Шта је лов на претње 2024? [Комплетан водич]

Последњи пут ажурирано: Новембар 5, 2023 by

Лов на сајбер претње је а проактивни метод интернет безбедности у којој траже ловци на претње безбедносне опасности то може бити скривено унутар мреже компаније.

Сајбер лов активно пази на претходно неоткривене, неидентификоване или неисправљене претње које су могле да избегну аутоматизоване одбрамбене механизме ваше мреже, за разлику од пасивнијих техника лова на сајбер безбедност као што су аутоматизовани системи за откривање претњи.

Шта је лов на претње

Шта је лов на претње?

Чин активног тражења сајбер претње које се крију неоткривене на мрежи познат је као лов на претње. Лов на сајбер претње претражује ваше окружење у потрази за злонамерним актерима који су превазишли ваше почетне мере безбедности крајње тачке.

Неке опасности су софистицираније и напредније, док већина не може проћи мимо сигурносних система. Нападачи недељама могу остати неоткривени у систему и датотекама док полако напредују кроз мрежу како би прикупили више података.

Током ове процедуре могу проћи недеље или чак месеци. Може лако да избегне детекцију од безбедносних алата и особља без активног лова.

Лов на претње

Зашто је лов на претње важан?

Пошто софистициране претње могу да избегну аутоматизовану сајбер безбедност, лов на претње је кључан.

И даље морате да будете забринути за преосталих 20% претњи чак и ако аутоматизовани безбедносни алати и ниво 1 и 2 безбедносно оперативни центар (СОЦ) аналитичари би требало да буду у стању да се баве 100% од њих.

Претње у преосталих 20% су вероватније сложене и способне да нанесу велику штету.

Нападач може тајно да уђе у мрежу и остане тамо месецима док у тишини прикупља информације, претражује осетљиве документе или добија акредитиве за пријаву који ће им омогућити да лутају околином.

Многим предузећима недостају софистициране вештине детекције потребне да спрече напредне упорне претње да се задржавају у мрежи када је противник успео да побегне од откривања и напад пробије одбрану организације.

Лов на претње је стога кључни елемент сваке одбрамбене стратегије.

Врсте лова на претње

ИБМ-ова званична веб страница је сасвим прикладно објаснила три главне врсте лова на претње. Према њиховом блогу, лов на претње је следећих врста:

1. Структурисани лов

An индикација напада (ИоА) и нападачеве тактике, методе и процедуре (ТТПс) служи као основа систематског лова.

Сваки лов је планиран и заснован на ТТП-овима актера претње. Због тога, ловац често препозна актера претње пре него што нападач има прилику да поремети околину. 

2. Неструктурирани лов

Ад хоц лов се покреће на основу окидача, једног од многих показатељи компромиса (ИоЦ). Овај окидач се обично користи да подстакне ловца да тражи обрасци пре и после детекције.

У мери у којој то дозвољавају задржавање података и претходно повезани прекршаји, ловац може да спроведе студију како би утврдио свој план.

3. Ситуациони или вођени ентитетима

Ситуациона хипотеза се може произвести интерном проценом ризика организације или истраживањем трендова и слабости јединствених за њену ИТ инфраструктуру.

Подаци о нападима прикупљени од опште јавности, који, када се прегледају, показују најновије ТТП-ове текућих сајбер претњи, је место где се креирају потенцијални клијенти оријентисани на ентитет. Ловац на претње онда може да скенира околину у потрази за овим специфичним понашањем.

Како функционише лов на претње?

Људски аспект и огромна способност обраде података софтверског решења су комбиновани да ефикасно лове сајбер претње.

Ловци на људске претње ослањају се на податке из софистицираних алата за праћење безбедности и аналитику како би им помогли у проактивном откривању и елиминисању претњи.

Њихов циљ је да користе решења и обавештајне податке/податке како би пронашли противнике који би могли да избегну нормалну одбрану коришћењем стратегија као што је живот ван земље.

Интуиција, етичко и стратешко размишљање и креативно решавање проблема су суштинске компоненте процеса сајбер лова.

Организације су у стању да брже и прецизније решавају претње користећи ове људске особине које „Ловци на сајбер претње” изнесите на сто уместо да се само ослањате на аутоматизоване системе за откривање претњи.

