系统网络安全协会近期发布的研究显示，威胁捕捉(Threat Hunting)可帮助机构尽早甄别并消除网络漏洞，它现在已成为企业安全的新的趋势。

这项研究由表明，几乎86%的机构采取了与威胁捕捉有关的措施，而且能够在这一新兴领域发现价值。在调查的494位受访者中，74%表示威胁捕捉帮助他们减少了攻击界面。

调查显示，使用威胁捕捉的的52%受访者表示它帮助他们发现了企业潜藏的威胁。此外，59%受访者表示，使用这种安全技术增加了其响应的精确度和速度。

然而，尽管大量机构正在使用威胁搜索，其中的40%并没有装备正式的程序，而且研究表明，企业对这样的程序究竟应该是什么样仍旧没有概念。目前，受访者依赖于已知的入侵指标 (Indicators of Compromise, IOCs) 、手动分析、将现有工具与定制化功能相整合来完成威胁捕捉。

调查表明，86%的机构相信，异常现象是威胁捕捉最应该关注的指标，而41%的机构认为假设也是指标之一。进一步来讲，51%的受访者表示威胁捕捉也可能由第三方来源触发，比如威胁情报。

目前，传统安全方案已经无法保证企业网络安全，越来越多的企业正采用威胁捕捉途径。调查显示，62%的受访者有计划在接下来的一年里增加对威胁捕捉的资金投入，超过42%的人提交的方案对投入的提升超过25%。

作为新兴领域，威胁捕捉也有弱点。88%的调查受访者承认自家负责进行威胁捕捉的程序需要提升。此外，53%的受访者表示他们的捕捉过程对黑客而言是可见的，还有56%的人表示他们对威胁捕捉所需的时间并不满意。

仅有2.2%的受访者通过正式、公开、来自外部的方法进行威胁捕捉，53%的企业承认自己进行既定的(ad hoc)捕捉。这意味着大多数企业都不具备明确的指标，跟踪总体的成功率，也没有利用文件化的方式进行搜索。

研究显示，在进行威胁捕捉项目时，机构应当通过三个关键指标追踪成功情况：驻留时间、后续操作、重新感染。他们也应当在威胁发生之后尽快更新流程、尽量使用自动化方式进行威胁捕捉、使用人工力量增强这些方式。

系统网络安全协会的调查表明，IP地址、网络设备和模式、DNS活动、主机设备和模式、文件监控、用户行为和统计、网络基线监控是最主要的7种进行威胁捕捉的方式。此外，报告还披露了机构应当使用的最佳搜索方式的细节，讨论了威胁捕捉的目的和优势。

调查采访了不同规模、不同行业的机构：22%拥有1001到5000名员工，20%拥有超过50000名员工，18%拥有 100到1000名员工，17%拥有10001到50000名员工，12%拥有5001到10000名员工和合同工。

DomainTools公司CEO蒂姆·陈 (Tim Chen) 表示：“今年，网络攻击以指数方式增长，毫不令人吃惊的是，企业受到了威胁搜索的吸引。他们认为该方式是在尽早搜索并消除网络威胁方面主动性、多层次的方式。报告结果显示，成功的威胁捕捉并不一定是将现有的网络安全方案推倒重建，而是使用大多数企业已经拥有的第三方数据和技术，让主动式捕捉的成效最大化，在危害产生之前发现并消灭黑客”。