網路安全情勢已大幅改變，攻擊者開發出越來越複雜的方法，可滲透網路並長時間保持隱匿狀態。傳統安全工具仍相當重要。不過，這些工具是根據已知模式和特徵碼運作，因此會留下漏洞，讓進階持續性威脅有機可乘。這些攻擊者會使用專門設計的技術，規避自動偵測系統，在您的網路中建立立足點，並在暗中運作，同時繪製基礎架構地圖、竊取資料，或為未來的攻擊做好準備。

未偵測到的安全漏洞可能會對財務和營運造成毀滅性影響。根據 Mandiant 的《M-Trends 2025》報告，2024 年攻擊者在全球的潛伏時間中位數為 11 天，部分進階持續性威脅則維持存取權數月。事實上，超過 7% 的入侵事件在一年後才被發現。威脅搜索能主動尋找自動化系統遺漏的入侵指標，填補這個重大缺口。

實施威脅搜索計畫的組織表示，資安防護機制大幅提升。安全團隊主動搜尋威脅，而非等待警告，就能在攻擊者達成目標前找出並消除威脅。這種主動做法還能找出現有安全控管機制的弱點，提供寶貴的洞察資訊，協助您強化整體防禦策略，防範未來的攻擊。

威脅搜索是假設導向的調查程序，由經驗豐富的資安分析師主動尋找自動化系統未偵測到的惡意活動跡象。安全團隊會根據威脅情報、系統行為的異常模式或新興攻擊技術，提出潛在威脅的理論。接著，他們會使用進階分析工具和手動分析，系統性地驗證這些假設。這種做法與傳統資安營運模式截然不同，後者是根據資安工具產生的警告採取行動。威脅搜索人員會假設攻擊者已入侵系統，並努力找出對方的活動。

這個過程需要全面收集及分析整個基礎架構的資料。威脅搜索人員會檢查記錄檔、網路流量、端點資料和使用者行為，找出可能代表入侵的異常狀況。他們運用資安自動化技術有效率地處理大量資料，同時結合人類的直覺和專業知識，辨識機器可能忽略的細微模式。目標不僅是找出威脅，威脅搜索的核心目標是瞭解攻擊者的方法、提升偵測能力，並透過持續學習和調整，強化組織的整體安全防護機制。

威脅搜索方法提供結構化的做法，可找出隱藏的威脅，每種方法都會結合不同的威脅情報資源、分析技術和調查策略。資安團隊通常會根據具體目標、可用資料和調查的威脅性質，採用多種方法。這些系統化程序可大幅提高發現複雜威脅的機率，同時減少在錯誤線索上浪費的時間。

• 假設導向的威脅搜索是根據威脅情報、產業趨勢或觀察到的攻擊模式，對潛在威脅做出有根據的假設。搜索人員會針對攻擊者可能入侵環境的方式提出具體假設，然後搜尋證據來驗證或推翻這些假設。
• 情報導向搜索會運用入侵指標 (IOC) 和威脅情報動態消息，在環境中搜尋已知的惡意構件。這種做法著重於比對特定威脅特徵碼、IP 位址或行為模式，這些特徵碼、IP 位址或行為模式與已記錄的攻擊有關。
• 機器學習式搜索結合組織專屬知識與機器學習演算法，找出環境中獨有的異常狀況。自訂模型會學習正常行為模式，並標記可能表示遭入侵的異常情況，即使這些威脅與已知特徵不符也一樣。

有效的威脅搜索需要結合資料收集、分析和應變功能的精密工具組，協助資安團隊找出並調查潛在威脅。這些工具相輔相成，可全面掌握基礎架構的狀況，讓資安人員有效處理大量安全資料。機構通常會部署多種互補工具，支援威脅搜索程序的各個層面。