Ловци на сајбер претње

Ко су ловци на сајбер претње?

Ловци на сајбер претње додају људски додир пословној безбедности, побољшавајући аутоматизоване мере. Они су вешти професионалци за ИТ безбедност који идентификују, снимају, држе на оку и искорењују претње пре него што имају прилику да постану озбиљни проблеми.

Иако су повремено спољни аналитичари, они су идеално безбедносни аналитичари који су упознати са радом ИТ одељења компаније.

Ловци на претње претражују безбедносне информације. Они траже сумњиве обрасце понашања које је рачунар можда пропустио или су мислили да су обрађени, али нису, као и скривени малвер или нападачи.

Они такође помажу у закрпању безбедносног система предузећа како би се спречиле будуће појаве исте врсте упада.

Шта је лов на претње

Предуслови за лов на претње

Ловци на претње морају прво да изграде основну линију очекиваних или одобрених појава како би боље уочили аномалије како би лов на сајбер претње био ефикасан.

Ловци на претње тада могу да прођу кроз безбедносне податке и информације прикупљене технологијама за откривање претњи користећи ову основну и најновију обавештајну информацију о претњама.

Ове технологије могу укључивати управљано откривање и одговор (МДР), алати за безбедносну аналитику, Или решења за безбедносне информације и управљање догађајима (СИЕМ).

Ловци на претње могу да претражују ваше системе у потрази за потенцијалним опасностима, сумњивим активностима или покретачима који одступају од норме након што су наоружани подацима из различитих извора, укључујући податке о крајњој тачки, мрежи и облаку.

Ловци на претње могу да креирају хипотезе и спроведу опсежне мрежне истраге ако се пронађе претња или ако позната обавештајна информација о претњи укаже на нове могуће претње.

Ловци на претње траже информације током ових истрага како би утврдили да ли је претња штетна или бенигна или да ли је мрежа на одговарајући начин заштићена од нових сајбер претњи.

Методологије лова на претње

Ловци на претње почињу своје истраге под претпоставком да су противници већ присутни у систему и траже чудно понашање које може указати на присуство непријатељских активности.

Овај почетак истраге често спада у једну од три категорије у проактивном лову на претње.

У сврху проактивне одбране система и информација организације, све три стратегије укључују напор који покреће људи који комбинују ресурсе обавештајних података о претњама са најсавременијом безбедносном технологијом.

1. Истраживање засновано на хипотезама

Нова опасност која је откривена кроз огромну базу података скупљених података о нападима често изазива истраге засноване на хипотезама, пружајући информације о најновијим стратегијама, техникама и процедурама које користе нападачи (ТТП).

Ловци на претње ће затим проверити да ли су јединствене акције нападача присутне у њиховом окружењу када се открије нови ТТП.

2. Истрага заснована на идентификованим показатељима напада или показатељима компромиса

Користећи тактичке обавештајне податке о претњама, овај метод лова на претње наводи познате МОК и ИОА повезане са новим претњама. Ловци на претње могу да их искористе као окидаче за проналажење потенцијалних тајних напада или текућих штетних активности.

3. Истраживања напредне аналитике и машинског учења

Трећи метод копа огромну количину података користећи машинско учење и напредну анализу података како би потражио аномалије које би могле указивати на могуће непријатељске активности.

Ове аномалије постају трагови за траговима које испитују искусни аналитичари како би пронашли прикривене опасности.

Лов на претње са проксијима

Ловци на претње могу пронаћи мноштво информација у записима веб проксија. Ови проксији функционишу као канали између сервера или уређаја који прима захтеве и уређаја који шаље захтев.

Уобичајени скуп података генерисаних од стране веб проксија може се користити за уочавање необичног или сумњивог понашања.

На пример, ловац на претње у организацији може да анализира информације о опасностима укључене у евиденцију веб проксија и открије сумњиве активности са корисничким агентима као што су цУРЛ и СхареПоинт локације.

Скрећу пажњу на проблем и откривају да су захтеви легитимни и потичу од ДевОпс тимова.

