Что такое охота за угрозами 2024? [Полное руководство]

Последнее обновление: 5 ноября 2023 by

Поиск киберугроз — это проактивный метод интернет-безопасности в котором ищут охотники за угрозами угрозы безопасности это может быть скрыто в сети компании.

Киберохота активно ищет ранее необнаруженные, неопознанные или неустраненные угрозы, которые могли ускользнуть от автоматических защитных механизмов вашей сети, в отличие от более пассивных методов поиска кибербезопасности, таких как автоматизированные системы обнаружения угроз.

Что такое охота за угрозами

Что такое охота за угрозами?

Акт активного поиска киберугрозы, которые незамеченными скрываются в сети известен как охота за угрозами. Поиск киберугроз просматривает вашу среду в поисках злоумышленников, которые преодолели ваши первоначальные меры безопасности конечных точек.

Некоторые опасности более изощренные и продвинутые, в то время как большинство не может пройти мимо систем безопасности. В течение нескольких недель злоумышленники могут оставаться незамеченными в системе и файлах, медленно продвигаясь по сети, чтобы собрать больше данных.

Во время этой процедуры могут пройти недели или даже месяцы. Он может легко избежать обнаружения средствами безопасности и персоналом без активной охоты.

Охота на угрозы

Почему поиск угроз важен?

Поскольку сложные угрозы могут обойти автоматическую кибербезопасность, поиск угроз имеет решающее значение.

Вам все равно нужно беспокоиться об оставшихся 20% угроз, даже если автоматизированные средства безопасности и уровень 1 и 2 центр безопасности (SOC) аналитики должны уметь обрабатывать около 80% из них.

Угрозы в оставшихся 20%, скорее всего, будут сложными и способными нанести серьезный вред.

Злоумышленник может проникнуть в сеть тайно и оставаться там в течение нескольких месяцев, пока он молча собирает информацию, ищет конфиденциальные документы или получает учетные данные для входа, которые позволят ему перемещаться по окружающей среде.

Многим предприятиям не хватает сложных навыков обнаружения, необходимых для предотвращения появления сложных постоянных угроз в сети после того, как злоумышленнику удалось избежать обнаружения, а атака прорвала защиту организации.

Таким образом, поиск угроз является важнейшим элементом любой стратегии защиты.

Типы поиска угроз

На официальном веб-сайте IBM вполне уместно описаны три основных типа поиска угроз. Согласно их блогу, охота за угрозами бывает следующих типов:

1. Структурированная охота

An индикация атаки (IoA) и тактика, методы и процедуры злоумышленника (ТТП) служит основой систематической охоты.

Каждая охота планируется и основывается на TTP злоумышленников. Из-за этого охотник часто распознает злоумышленника до того, как у злоумышленника появится шанс нарушить окружающую среду. 

2. Неструктурированная охота

Специальная охота инициируется на основе триггера, одного из многих индикаторы компрометации (IOC). Этот триггер обычно используется, чтобы побудить охотника искать шаблоны до и после обнаружения.

В той мере, в какой позволяют хранение данных и ранее связанные правонарушения, охотник может провести исследование для разработки своего плана.

3. Ситуационное или сущностное управление

Ситуационная гипотеза может быть получена в результате внутренней оценки рисков организации или путем изучения тенденций и слабых мест, уникальных для ее ИТ-инфраструктуры.

Данные об атаках, собранные от широкой публики, которые при просмотре показывают самые последние TTP текущих киберугроз, — это то место, где создаются ориентированные на сущности возможности. Затем охотник за угрозами может сканировать окружение на наличие этих конкретных действий.

Как работает поиск угроз?

Человеческий аспект и огромные возможности обработки данных программного решения объединяются для эффективного поиска киберугроз.

Охотники за угрозами полагаются на данные сложных инструментов мониторинга и аналитики безопасности, которые помогают им заблаговременно обнаруживать и устранять угрозы.

Их цель — использовать решения и разведывательные данные/данные для поиска противников, которые могут ускользнуть от обычной защиты, используя такие стратегии, как жизнь за счет земли.

Интуиция, этическое и стратегическое мышление, а также творческий подход к решению проблем — все это важные компоненты процесса киберохоты.

Организации могут быстрее и точнее устранять угрозы, используя эти человеческие качества, которые «Охотники за киберугрозами», а не просто полагаться на автоматизированные системы обнаружения угроз.

Охотники за киберугрозами

Кто такие охотники за киберугрозами?

