Ловът на кибер заплахи е a проактивен метод за интернет сигурност в които ловците на заплахи търсят опасности за сигурността това може да е скрити в мрежата на компанията.
Кибер преследването активно търси предишни неоткрити, неидентифицирани или неотстранени заплахи, които може да са убягнали на автоматизираните защитни механизми на вашата мрежа, за разлика от по-пасивните техники за преследване на киберсигурност като автоматизирани системи за откриване на заплахи.
Какво е лов на заплахи?
Актът на активно търсене кибер заплахи, които се крият незабелязани в мрежата е известно като лов на заплахи. Преследването на кибернетични заплахи претърсва вашата среда за злонамерени участници, които са надминали първоначалните ви мерки за сигурност на крайната точка.
Някои опасности са по-сложни и напреднали, докато повечето не могат да преминат през системите за сигурност. В продължение на седмици нападателите могат да останат незабелязани в системата и файловете, докато бавно напредват през мрежата, за да съберат повече данни.
По време на тази процедура могат да минат седмици или дори месеци. Той може лесно да избегне откриването от инструменти за сигурност и персонал, без активно да ловува.
Защо ловът на заплахи е важен?
Тъй като сложните заплахи могат да избегнат автоматизираната киберсигурност, ловът на заплахи е от решаващо значение.
Все още трябва да сте загрижени за останалите 20% от заплахите, дори ако автоматизирани инструменти за сигурност и ниво 1 и 2 оперативен център за сигурност (SOC) анализаторите трябва да могат да се справят с 80% от тях.
Заплахите в останалите 20% е по-вероятно да бъдат сложни и способни да причинят голяма вреда.
Нападателят може да влезе тайно в мрежа и да остане там с месеци, докато мълчаливо събира информация, търси чувствителни документи или получава идентификационни данни за вход, които ще му позволят да се скита из средата.
Много фирми нямат усъвършенствани умения за откриване, необходими за предотвратяване на напреднали постоянни заплахи от оставане в мрежата, след като противникът е успял да избяга от откриването и нападение е нарушило защитата на организацията.
Следователно ловът на заплахи е ключов елемент от всяка отбранителна стратегия.
Как работи ловът на заплахи?
Човешкият аспект и масивната способност за обработка на данни на софтуерното решение се комбинират за ефективно преследване на кибернетични заплахи.
Ловците на човешки заплахи разчитат на данни от усъвършенствани инструменти за наблюдение и анализ на сигурността, за да им помогнат при проактивното откриване и елиминиране на заплахи.
Тяхната цел е да използват решения и разузнаване/данни, за да намерят противници, които могат да избягат от нормалните защити, като използват стратегии като живот извън земята.
Интуицията, етичното и стратегическото мислене и творческото решаване на проблеми са всички основни компоненти на процеса на лов в киберпространството.
Организациите са в състояние да разрешават заплахите по-бързо и по-точно, като използват тези човешки черти, които „Ловци на киберзаплахи”, за разлика от това просто да разчитате на автоматизирани системи за откриване на заплахи.
Кои са ловците на киберзаплахи?
Ловците на кибер заплахи добавят човешко отношение към бизнес сигурността, подобрявайки автоматизираните мерки. Те са квалифицирани специалисти по ИТ сигурност, които идентифицират, записват, следят и премахват заплахи, преди да имат шанс да се превърнат в сериозен проблем.
Въпреки че понякога са външни анализатори, в идеалния случай те са анализатори по сигурността, които са запознати с работата на ИТ отдела на компанията.
Ловците на заплахи претърсват информация за сигурността. Те търсят подозрителни модели на поведение, които компютърът може да е пропуснал или да е смятал, че са обработени, но не са, както и скрит зловреден софтуер или нападатели.
Те също така помагат при корекция на системата за сигурност на бизнеса, за да се предотвратят бъдещи случаи на същия вид прониквания.
Предпоставки за лов на заплахи
Ловците на заплахи първо трябва да изградят базова линия от очаквани или одобрени събития, за да могат по-добре да забелязват аномалии, за да бъде ловът на кибер заплахи ефективен.
