Лов на сајбер претње је а проактивни метод интернет безбедности у којој траже ловци на претње безбедносне опасности то може бити скривено унутар мреже компаније.
Сајбер лов активно пази на претходно неоткривене, неидентификоване или неисправљене претње које су могле да избегну аутоматизоване одбрамбене механизме ваше мреже, за разлику од пасивнијих техника лова на сајбер безбедност као што су аутоматизовани системи за откривање претњи.
Шта је лов на претње?
Чин активног тражења сајбер претње које се крију неоткривене на мрежи познат је као лов на претње. Лов на сајбер претње претражује ваше окружење у потрази за злонамерним актерима који су превазишли ваше почетне мере безбедности крајње тачке.
Неке опасности су софистицираније и напредније, док већина не може проћи мимо сигурносних система. Нападачи недељама могу остати неоткривени у систему и датотекама док полако напредују кроз мрежу како би прикупили више података.
Током ове процедуре могу проћи недеље или чак месеци. Може лако да избегне детекцију од безбедносних алата и особља без активног лова.
Зашто је лов на претње важан?
Пошто софистициране претње могу да избегну аутоматизовану сајбер безбедност, лов на претње је кључан.
И даље морате да будете забринути за преосталих 20% претњи чак и ако аутоматизовани безбедносни алати и ниво 1 и 2 безбедносно оперативни центар (СОЦ) аналитичари би требало да буду у стању да се баве 100% од њих.
Претње у преосталих 20% су вероватније сложене и способне да нанесу велику штету.
Нападач може тајно да уђе у мрежу и остане тамо месецима док у тишини прикупља информације, претражује осетљиве документе или добија акредитиве за пријаву који ће им омогућити да лутају околином.
Многим предузећима недостају софистициране вештине детекције потребне да спрече напредне упорне претње да се задржавају у мрежи када је противник успео да побегне од откривања и напад пробије одбрану организације.
Лов на претње је стога кључни елемент сваке одбрамбене стратегије.
Како функционише лов на претње?
Људски аспект и огромна способност обраде података софтверског решења су комбиновани да ефикасно лове сајбер претње.
Ловци на људске претње ослањају се на податке из софистицираних алата за праћење безбедности и аналитику како би им помогли у проактивном откривању и елиминисању претњи.
Њихов циљ је да користе решења и обавештајне податке/податке како би пронашли противнике који би могли да избегну нормалну одбрану коришћењем стратегија као што је живот ван земље.
Интуиција, етичко и стратешко размишљање и креативно решавање проблема су суштинске компоненте процеса сајбер лова.
Организације су у стању да брже и прецизније решавају претње користећи ове људске особине које „Ловци на сајбер претње” изнесите на сто уместо да се само ослањате на аутоматизоване системе за откривање претњи.
Ко су ловци на сајбер претње?
Ловци на сајбер претње додају људски додир пословној безбедности, побољшавајући аутоматизоване мере. Они су вешти професионалци за ИТ безбедност који идентификују, снимају, држе на оку и искорењују претње пре него што имају прилику да постану озбиљни проблеми.
Иако су повремено спољни аналитичари, они су идеално безбедносни аналитичари који су упознати са радом ИТ одељења компаније.
Ловци на претње претражују безбедносне информације. Они траже сумњиве обрасце понашања које је рачунар можда пропустио или су мислили да су обрађени, али нису, као и скривени малвер или нападачи.
Они такође помажу у закрпању безбедносног система предузећа како би се спречиле будуће појаве исте врсте упада.
Предуслови за лов на претње
Ловци на претње морају прво да изграде основну линију очекиваних или одобрених појава како би боље уочили аномалије како би лов на сајбер претње био ефикасан.
Ловци на претње тада могу да прођу кроз безбедносне податке и информације прикупљене технологијама за откривање претњи користећи ову основну и најновију обавештајну информацију о претњама.
Ове технологије могу укључивати управљано откривање и одговор (МДР), алати за безбедносну аналитику, Или решења за безбедносне информације и управљање догађајима (СИЕМ).
Ловци на претње могу да претражују ваше системе у потрази за потенцијалним опасностима, сумњивим активностима или покретачима који одступају од норме након што су наоружани подацима из различитих извора, укључујући податке о крајњој тачки, мрежи и облаку.
Ловци на претње могу да креирају хипотезе и спроведу опсежне мрежне истраге ако се пронађе претња или ако позната обавештајна информација о претњи укаже на нове могуће претње.
Ловци на претње траже информације током ових истрага како би утврдили да ли је претња штетна или бенигна или да ли је мрежа на одговарајући начин заштићена од нових сајбер претњи.
Лов на претње са проксијима
Ловци на претње могу пронаћи мноштво информација у записима веб проксија. Ови проксији функционишу као канали између сервера или уређаја који прима захтеве и уређаја који шаље захтев.
Уобичајени скуп података генерисаних од стране веб проксија може се користити за уочавање необичног или сумњивог понашања.
На пример, ловац на претње у организацији може да анализира информације о опасностима укључене у евиденцију веб проксија и открије сумњиве активности са корисничким агентима као што су цУРЛ и СхареПоинт локације.
Скрећу пажњу на проблем и откривају да су захтеви легитимни и потичу од ДевОпс тимова.
Да би испитали ове евиденције и пронашли злонамерне појединце у мешавини, ловци на претње користе различите протоколе и методологије. Веб проки дневники често нуде следеће детаље:
- Одредишна УРЛ адреса (име хоста)
- Одредишна ИП адреса
- ХТТП статус
- Категорија домена
- Протокол
- Одредишни порт
- усер агент
- Рекуест Метход
- Радња уређаја
- Тражени назив датотеке
- Trajanje
**И још!
Разлика између лова на претње и обавештајних података о претњи
Интелигенција претњи је збирка података о покушајима или успешним упадима које обично прикупљају и испитују аутоматизовани безбедносни системи који користе машинско учење и вештачку интелигенцију.
Ове информације се користе у потрази за претњама да би се извршила детаљна претрага злонамерних корисника на целом систему.
Другим речима, лов на претње почиње тамо где се завршава обавештајна информација о претњи. Продуктиван лов на претње такође може пронаћи опасности које још нису виђене у дивљини.
Индикатори претње се понекад користе као водећи или хипотеза у лову на претње. Виртуелни отисци прстију које је оставио злонамерни софтвер или нападач, чудна ИП адреса, пхисхинг е-поруке или други аномални мрежни саобраћај су примери индикатора претњи.
Линкови:
- Циберлаб Ревиев
- ЦиберИмпацт Ревиев
- Преглед ЦиберВиста ИТ обуке
- Najbolji partnerski programi za sajber bezbednost
Закључак: Шта је лов на претње 2024?
Уобичајена процедура откривања инцидената, реаговања и санације је снажно допуњена ловом на претње. Реална и практична стратегија за предузећа је да се ојачају против непредвиђених претњи.
Без обзира на то, надгледање евиденције проксија такође омогућава идентификацију корисника који можда краду веб локације. Они који само покушавају да заврше легитимне задатке наилазе на проблеме у таквој ситуацији.
Коришћењем неколико проксија, посебно оних који помажу прикривању њихове праве ИП адресе, корисници могу избећи да ловци на претње уоче њихове активности.
Такође, њихови дневники не подижу црвену заставу за ове ловце јер не постоји јединствена ИП адреса за све њихове активности.
За ово ће вам требати висококвалитетни проксији који изгледају легитимно за софтвер за лов на претње. Да одговоримо на ваше питање, софтвер за лов на претње је у основи програм који обавља протоколе и анализу за лов на претње.
Брзи линкови