Да би испитали ове евиденције и пронашли злонамерне појединце у мешавини, ловци на претње користе различите протоколе и методологије. Веб проки дневники често нуде следеће детаље:

  • Одредишна УРЛ адреса (име хоста)
  • Одредишна ИП адреса
  • ХТТП статус
  • Категорија домена
  • Протокол
  • Одредишни порт
  • усер агент
  • Рекуест Метход
  • Радња уређаја
  • Тражени назив датотеке
  • Trajanje

**И још!

Како функционише лов на претње помоћу евиденције проксија?

Хајде да проучимо како евиденција веб проксија помаже овим ловцима сада када разумете лов на претње. Аналитичари морају да користе различите начине да пронађу рањивости и злонамерне стране које се баве мрежом јер евиденције веб проксија садрже неколико делова података.

1. Преглед блокираног саобраћаја:

Важно је сазнати шта је навело корисника да приступи одређеној веб локацији иако је она можда била забрањена за кориснике организације. То може значити да је њихов рачунар заражен.

2. УРЛ адресе са ИП захтевима:

Ова филтрација може уочити евиденције које заобилазе ДНС безбедносна ограничења коришћењем тврдо кодираних ИП адреса.

3. УРЛ адресе са екстензијама датотеке:

Овај филтер чини видљивим потенцијално опасне УРЛ адресе са екстензијама датотека као што су.доц,.пдф и .еке. Нападачи често користе доц или пдф датотеке са макро функционалношћу за имплантацију злонамерног софтвера на машину или мрежу.

4. Позната УРЛ адреса упућивача са неуобичајеним УРЛ-ом:

Препознавање веза за „пецање“ може бити олакшано филтрирањем евиденција које садрже популарне рефералне домене и карактеристичне УРЛ адресе.

Разлика између лова на претње и обавештајних података о претњи

Интелигенција претњи је збирка података о покушајима или успешним упадима које обично прикупљају и испитују аутоматизовани безбедносни системи који користе машинско учење и вештачку интелигенцију.

Ове информације се користе у потрази за претњама да би се извршила детаљна претрага злонамерних корисника на целом систему.

Другим речима, лов на претње почиње тамо где се завршава обавештајна информација о претњи. Продуктиван лов на претње такође може пронаћи опасности које још нису виђене у дивљини.

Индикатори претње се понекад користе као водећи или хипотеза у лову на претње. Виртуелни отисци прстију које је оставио злонамерни софтвер или нападач, чудна ИП адреса, пхисхинг е-поруке или други аномални мрежни саобраћај су примери индикатора претњи.

Линкови:

Закључак: Шта је лов на претње 2024? 

Уобичајена процедура откривања инцидената, реаговања и санације је снажно допуњена ловом на претње. Реална и практична стратегија за предузећа је да се ојачају против непредвиђених претњи.

Без обзира на то, надгледање евиденције проксија такође омогућава идентификацију корисника који можда краду веб локације. Они који само покушавају да заврше легитимне задатке наилазе на проблеме у таквој ситуацији.

Коришћењем неколико проксија, посебно оних који помажу прикривању њихове праве ИП адресе, корисници могу избећи да ловци на претње уоче њихове активности.

Такође, њихови дневники не подижу црвену заставу за ове ловце јер не постоји јединствена ИП адреса за све њихове активности.

За ово ће вам требати висококвалитетни проксији који изгледају легитимно за софтвер за лов на претње. Да одговоримо на ваше питање, софтвер за лов на претње је у основи програм који обавља протоколе и анализу за лов на претње.

Брзи линкови 

Касхисх Баббер
Овај аутор је верификован на БлоггерсИдеас.цом

Кашиш је дипломирала на Б.Цом-у, која тренутно прати њену страст да учи и пише о СЕО-у и блоговању. Са сваким новим ажурирањем Гоогле алгоритма она улази у детаље. Увек је жељна учења и воли да истражује сваки преокрет и преокрет Гоогле-ових ажурирања алгоритма, упуштајући се у ситнице да би разумела како функционишу. Њен ентузијазам за ове теме се може видети у њеном писању, чинећи њене увиде и информативним и занимљивим за све који су заинтересовани за стално еволуирајући пејзаж оптимизације претраживача и уметност блоговања.

Откривање подружница: Потпуно транспарентно - неке од веза на нашој веб страници су партнерске везе, ако их користите за куповину, зарадићемо провизију без додатних трошкова за вас (ништа!).

Релатед Поруке

Оставите коментар