Какво е Threat Hunting 2024? [Пълно ръководство]

Последна актуализация на: Ноември 5, 2023 by

Ловът на кибер заплахи е a проактивен метод за интернет сигурност в които ловците на заплахи търсят опасности за сигурността това може да е скрити в мрежата на компанията.

Кибер преследването активно търси предишни неоткрити, неидентифицирани или неотстранени заплахи, които може да са убягнали на автоматизираните защитни механизми на вашата мрежа, за разлика от по-пасивните техники за преследване на киберсигурност като автоматизирани системи за откриване на заплахи.

Какво е лов на заплахи

Какво е лов на заплахи?

Актът на активно търсене кибер заплахи, които се крият незабелязани в мрежата е известно като лов на заплахи. Преследването на кибернетични заплахи претърсва вашата среда за злонамерени участници, които са надминали първоначалните ви мерки за сигурност на крайната точка.

Някои опасности са по-сложни и напреднали, докато повечето не могат да преминат през системите за сигурност. В продължение на седмици нападателите могат да останат незабелязани в системата и файловете, докато бавно напредват през мрежата, за да съберат повече данни.

По време на тази процедура могат да минат седмици или дори месеци. Той може лесно да избегне откриването от инструменти за сигурност и персонал, без активно да ловува.

Лов на заплахи

Защо ловът на заплахи е важен?

Тъй като сложните заплахи могат да избегнат автоматизираната киберсигурност, ловът на заплахи е от решаващо значение.

Все още трябва да сте загрижени за останалите 20% от заплахите, дори ако автоматизирани инструменти за сигурност и ниво 1 и 2 оперативен център за сигурност (SOC) анализаторите трябва да могат да се справят с 80% от тях.

Заплахите в останалите 20% е по-вероятно да бъдат сложни и способни да причинят голяма вреда.

Нападателят може да влезе тайно в мрежа и да остане там с месеци, докато мълчаливо събира информация, търси чувствителни документи или получава идентификационни данни за вход, които ще му позволят да се скита из средата.

Много фирми нямат усъвършенствани умения за откриване, необходими за предотвратяване на напреднали постоянни заплахи от оставане в мрежата, след като противникът е успял да избяга от откриването и нападение е нарушило защитата на организацията.

Следователно ловът на заплахи е ключов елемент от всяка отбранителна стратегия.

Видове лов на заплахи

Официалният уебсайт на IBM обясни трите основни типа лов на заплахи доста подходящо. Според техния блог ловът на заплахи е от следните видове:

1. Структуриран лов

An индикация за атака (IoA) и тактиката, методите и процедурите на нападателя (TTP) служи като основа на систематичен лов.

Всеки лов е планиран и базиран на TTP на заплахите. Поради това ловецът често разпознава заплаха, преди нападателят да има шанс да наруши околната среда. 

2. Неструктуриран лов

Започва се ad hoc преследване въз основа на тригер, един от многото индикатори за компромис (IoC). Този тригер обикновено се използва, за да подтикне ловеца да търси модели преди и след откриване.

До степента, до която запазването на данни и свързаните преди това престъпления позволяват, ловецът може да проведе проучване, за да установи своя план.

3. Задвижвани от ситуация или субект

Ситуационна хипотеза може да бъде създадена чрез вътрешна оценка на риска на организацията или чрез изследване на тенденции и слабости, уникални за нейната ИТ инфраструктура.

Данните за атаки, събрани от широката общественост, които, когато бъдат прегледани, показват най-новите TTP на текущи кибер заплахи, са мястото, където се създават ориентирани към обекти потенциални клиенти. След това ловецът на заплахи може да сканира обкръжението за тези специфични поведения.

Как работи ловът на заплахи?

Човешкият аспект и масивната способност за обработка на данни на софтуерното решение се комбинират за ефективно преследване на кибернетични заплахи.

Ловците на човешки заплахи разчитат на данни от усъвършенствани инструменти за наблюдение и анализ на сигурността, за да им помогнат при проактивното откриване и елиминиране на заплахи.

Тяхната цел е да използват решения и разузнаване/данни, за да намерят противници, които могат да избягат от нормалните защити, като използват стратегии като живот извън земята.

Интуицията, етичното и стратегическото мислене и творческото решаване на проблеми са всички основни компоненти на процеса на лов в киберпространството.

Организациите са в състояние да разрешават заплахите по-бързо и по-точно, като използват тези човешки черти, които „Ловци на киберзаплахи”, за разлика от това просто да разчитате на автоматизирани системи за откриване на заплахи.