След това ловците на заплахи могат да преминат през данните за сигурността и информацията, събрана от технологиите за откриване на заплахи, като използват тази базова линия и най-новото разузнаване на заплахи.
Тези технологии могат да включват управлявано откриване и реакция (MDR), инструменти за анализ на сигурността или информация за сигурността и решения за управление на събития (SIEM).
Ловците на заплахи могат да търсят в системите ви потенциални опасности, сенчеста дейност или задействания, които се отклоняват от нормата, след като са въоръжени с данни от различни източници, включително крайни точки, мрежови и облачни данни.
Ловците на заплахи могат да създават хипотези и да провеждат обширни мрежови разследвания, ако бъде открита заплаха или ако известна информация за заплахи сочи нови възможни заплахи.
Ловците на заплахи търсят информация по време на тези разследвания, за да определят дали заплахата е вредна или доброкачествена или дали мрежата е подходящо защитена от нововъзникващи кибер заплахи.
Лов на заплахи с проксита
Ловците на заплахи могат да намерят изобилие от информация в записите на уеб прокси. Тези проксита функционират като канали между сървъра или устройството, което получава заявки, и устройството, което изпраща заявката.
Общ набор от данни, генерирани от уеб проксита, може да се използва за откриване на необичайно или подозрително поведение.
Например, ловец на заплахи в организация може да анализира информацията за опасност, включена в регистрационните файлове на уеб прокси сървъра, и да открие подозрителна дейност с потребителски агенти като cURL и сайтове на SharePoint.
Те привличат вниманието към проблема и откриват, че исканията са легитимни и произхождат от екипите на DevOps.
За да изследват тези регистрационни файлове и да намерят злонамерени лица сред микса, ловците на заплахи използват различни протоколи и методологии. Уеб прокси сървър регистрационните файлове често предлагат следните подробности:
- Целеви URL (име на хост)
- IP адрес на дестинацията
- Състояние на HTTP
- Категория на домейна
- протокол
- Дестинация Порт
- User Agent
- Метод на заявка
- Действие на устройството
- Искано име на файл
- Продължителност
**И още!
Разлика между лов на заплахи и разузнаване на заплахи
Разузнаването на заплахи е колекция от данни относно опити или успешни прониквания, които обикновено се събират и изследват от автоматизирани системи за сигурност, използващи машинно обучение и изкуствен интелект.
Тази информация се използва при лов на заплахи, за да се извърши цялостно търсене в цялата система за злонамерени потребители.
С други думи, търсенето на заплахи започва там, където свършва разузнаването на заплахите. Продуктивният лов на заплахи може също да открие опасности, които все още не са виждани в дивата природа.
Индикаторите за заплахи понякога се използват като ориентир или хипотеза при лов на заплахи. Виртуални отпечатъци, оставени от злонамерен софтуер или нападател, странен IP адрес, фишинг имейли или друг необичаен мрежов трафик са примери за индикатори за заплаха.
Бързи връзки:
- Преглед на Cyberlab
- Преглед на CyberImpact
- Преглед на ИТ обучението на CyberVista
- Най-добрите партньорски програми за киберсигурност
Заключение: Какво е Threat Hunting 2024?
Обичайната процедура за откриване на инциденти, реагиране и коригиране е силно допълнена от лов на заплахи. Реалистична и практична стратегия за бизнеса е да се защити срещу непредвидени заплахи.
Независимо от това, наблюдението на прокси регистрационните файлове също така прави възможно идентифицирането на потребители, които може да изтриват уебсайтове. Тези, които просто се опитват да изпълнят законни задачи, срещат проблеми в такава ситуация.
Чрез използването на няколко проксита, особено тези, които помагат да се скрие истинският им IP адрес, потребителите могат да избегнат ловците на заплахи да забележат техните дейности.
Освен това техните регистрационни файлове не вдигат червен флаг за тези ловци, защото няма един IP адрес за всичките им дейности.
За целта ще ви трябват висококачествени проксита, които изглеждат легитимни за софтуера за лов на заплахи. За да отговоря на въпроса ви, софтуерът за лов на заплахи е основно програма, която изпълнява протоколи за лов на заплахи и анализ.
Бързи връзки