• 安全資訊與事件管理 (SIEM) 平台會匯總並關聯整個環境的安全資料，提供集中式檢視畫面和進階數據分析功能。SIEM 系統可讓威脅搜索人員搜尋歷來資料、找出不同來源的模式，並根據複雜的關聯規則生成警告。
• 端點偵測與應變 (EDR) 解決方案可深入掌握端點安全活動，擷取程序、網路連線和檔案系統變更的詳細遙測資料。這些工具可協助獵捕人員調查可疑的端點行為，並追蹤攻擊者在網路中的橫向移動。
• 代管防禦服務可結合外部專業知識和全天候監控機制，強化內部威脅搜索能力。這些服務可讓您與經驗豐富的威脅搜索人員合作，他們會運用專業知識和進階搜索技術，協助您執行資安營運。
• 安全性分析與相關作業平台運用大數據技術和機器學習，處理及分析大量資安資料。這些工具可協助威脅搜索人員找出細微的異常狀況和模式，這些狀況和模式可能代表有複雜的攻擊行為。

威脅搜索可與更廣泛的網路安全策略完美整合，與自動偵測系統和事件應變程序相輔相成，打造縱深防禦機制。SIEM 平台和其他資安工具會根據已知模式生成警告，而威脅搜索則主動尋找不會觸發這些自動化系統的威脅，填補了關鍵缺口。這項做法可與現有的資安營運機制並行，為您提供額外防護，抵禦專門設計規避偵測技術的進階攻擊者。

這項做法自然融入資安營運工作流程，彌合預防與應變之間的落差。威脅搜索人員與資安調查團隊合作，提供警告背景資訊、驗證可疑活動，並找出可能未被注意到的相關威脅。與 SOAR 平台整合後，威脅搜索結果可觸發自動應變工作流程，加速防堵及修復威脅，同時確保日後能以一致的方式處理類似威脅。這項整合功能可將威脅搜索從單一活動轉變為倍增器，強化資安營運的各個層面。

如要評估威脅搜索計畫的成效，必須追蹤作業指標 (顯示搜索活動) 和結果指標 (顯示為貴機構帶來的實際價值)。成功的計畫會監控多項指標，例如建立的新偵測規則數量、發現的未知威脅，以及偵測平均時間的改善情形。這些指標可協助您瞭解搜索行動是否找出真正的威脅，以及是否隨著時間推移強化資安防禦機制。

除了計算事件和警告數量，有意義的威脅搜索指標還會著重於發現的品質和相關性。追蹤高優先順序安全漏洞的數量 (已找出並修復)、獵捕者發現的安全防護缺口，以及偵測規則改善後誤報率的降幅。此外，您也應評估搜索活動對威脅情報開發的貢獻，包括記錄新的入侵指標，以及找出貴機構先前未知的攻擊模式。

最有價值的指標是威脅搜索如何降低風險，以及提升安全防護機制。監控攻擊者潛伏時間的縮短幅度、透過搜索偵測到的事件百分比 (相較於自動警告)，以及根據搜索結果實作的安全性控管改善措施數量。這些指標可證明持續投資威脅搜索能力的必要性，並指出哪些搜索方法和重點領域能帶來最大效益，進而引導計畫最佳化。

如要打造有效的威脅搜索團隊，必須集結具備多元技術和分析能力的專業人員，共同找出複雜的威脅。成功的威脅搜索者必須具備網路通訊協定、作業系統和攻擊技術的深厚技術知識，以及出色的分析思維和模式識別能力。他們必須瞭解正當系統活動與惡意行為的差異，並具備好奇心，調查他人可能忽略的異常狀況。

必須具備資料分析、指令碼語言和安全工具等技術專業知識。因此，威脅搜索人員必須熟悉網路攻擊方法、威脅發動者策略，並能根據多個系統中的零碎證據，重構攻擊鏈。除了技術能力，優秀的威脅搜索人員還必須具備以下特質：追蹤複雜調查線索的毅力、開發新偵測方法的創造力，以及向技術人員和主管傳達調查結果的溝通能力。Mandiant 威脅搜索服務就是這些能力的最佳體現，結合了經驗豐富的專業人員，他們將第一線事件應變經驗與先進的搜索技術相結合，幫助組織發現並消除隱藏的威脅。

Google Cloud Security 結合尖端技術與頂尖資安專業知識，透過 Mandiant Threat Defense 協助機構導入世界級的威脅搜索功能。我們的威脅搜索團隊會運用從全球第一線事件應變行動收集的獨家威脅情報，深入分析最新的攻擊者技術，以及鎖定貴產業的新興威脅。Google Cloud Security 提供全天候主動搜索服務，可協助您更快偵測及應對複雜威脅，並透過知識轉移和協同調查，提升內部安全防護能力。