Kas yra 2024 m. grėsmių medžioklė? [Visas vadovas]

Paskutinį kartą atnaujinta: Lapkritis 5, 2023 by

Kibernetinių grėsmių medžioklė yra a aktyvus interneto saugumo metodas kurioje ieško grėsmių medžiotojai pavojų saugumui tai gali būti paslėptas įmonės tinkle.

Kibernetinė medžioklė aktyviai ieško anksčiau neaptiktų, neatpažintų ar nepataisytų grėsmių, kurios galėjo išvengti jūsų tinklo automatinių gynybos mechanizmų, priešingai nei pasyvesni kibernetinio saugumo medžioklės metodai, pvz., automatizuotos grėsmių aptikimo sistemos.

Kas yra grėsmių medžioklė

Kas yra grėsmių medžioklė?

Aktyvaus ieškojimo veiksmas kibernetinės grėsmės, kurios tinkle slypi nepastebimai yra žinomas kaip grėsmių medžioklė. Kibernetinių grėsmių medžioklė apžiūri jūsų aplinką kenkėjiškų veikėjų, kurie praėjo jūsų pradines galinio taško saugumo priemones.

Kai kurie pavojai yra sudėtingesni ir pažangesni, o dauguma negali įveikti apsaugos sistemų. Ištisas savaites užpuolikai gali likti nepastebėti sistemoje ir failuose, o lėtai juda tinklu, kad surinktų daugiau duomenų.

Šios procedūros metu gali praeiti savaitės ar net mėnesiai. Jis gali lengvai išvengti aptikimo iš apsaugos įrankių ir personalo aktyviai neieškodamas.

Grėsmių medžioklė

Kodėl grėsmių medžioklė yra svarbi?

Kadangi sudėtingos grėsmės gali išvengti automatinio kibernetinio saugumo, grėsmių paieška yra labai svarbi.

Vis tiek turite susirūpinti dėl likusių 20 % grėsmių, net jei naudojami automatiniai saugos įrankiai ir 1 bei 2 pakopos saugumo operacijų centras (SOC) analitikai turėtų sugebėti tvarkyti apie 80% jų.

Likusių 20 % grėsmės greičiausiai bus sudėtingos ir gali padaryti didelę žalą.

Užpuolikas gali slapta patekti į tinklą ir ten išbūti kelis mėnesius, nes tyliai renka informaciją, ieško neskelbtinų dokumentų arba gauna prisijungimo duomenis, kurie leis naršyti po aplinką.

Daugeliui įmonių trūksta sudėtingų aptikimo įgūdžių, reikalingų užkirsti kelią pažangioms nuolatinėms grėsmėms tinkle, kai priešininkui pavyksta išvengti aptikimo, o užpuolimas pažeidė organizacijos gynybą.

Todėl grėsmių medžioklė yra esminis bet kurios gynybos strategijos elementas.

Grėsmių medžioklės rūšys

Oficialioje IBM svetainėje gana tinkamai paaiškintos trys pagrindinės grėsmių paieškos rūšys. Pasak jų tinklaraščio, grėsmių medžioklė yra šių tipų:

1. Struktūrinė medžioklė

An atakos požymis (IoA) ir užpuoliko taktika, metodai ir procedūros (TTP) yra sistemingos medžioklės pagrindas.

Kiekviena medžioklė yra suplanuota ir pagrįsta grėsmės veikėjų TTP. Dėl šios priežasties medžiotojas dažnai atpažįsta grėsmės veikėją, kol užpuolikas neturi galimybės sutrikdyti aplinką. 

2. Nestruktūrizuota medžioklė

Ad hoc medžioklė pradedama remiantis trigeriu, vienu iš daugelio kompromiso rodikliai (IoC). Šis gaidukas paprastai naudojamas raginant medžiotoją ieškoti prieš ir po aptikimo modelius.

Tiek, kiek leidžia duomenų saugojimas ir anksčiau susiję pažeidimai, medžiotojas gali atlikti tyrimą savo planui sudaryti.

3. Situacija arba subjektas

Situacinė hipotezė gali būti parengta atlikus organizacijos vidinį rizikos vertinimą arba ištyrus IT infrastruktūros tendencijas ir trūkumus.

