈与迭代才行，毕竟都躲不过去的情况是AI的误报问题，如何在误报问题上得到合理的收敛也是非常重要的挑战。

新手或者说是刚开始工作的自己一开始进入手工作坊式的工作思路就会如书里提及的进入安全技术运营的第一个阶段“样本运营阶段”，在这个过程中传统的病毒分析师主要是提取特征（字符串或代码片段）入库进行查杀或清除以及开发相关的专杀与修复工具等。回到自身来看，虽然现在单纯提特征入库查杀的场景太少太少了，但是在针对APT组织的事件挖掘与情报追踪方向（组织数量相对有限），实质也是进入了第一个阶段“恶意文件的特征码匹配阶段”。在这个过程中，不管是外部或内部收集的恶意文件经过挖掘或捕获进而发现了相关组织的恶意文件，这些恶意文件进一步会提供给更多的恶意信息，信息经过分析得到情报，例如回连的域名或IP或者是新变种木马的特征，该过程主要依赖于专家经验，人工参与度很高，但前期确实能获得不少效果，从0到1的过程中感知度体现很明显。

如果一直依赖专家经验驱动，长期下来效果会下降。因为面临过这种困难，此时一定要转变自己的思路，因此要考虑到从海量数据中挖掘威胁，但“在海量的样本中寻找恶意程序是困难的。相对来说，程序的行为要少得多。目前，每天有上百万的恶意样本出现，而涉及的恶意行为只有上千种。不同的病毒可能使用相同的技术产生类似的行为，是行为模式识别技术的理论基础。”此时需要第二个阶段，我们不再关注特定的已知家族恶意文件，而是关注于特别的异常行为分析与挖掘，在这个过程中如果运气好是很有可能发现威胁的。总体来说行为模式确实是很有进步的思路，最早提出启发式查杀的思路的前辈也是值得尊敬的。继续利用专家经验可以输出很多恶意行为规则，这些规则是可以来进行文件鉴定的（最初级的就是黑白文件），目前端点安全中的行为遥测也是非常重要的一环，对于发现威胁也是能提供很大的助力，但仍然要解决的是真正的威胁淹没在庞大的噪声日志中的困境，如果能把这个问题解决也是一个巨大的进步。

第三个阶段是大数据分析阶段，这个得依靠大量的样本，大量的沙箱行为日志，以及可疑程序遥测行为的数据，大数据分析另一个重要的优点是突破了安全运营对于单个样本、单个事件的分析，能够对威胁的家族，甚至是整个社团进行洞察分析。这块是目前感觉是需要内外部支持才能进行实践的思路，成本是很高的，但是确实能够从数据中发现新结论，让数据来预测和“说话”，这种方法其实是更为抽象的检测思路，实质在APT挖掘中也可以利用起来，目前做的比较好的是国外安全公司CrowdStrike，发现了大量的针对性攻击活动事件，当然最初的来源是基于自身的安全威胁发现思路的应用。

书里提及了一些常见应用，例如“基于专家系统的模式匹配、实时流感知，基于样本微特征的机器学习，基于行为遥测数据的机器学习，基于图挖掘的威胁聚类，基于ATT&CK战术模型的威胁检测等技术”，这些其实都需要好好的逐一进行查询与阅读材料，因为都是未曾接触的过的领域，都是前辈们的经验，得看看是如何在业界进行实践落地的，能不能利用起来？

整体来说，改变自己的思路与眼界，多接触一些业界最新的检测与应用方法以及思路是好事，AI虽然现在很火热，但是冷静下来后还是得想到如何利用AI来给安全赋能，这个过程肯定是不简单的，充满了挑战。

下一篇写安全技术运营中经常遇到的恶意文件的方方面面