Ловци на киберзаплахи

Кои са ловците на киберзаплахи?

Ловците на кибер заплахи добавят човешко отношение към бизнес сигурността, подобрявайки автоматизираните мерки. Те са квалифицирани специалисти по ИТ сигурност, които идентифицират, записват, следят и премахват заплахи, преди да имат шанс да се превърнат в сериозен проблем.

Въпреки че понякога са външни анализатори, в идеалния случай те са анализатори по сигурността, които са запознати с работата на ИТ отдела на компанията.

Ловците на заплахи претърсват информация за сигурността. Те търсят подозрителни модели на поведение, които компютърът може да е пропуснал или да е смятал, че са обработени, но не са, както и скрит зловреден софтуер или нападатели.

Те също така помагат при корекция на системата за сигурност на бизнеса, за да се предотвратят бъдещи случаи на същия вид прониквания.

Какво е лов на заплахи

Предпоставки за лов на заплахи

Ловците на заплахи първо трябва да изградят базова линия от очаквани или одобрени събития, за да могат по-добре да забелязват аномалии, за да бъде ловът на кибер заплахи ефективен.

След това ловците на заплахи могат да преминат през данните за сигурността и информацията, събрана от технологиите за откриване на заплахи, като използват тази базова линия и най-новото разузнаване на заплахи.

Тези технологии могат да включват управлявано откриване и реакция (MDR), инструменти за анализ на сигурността или информация за сигурността и решения за управление на събития (SIEM).

Ловците на заплахи могат да търсят в системите ви потенциални опасности, сенчеста дейност или задействания, които се отклоняват от нормата, след като са въоръжени с данни от различни източници, включително крайни точки, мрежови и облачни данни.

Ловците на заплахи могат да създават хипотези и да провеждат обширни мрежови разследвания, ако бъде открита заплаха или ако известна информация за заплахи сочи нови възможни заплахи.

Ловците на заплахи търсят информация по време на тези разследвания, за да определят дали заплахата е вредна или доброкачествена или дали мрежата е подходящо защитена от нововъзникващи кибер заплахи.

Методологии за лов на заплахи

Ловците на заплахи започват своите разследвания, като приемат, че противниците вече присъстват в системата и търсят странно поведение, което може да посочи наличието на враждебни дейности.

Това начало на разследване често попада в една от трите категории при проактивно търсене на заплахи.

За целите на проактивната защита на системите и информацията на организацията, и трите стратегии включват усилия, задвижвани от хора, които комбинират ресурси за разузнаване на заплахи с най-модерна технология за сигурност.

1. Разследване, основано на хипотези

Нова опасност, която беше открита чрез огромна база данни от данни за атаки от краудсорсинг, често предизвиква разследвания, основани на хипотези, предоставяйки информация за най-новите стратегии, техники и процедури, използвани от нападателите (TTP).

След това ловците на заплахи ще проверят дали уникалните действия на нападателя присъстват в тяхната собствена среда, след като бъде открит нов TTP.

2. Разследване въз основа на идентифицирани индикатори за атака или индикатори за компрометиране

Използвайки тактическо разузнаване на заплахи, този метод за лов на заплахи изброява известни IOC и IOA, свързани с нови заплахи. След това ловците на заплахи могат да ги използват като тригери, за да открият потенциални скрити атаки или текущи вредни дейности.

3. Разширени анализи и разследвания на машинно обучение

Третият метод копае огромно количество данни, използвайки машинно обучение и усъвършенстван анализ на данни, за да търси аномалии, които биха могли да сочат към възможни враждебни дейности.

Тези аномалии се превръщат в следи за лов, които се изследват от опитни анализатори, за да открият скрити опасности.

Лов на заплахи с проксита

Ловците на заплахи могат да намерят изобилие от информация в записите на уеб прокси. Тези проксита функционират като канали между сървъра или устройството, което получава заявки, и устройството, което изпраща заявката.

Общ набор от данни, генерирани от уеб проксита, може да се използва за откриване на необичайно или подозрително поведение.

Например, ловец на заплахи в организация може да анализира информацията за опасност, включена в регистрационните файлове на уеб прокси сървъра, и да открие подозрителна дейност с потребителски агенти като cURL и сайтове на SharePoint.

Те привличат вниманието към проблема и откриват, че исканията са легитимни и произхождат от екипите на DevOps.