Iš plačiosios visuomenės surinkti atakų duomenys, kuriuos peržiūrėjus rodomi naujausi tebesitęsiančių kibernetinių grėsmių TTP, sukuriami į subjektą orientuoti potencialūs klientai. Tada grėsmių medžiotojas gali nuskaityti aplinką dėl šio specifinio elgesio.

Kaip veikia grėsmių medžioklė?

Žmogiškasis aspektas ir didžiulės programinės įrangos sprendimo duomenų apdorojimo galimybės yra derinamos, kad būtų veiksmingai kovojama su kibernetinėmis grėsmėmis.

Žmonių grėsmių medžiotojai pasikliauja sudėtingų saugumo stebėjimo ir analizės įrankių duomenimis, kad padėtų jiems aktyviai aptikti ir pašalinti grėsmes.

Jų tikslas yra panaudoti sprendimus ir žvalgybinę informaciją/duomenis, kad surastų priešus, kurie gali išvengti įprastos gynybos naudojant tokias strategijas kaip gyvenimas žemėje.

Intuicija, etinis ir strateginis mąstymas bei kūrybiškas problemų sprendimas yra esminiai kibernetinės medžioklės proceso komponentai.

Organizacijos gali greičiau ir tiksliau išspręsti grėsmes, panaudodamos šias žmogiškąsias savybes, kuriosKibernetinių grėsmių medžiotojai“, o ne tik pasikliauti automatizuotomis grėsmių aptikimo sistemomis.

Kibernetinių grėsmių medžiotojai

Kas yra kibernetinių grėsmių medžiotojai?

Kibernetinių grėsmių medžiotojai verslo saugumui suteikia žmogiškumo, patobulindami automatizuotas priemones. Jie yra kvalifikuoti IT saugos specialistai, kurie nustato, registruoja, stebi ir pašalina grėsmes, kol jos dar neturi galimybės tapti rimtomis problemomis.

Nors kartais jie yra išorės analitikai, idealiu atveju jie yra saugumo analitikai, išmanantys įmonės IT skyriaus darbą.

Grėsmių medžiotojai ieško saugumo informacijos. Jie ieško įtartinų elgesio modelių, kuriuos kompiuteris galėjo praleisti arba manyti, kad buvo tvarkomas, bet ne, taip pat paslėptų kenkėjiškų programų ar užpuolikų.

Jie taip pat padeda pataisyti verslo apsaugos sistemą, kad ateityje būtų išvengta tokio paties tipo įsibrovimų.

Kas yra grėsmių medžioklė

Grėsmių medžioklės sąlygos

Grėsmių medžiotojai pirmiausia turi sukurti numatytų arba patvirtintų įvykių bazinę liniją, kad galėtų geriau pastebėti anomalijas, kad kibernetinės grėsmės medžioklė būtų veiksminga.

Grėsmių ieškotojai gali peržiūrėti saugos duomenis ir informaciją, surinktą naudojant grėsmių aptikimo technologijas, naudodami šią bazinę padėtį ir naujausią grėsmės žvalgybos informaciją.

Šios technologijos gali apimti valdomas aptikimas ir atsakas (MDR), saugumo analizės įrankiaiarba saugumo informacijos ir įvykių valdymo (SIEM) sprendimai.

Grėsmių ieškotojai gali ieškoti jūsų sistemose galimų pavojų, šešėlinės veiklos ar aktyviklių, kurie nukrypsta nuo normos, kai jie yra apginkluoti duomenimis iš įvairių šaltinių, įskaitant galutinio taško, tinklo ir debesies duomenis.

Grėsmių ieškotojai gali sukurti hipotezes ir atlikti išsamius tinklo tyrimus, jei randama grėsmė arba jei žinoma grėsmės žvalgyba nurodo naujas galimas grėsmes.

Vykdydami šiuos tyrimus grėsmių medžiotojai ieško informacijos, kad nustatytų, ar grėsmė yra žalinga, ar gera, ar tinklas yra tinkamai apsaugotas nuo naujų kibernetinių grėsmių.

Grėsmių medžioklės metodikos

Grėsmių medžiotojai pradeda tyrimus darydami prielaidą, kad sistemoje jau yra priešų, ir ieško keisto elgesio, kuris gali rodyti priešiškos veiklos buvimą.