Охотники за киберугрозами добавляют человеческий фактор к безопасности бизнеса, усиливая автоматизированные меры. Это квалифицированные специалисты по информационной безопасности, которые выявляют, регистрируют, отслеживают и устраняют угрозы до того, как они перерастут в серьезные проблемы.

Хотя иногда они являются внешними аналитиками, в идеале они являются аналитиками по безопасности, которые хорошо осведомлены о работе ИТ-отдела компании.

Охотники за угрозами изучают информацию о безопасности. Они ищут подозрительные модели поведения, которые компьютер, возможно, пропустил или думал, что они были обработаны, но это не так, а также скрытые вредоносные программы или злоумышленники.

Они также помогают исправить систему безопасности предприятия, чтобы предотвратить повторение подобных вторжений в будущем.

Что такое охота за угрозами

Предпосылки для поиска угроз

Охотники за угрозами должны сначала создать базовый уровень ожидаемых или одобренных событий, чтобы лучше выявлять аномалии для эффективного поиска киберугроз.

Затем охотники за угрозами могут просматривать данные безопасности и информацию, собранную технологиями обнаружения угроз, используя этот базовый уровень и самую последнюю информацию об угрозах.

Эти технологии могут включать управляемое обнаружение и реагирование (MDR), инструменты аналитики безопасностиили решения для управления информацией и событиями безопасности (SIEM).

Охотники за угрозами могут искать в ваших системах потенциальные опасности, сомнительную активность или триггеры, отклоняющиеся от нормы, после того, как они вооружаются данными из различных источников, включая данные конечных точек, сети и облачных данных.

Охотники за угрозами могут выдвигать гипотезы и проводить обширные сетевые расследования, если обнаружена угроза или если известные сведения об угрозах указывают на новые возможные угрозы.

Охотники за угрозами ищут информацию во время этих расследований, чтобы определить, является ли угроза вредоносной или безобидной, а также правильно ли защищена сеть от возникающих киберугроз.

Методологии поиска угроз

Охотники за угрозами начинают свои расследования, предполагая, что злоумышленники уже присутствуют в системе, и ищут странное поведение, которое может указывать на присутствие враждебных действий.

Это начало расследования часто попадает в одну из трех категорий проактивного поиска угроз.

В целях упреждающей защиты систем и информации организации все три стратегии предусматривают усилия человека, сочетающие ресурсы разведки угроз с передовыми технологиями безопасности.

1. Исследование, основанное на гипотезе

Новая опасность, которая была обнаружена в обширной базе данных об атаках, собранных с помощью краудсорсинга, часто вызывает расследования, основанные на гипотезах, предоставляя информацию о самых последних стратегиях, методах и процедурах, используемых злоумышленниками (TTP).

Затем охотники за угрозами проверят, присутствуют ли уникальные действия злоумышленника в их собственной среде после обнаружения нового TTP.

2. Расследование на основе выявленных индикаторов атаки или индикаторов компрометации.

Используя тактическую информацию об угрозах, этот метод поиска угроз составляет список известных IOC и IOA, связанных со свежими угрозами. Затем охотники за угрозами могут использовать их в качестве триггеров для обнаружения предполагаемых скрытых атак или продолжающихся вредоносных действий.

3. Расширенная аналитика и исследования машинного обучения

Третий метод просматривает огромное количество данных с использованием машинного обучения и расширенного анализа данных для поиска аномалий, которые могут указывать на возможные враждебные действия.

Эти аномалии становятся охотничьими зацепками, которые исследуются знающими аналитиками, чтобы найти скрытые опасности.

Охота за угрозами с помощью прокси

Охотники за угрозами могут найти массу информации в записях веб-прокси. Эти прокси функционируют как каналы связи между сервером или устройством, которое получает запросы, и устройством, которое отправляет запрос.

Общий набор данных, генерируемых веб-прокси, можно использовать для обнаружения необычного или подозрительного поведения.

Например, охотник за угрозами в организации может проанализировать информацию об опасностях, включенную в журналы веб-прокси, и обнаружить подозрительную активность с такими пользовательскими агентами, как cURL и сайты SharePoint.

Они обращают внимание на проблему и обнаруживают, что запросы законны и исходят от команд DevOps.