За да изследват тези регистрационни файлове и да намерят злонамерени лица сред микса, ловците на заплахи използват различни протоколи и методологии. Уеб прокси сървър регистрационните файлове често предлагат следните подробности:

  • Целеви URL (име на хост)
  • IP адрес на дестинацията
  • Състояние на HTTP
  • Категория на домейна
  • протокол
  • Дестинация Порт
  • User Agent
  • Метод на заявка
  • Действие на устройството
  • Искано име на файл
  • Продължителност

**И още!

Как работи ловът на заплахи с прокси регистрационни файлове?

Нека проучим как регистрационните файлове на уеб прокси помагат на тези ловци, след като разбирате ловенето на заплахи. Анализаторите трябва да използват различни начини за намиране на уязвимости и злонамерени страни, ангажиращи се с мрежата, тъй като регистрационните файлове на уеб прокси съдържат няколко части от данни.

1. Преглед на блокирания трафик:

Важно е да разберете какво е накарало потребителя да получи достъп до конкретен уебсайт, въпреки че може да е бил забранен за потребителите на организацията. Това може да означава, че техният компютър е бил заразен.

2. URL адреси с IP заявки:

Тази филтрация може да открие регистрационни файлове, които заобикалят ограниченията за сигурност на DNS чрез използване на твърдо кодирани IP адреси.

3. URL адреси с файлови разширения:

Този филтър прави видими потенциално опасни URL адреси с файлови разширения като .doc, .pdf и .exe. Нападателите често използват doc или pdf файлове с макро функционалност, за да имплантират зловреден софтуер в машина или мрежа.

4. Известен препращащ URL адрес с необичаен URL адрес:

Идентифицирането на фишинг връзките може да бъде улеснено чрез филтриране на регистрационни файлове, съдържащи популярни препоръчани домейни и отличителни URL адреси.

Разлика между лов на заплахи и разузнаване на заплахи

Разузнаването на заплахи е колекция от данни относно опити или успешни прониквания, които обикновено се събират и изследват от автоматизирани системи за сигурност, използващи машинно обучение и изкуствен интелект.

Тази информация се използва при лов на заплахи, за да се извърши цялостно търсене в цялата система за злонамерени потребители.

С други думи, търсенето на заплахи започва там, където свършва разузнаването на заплахите. Продуктивният лов на заплахи може също да открие опасности, които все още не са виждани в дивата природа.

Индикаторите за заплахи понякога се използват като ориентир или хипотеза при лов на заплахи. Виртуални отпечатъци, оставени от злонамерен софтуер или нападател, странен IP адрес, фишинг имейли или друг необичаен мрежов трафик са примери за индикатори за заплаха.

Бързи връзки:

Заключение: Какво е Threat Hunting 2024? 

Обичайната процедура за откриване на инциденти, реагиране и коригиране е силно допълнена от лов на заплахи. Реалистична и практична стратегия за бизнеса е да се защити срещу непредвидени заплахи.

Независимо от това, наблюдението на прокси регистрационните файлове също така прави възможно идентифицирането на потребители, които може да изтриват уебсайтове. Тези, които просто се опитват да изпълнят законни задачи, срещат проблеми в такава ситуация.

Чрез използването на няколко проксита, особено тези, които помагат да се скрие истинският им IP адрес, потребителите могат да избегнат ловците на заплахи да забележат техните дейности.

Освен това техните регистрационни файлове не вдигат червен флаг за тези ловци, защото няма един IP адрес за всичките им дейности.

За целта ще ви трябват висококачествени проксита, които изглеждат легитимни за софтуера за лов на заплахи. За да отговоря на въпроса ви, софтуерът за лов на заплахи е основно програма, която изпълнява протоколи за лов на заплахи и анализ.

Бързи връзки 

Кашиш Бабър
Този автор е потвърден на BloggersIdeas.com

Кашиш е завършила B.Com, която в момента е последовател на нейната страст да учи и пише за SEO и блогове. С всяка нова актуализация на алгоритъма на Google тя се гмурка в детайлите. Тя винаги е нетърпелива да учи и обича да изследва всеки обрат и обрат на актуализациите на алгоритъма на Google, навлизайки в тънкостите, за да разбере как работят. Нейният ентусиазъм по тези теми може да се види в нейното писане, което прави нейните прозрения едновременно информативни и ангажиращи за всеки, който се интересува от непрекъснато развиващия се пейзаж на оптимизацията на търсачките и изкуството на блоговете.

Разкриване на филиал: При пълна прозрачност – някои от връзките на нашия уебсайт са партньорски връзки, ако ги използвате, за да направите покупка, ние ще спечелим комисионна без допълнителни разходи за вас (никакви!).

Подобни публикации

Оставете коментар