Ši tyrimo pradžia dažnai patenka į vieną iš trijų aktyvios grėsmės medžioklės kategorijų.

Siekiant aktyviai ginti organizacijos sistemas ir informaciją, visos trys strategijos apima žmogaus pastangas, kurios sujungia grėsmių žvalgybos išteklius ir pažangiausias saugumo technologijas.

1. Hipotezinis tyrimas

Naujas pavojus, kuris buvo aptiktas per didžiulę minios atakų duomenų bazę, dažnai sukelia hipotezėmis pagrįstus tyrimus, teikiančius informaciją apie naujausias užpuolikų naudojamas strategijas, metodus ir procedūras.

Grėsmių ieškotojai tada patikrins, ar užpuoliko unikalūs veiksmai yra jų aplinkoje, kai bus aptiktas naujas TTP.

2. Tyrimas, pagrįstas nustatytais atakos arba kompromiso rodikliais

Naudojant taktinę grėsmių žvalgybą, šis grėsmių medžioklės metodas išvardija žinomus IOC ir IOA, susijusius su naujomis grėsmėmis. Tada grėsmių medžiotojai gali juos panaudoti kaip paleidiklius, kad surastų galimus slaptus išpuolius ar vykdomą žalingą veiklą.

3. Išplėstiniai analizės ir mašininio mokymosi tyrimai

Trečiasis metodas išgauna didžiulį duomenų kiekį naudojant mašininį mokymąsi ir pažangią duomenų analizę, siekiant ieškoti anomalijų, kurios gali rodyti galimą priešišką veiklą.

Šios anomalijos tampa medžioklės priežastimis, kurias tiria išmanantys analitikai, kad surastų paslėptus pavojus.

Grėsmių medžioklė naudojant įgaliotuosius serverius

Grėsmių ieškotojai žiniatinklio tarpinio serverio įrašuose gali rasti daug informacijos. Šie tarpiniai serveriai veikia kaip kanalai tarp serverio arba įrenginio, kuris gauna užklausas, ir įrenginio, kuris siunčia užklausą.

Įprastas žiniatinklio tarpinių serverių generuojamas duomenų rinkinys gali būti naudojamas norint pastebėti neįprastą ar įtartiną elgesį.

Pavyzdžiui, grėsmių ieškotojas organizacijoje gali išanalizuoti pavojaus informaciją, įtrauktą į žiniatinklio tarpinio serverio žurnalus, ir aptikti įtartiną veiklą su vartotojo agentais, pvz., cURL ir SharePoint svetaines.

Jie atkreipia dėmesį į problemą ir sužino, kad užklausos yra teisėtos ir gaunamos iš „DevOps“ komandų.

Norėdami ištirti šiuos žurnalus ir rasti bet kokius kenkėjiškus asmenis, grėsmių medžiotojai taiko įvairius protokolus ir metodikas. Interneto tarpinis serveris žurnaluose dažnai pateikiama ši informacija:

  • Paskirties URL (prieglobos serverio pavadinimas)
  • Paskirties IP
  • HTTP būsena
  • Domeno kategorija
  • Protokolas
  • Kelionės tikslo uostas
  • Vartotojas agentas
  • Prašymo metodas
  • Įrenginio veiksmas
  • Prašomas failo pavadinimas
  • Trukmė (dienos)

**Ir dar!

Kaip veikia grėsmių medžioklė naudojant tarpinio serverio žurnalus?

Panagrinėkime, kaip žiniatinklio tarpinio serverio žurnalai padeda šiems medžiotojams dabar, kai suprantate grėsmių medžioklę. Analitikai turi naudoti įvairius būdus, kad surastų pažeidžiamumą ir kenkėjiškas šalis, susijusias su tinklu, nes žiniatinklio tarpinio serverio žurnaluose yra keletas duomenų dalių.

1. Užblokuoto srauto peržiūra:

Svarbu išsiaiškinti, kas paskatino vartotoją patekti į konkrečią svetainę, net jei organizacijos naudotojams ji galėjo būti uždrausta. Tai gali reikšti, kad jų kompiuteris buvo užkrėstas.