Чтобы изучить эти журналы и найти среди них любых злоумышленников, охотники за угрозами используют различные протоколы и методологии. Веб-прокси журналы часто содержат следующие сведения:

  • Целевой URL (имя хоста)
  • Целевой IP-адрес
  • Статус HTTP
  • Категория домена
  • протокол
  • Порт назначения
  • Агент пользователя
  • Метод запроса
  • Действие устройства
  • Запрашиваемое имя файла
  • Длительность

**И больше!

Как работает поиск угроз с помощью журналов прокси?

Теперь, когда вы понимаете, что такое поиск угроз, давайте изучим, как журналы веб-прокси помогают этим охотникам. Аналитики должны использовать различные способы для поиска уязвимостей и злоумышленников, взаимодействующих с сетью, поскольку журналы веб-прокси содержат несколько фрагментов данных.

1. Просмотр заблокированного трафика:

Важно выяснить, что привело пользователя к доступу к определенному веб-сайту, даже если он был запрещен для пользователей организации. Это может означать, что их компьютер был заражен.

2. URL-адреса с IP-запросами:

Эта фильтрация может обнаруживать журналы, которые обходят ограничения безопасности DNS, используя жестко заданные IP-адреса.

3. URL-адреса с расширениями файлов:

Этот фильтр делает видимыми потенциально опасные URL-адреса с расширениями файлов, такими как .doc, .pdf и .exe. Злоумышленники часто используют файлы doc или pdf с функциями макросов для внедрения вредоносного ПО в компьютер или сеть.

4. Известный URL-адрес реферера с необычным URL-адресом:

Выявление фишинговых ссылок может быть упрощено путем фильтрации журналов, содержащих популярные реферальные домены и отличительные URL-адреса.

Разница между поиском угроз и анализом угроз

Аналитика угроз — это набор данных о попытках или успешных вторжениях, которые обычно собираются и проверяются автоматизированными системами безопасности с использованием машинного обучения и искусственного интеллекта.

Эта информация используется при поиске угроз для проведения тщательного общесистемного поиска злоумышленников.

Иными словами, поиск угроз начинается там, где заканчивается информация об угрозах. Продуктивный поиск угроз может также найти опасности, которых еще не видели в дикой природе.

Индикаторы угроз иногда используются в качестве наводки или гипотезы при поиске угроз. Виртуальные отпечатки пальцев, оставленные вредоносным ПО или злоумышленником, странный IP-адрес, фишинговые электронные письма или другой аномальный сетевой трафик — все это примеры индикаторов угрозы.

Быстрые ссылки:

Заключение: что такое Threat Hunting 2024? 

Обычная процедура обнаружения, реагирования и устранения инцидентов сильно дополняется поиском угроз. Реалистичная и практичная стратегия для бизнеса состоит в том, чтобы защитить себя от непредвиденных угроз.

Тем не менее, мониторинг журналов прокси также позволяет идентифицировать пользователей, которые могут парсить веб-сайты. Те, кто просто пытается выполнить законные задачи, сталкиваются с проблемами в такой ситуации.

Используя несколько прокси-серверов, особенно тех, которые помогают скрыть их истинный IP-адрес, пользователи могут избежать обнаружения их действий охотниками за угрозами.

Кроме того, их журналы не вызывают опасений у этих охотников, потому что нет единого IP-адреса для всех их действий.

Для этого вам потребуются высококачественные прокси-серверы, которые кажутся законными для программного обеспечения для поиска угроз. Чтобы ответить на ваш вопрос, программное обеспечение для поиска угроз — это, по сути, программа, которая выполняет протоколы поиска угроз и анализ.

Полезное 

Энди Томпсон
Этот автор проверен на BloggersIdeas.com

Энди Томпсон долгое время работал писателем-фрилансером. Она является старшим аналитиком по SEO и контент-маркетингу в компании Диджиексе, агентство цифрового маркетинга, специализирующееся на контенте и поисковой оптимизации на основе данных. У нее более семи лет опыта работы в цифровом маркетинге и партнерском маркетинге. Ей нравится делиться своими знаниями в самых разных областях, от электронной коммерции, стартапов, маркетинга в социальных сетях, заработка в Интернете, партнерского маркетинга до управления человеческим капиталом и многого другого. Она писала для нескольких авторитетных блогов SEO, Make Money Online и цифрового маркетинга, таких как ImageStation.

Партнерское раскрытие: Полная прозрачность - некоторые ссылки на нашем веб-сайте являются партнерскими ссылками, и если вы используете их для совершения покупки, мы будем получать комиссию без дополнительных затрат для вас (вообще никакой!).

Похожие сообщения

Оставьте комментарий