威脅尋找是一項重要的安全活動，旨在主動識別和應對可能存在的威脅，即使在未發生實際攻擊之前也能預先做好準備。我們可以把威脅尋找分為兩個主要階段：

1. 建立假設 (Establishing a hypothesis)

在威脅尋找的第一階段，我們必須建立一個假設，假設我們的防禦措施已經失效。例如，假設有消息指出在各大公司使用的 Windows 作業系統存在漏洞。在這種情況下，我們可以開始進行以下步驟的威脅尋找：

2. 概括威脅行為和行動 (Profiling threat actors and activities)

這一階段的目標是深入瞭解潛在的威脅行為和攻擊者的特徵。以下是威脅尋找的示例步驟：

• 分析網路流量： 尋找具有可疑流量的主機，可能是攻擊者的目標。
• 分析可執行進程列表： 檢查哪些軟體正在運行，以及它們是否正在與其他不尋常的地方建立連線。
• 分析其他受感染的主機： 調查其他出現相同異常行為的主機，以確定是否有相同的可疑軟體正在運行。
• 識別惡意進程的執行方式： 深入研究可疑軟體是如何執行的，以便制定防範措施。

威脅尋找可能需要大量時間和資源，但帶來了很多好處：

1. 提高檢測能力： 威脅尋找有助於發現潛在的威脅，增強安全檢測能力。
2. 整合情報： 透過分析潛在的攻擊活動，可以整合情報並更好地了解攻擊者的模式和方法。
3. 減少被攻擊範圍： 通過發現和解決潛在的弱點，可以減少組織的弱點。
4. 封鎖攻擊： 威脅尋找有助於識別潛在的攻，使組織能夠採取預防措施。
5. 識別關鍵資產： 通過威脅尋找，可以識別組織中的關鍵資產，優先保護這些資產。

威脅尋找是一個動態的過程，有助於組織更好地應對快速變化的威脅環境，並提高整體安全性。