2. URL su IP užklausomis:

Šis filtravimas gali aptikti žurnalus, kurie apeina DNS saugos apribojimus, naudojant užkoduotus IP adresus.

3. URL su failų plėtiniais:

Šis filtras padaro matomus potencialiai pavojingus URL su failų plėtiniais, pvz., doc, .pdf ir .exe. Užpuolikai dažnai naudoja doc arba pdf failus su makrokomandomis, norėdami įdiegti kenkėjiškas programas į įrenginį ar tinklą.

4. Žinomas persiuntimo URL su neįprastu URL:

Sukčiavimo nuorodas galima lengviau nustatyti išfiltravus žurnalus, kuriuose yra populiarių persiuntimo domenų ir skiriamųjų URL.

Skirtumas tarp grėsmių medžioklės ir grėsmių žvalgybos

Grėsmių žvalgyba – tai duomenų apie bandymus arba sėkmingus įsilaužimus rinkinys, kurį paprastai renka ir tiria automatizuotos saugos sistemos, naudodamos mašininį mokymąsi ir dirbtinį intelektą.

Ši informacija naudojama ieškant grėsmių, siekiant atlikti išsamią kenkėjiškų vartotojų paiešką visoje sistemoje.

Kitaip tariant, grėsmių medžioklė prasideda ten, kur baigiasi grėsmės žvalgyba. Produktyvi grėsmių medžioklė taip pat gali rasti pavojų, kurių laukinėje gamtoje dar nematė.

Grėsmės rodikliai kartais naudojami kaip pagrindinė arba hipotezė medžiojant grėsmę. Kenkėjiškų programų ar užpuoliko palikti virtualūs pirštų atspaudai, keistas IP adresas, sukčiavimo el. laiškai ar kitas nenormalus tinklo srautas yra grėsmės rodiklių pavyzdžiai.

Nuorodos:

Išvada: kas yra 2024 m. grėsmių medžioklė? 

Įprastą incidentų aptikimo, reagavimo ir ištaisymo procedūrą stipriai papildo grėsmių medžioklė. Reali ir praktiška strategija verslui yra apsisaugoti nuo nenumatytų grėsmių.

Nepaisant to, tarpinio serverio žurnalų stebėjimas taip pat leidžia identifikuoti vartotojus, kurie gali tvarkyti svetaines. Tie, kurie tik bando atlikti teisėtas užduotis, tokioje situacijoje susiduria su problemomis.

Naudodami kelis tarpinius serverius, ypač tuos, kurie padeda nuslėpti tikrąjį IP adresą, vartotojai gali išvengti grėsmių medžiotojų, kad jie nepastebėtų jų veiklos.

Be to, jų žurnalai nekelia raudonos vėliavos šiems medžiotojams, nes nėra vieno IP adreso visai jų veiklai.

Tam jums reikės aukštos kokybės tarpinių serverių, kurie atrodo teisėti grėsmių paieškos programinei įrangai. Norėdami atsakyti į jūsų klausimą, grėsmių paieškos programinė įranga iš esmės yra programa, kuri atlieka grėsmių paieškos protokolus ir analizę.

Greitos nuorodos 

Kašišas Babberis
Šis autorius patvirtintas BloggersIdeas.com

Kashish yra B.Com absolventas, kuris šiuo metu seka savo aistrą mokytis ir rašyti apie SEO ir tinklaraščius. Su kiekvienu nauju „Google“ algoritmo atnaujinimu ji gilinasi į smulkmenas. Ji visada trokšta mokytis ir mėgsta tyrinėti kiekvieną „Google“ algoritmų atnaujinimų posūkį, kad suprastų, kaip jie veikia. Jos entuziazmas šioms temoms matomas rašant, todėl jos įžvalgos yra informatyvios ir įtraukiančios visiems, kurie domisi nuolat besikeičiančiu paieškos sistemų optimizavimo ir tinklaraščių menu.

Filialo atskleidimas: Visiškai skaidriai – kai kurios mūsų svetainėje esančios nuorodos yra filialų nuorodos, jei jas naudosite pirkdami, uždirbsime komisinį atlyginimą be papildomo mokesčio (jokio!).

Susijusios Žinutės

Palikite komentarą