Ano ang Threat Hunting 2024? [Kumpletong Gabay]

Huling na-update noong: Nobyembre 5, 2023 by

Ang pangangaso ng cyber threat ay isang proactive na paraan ng internet security kung saan hinahanap ng mga mangangaso ng pagbabanta mga panganib sa seguridad na maaaring nakatago sa loob ng network ng kumpanya.

Aktibong hinahanap ng cyber hunting ang mga dati nang hindi natukoy, hindi natukoy, o hindi na-remediate na mga banta na maaaring nakatakas sa mga automated na mekanismo ng pagtatanggol ng iyong network, kabaligtaran sa mas passive na cyber security na mga diskarte sa pangangaso tulad ng mga awtomatikong sistema ng pagtuklas ng pagbabanta.

Ano ang Threat Hunting

Ano ang Threat Hunting?

Ang pagkilos ng aktibong naghahanap mga banta sa cyber na lihim na hindi natukoy sa isang network ay kilala bilang threat hunting. Sinisiyasat ng pangangaso ng cyber threat ang iyong kapaligiran para sa mga malisyosong aktor na nakalampas sa iyong mga paunang hakbang sa seguridad ng endpoint.

Ang ilang mga panganib ay mas sopistikado at advanced, habang ang karamihan ay hindi makalampas sa mga sistema ng seguridad. Sa loob ng ilang linggo, maaaring manatiling hindi natukoy ang mga umaatake sa system at mga file habang dahan-dahang sumusulong sa pamamagitan ng network upang mangalap ng higit pang data.

Maaaring lumipas ang mga linggo o kahit na buwan sa panahon ng pamamaraang ito. Madali itong makaiwas sa pagtuklas mula sa mga tool at tauhan ng seguridad nang hindi aktibong nangangaso.

Pangangaso sa Banta

Bakit Mahalaga ang Pagbabanta sa Pangangaso?

Dahil ang mga sopistikadong pagbabanta ay maaaring makaiwas sa automated na cybersecurity, ang pangangaso ng pagbabanta ay mahalaga.

Kailangan mo pa ring mag-alala tungkol sa natitirang 20% ​​ng mga banta kahit na ang mga awtomatikong tool sa seguridad at tier 1 at 2 sentro ng pagpapatakbo ng seguridad (SOC) analysts ay dapat na kayang hawakan ang tungkol sa 80% ng mga ito.

Ang mga banta sa natitirang 20% ​​ay mas malamang na maging kumplikado at may kakayahang gumawa ng malaking pinsala.

Ang isang umaatake ay maaaring palihim na pumasok sa isang network at manatili doon sa loob ng maraming buwan habang tahimik silang nangangalap ng impormasyon, naghahanap ng mga sensitibong dokumento, o kumuha ng mga kredensyal sa pag-log in na magbibigay-daan sa kanila na gumala sa kapaligiran.

Maraming mga negosyo ang kulang sa mga sopistikadong kasanayan sa pag-detect na kinakailangan upang maiwasan ang mga advanced na patuloy na pagbabanta na manatili sa network kapag ang isang kalaban ay naging matagumpay sa pagtakas sa pagtuklas at ang isang pag-atake ay lumabag sa mga depensa ng isang organisasyon.

Ang pangangaso ng pagbabanta ay isang mahalagang elemento ng anumang diskarte sa pagtatanggol.

Mga Uri ng Panganib na Pangangaso

Ipinaliwanag ng opisyal na website ng IBM ang tatlong pangunahing uri ng pangangaso ng pagbabanta nang naaangkop. Ayon sa kanilang blog, ang pangangaso ng pagbabanta ay ang mga sumusunod na uri:

1. Structured na pangangaso

An indikasyon ng pag-atake (IoA) at mga taktika, pamamaraan, at pamamaraan ng umaatake (Mga TTP) nagsisilbing pundasyon ng isang sistematikong pangangaso.

Ang bawat pamamaril ay pinaplano at batay sa mga TTP ng mga aktor ng pagbabanta. Dahil dito, madalas na kinikilala ng mangangaso ang isang aktor ng pagbabanta bago magkaroon ng pagkakataon ang umaatake na guluhin ang kapaligiran. 

2. Hindi nakaayos na pangangaso

Ang isang ad hoc hunt ay sinisimulan batay sa isang trigger, isa sa marami mga tagapagpahiwatig ng kompromiso (IoC). Ang trigger na ito ay karaniwang ginagamit upang himukin ang isang mangangaso na maghanap mga pattern bago at pagkatapos ng pagtuklas.

Sa lawak na pinahihintulutan ang pagpapanatili ng data at mga dating konektadong pagkakasala, ang mangangaso ay maaaring magsagawa ng pag-aaral upang maitatag ang kanilang plano.

3. Situational o entity driven

Ang isang sitwasyong hypothesis ay maaaring gawin ng panloob na pagtatasa ng panganib ng organisasyon o sa pamamagitan ng pagsisiyasat ng mga uso at kahinaan na natatangi sa imprastraktura ng IT nito.

Ang data ng pag-atake na nakalap mula sa pangkalahatang publiko, na, kapag sinuri, ay nagpapakita ng mga pinakabagong TTP ng patuloy na mga banta sa cyber, kung saan nilikha ang mga lead na nakatuon sa entity. Maaaring i-scan ng threat hunter ang paligid para sa mga partikular na gawi na ito.

Paano Gumagana ang Pagbabanta sa Pangangaso?

Ang aspeto ng tao at ang napakalaking kakayahan sa pagpoproseso ng data ng isang solusyon sa software ay pinagsama upang epektibong mahuli ang mga banta sa cyber.

Ang mga human threat hunters ay umaasa sa data mula sa sopistikadong pagsubaybay sa seguridad at mga tool sa analytics upang tulungan sila sa aktibong pagtuklas at pag-aalis ng mga pagbabanta.

Ang kanilang layunin ay gumamit ng mga solusyon at katalinuhan/data upang makahanap ng mga kalaban na maaaring makatakas sa mga normal na depensa sa pamamagitan ng paggamit ng mga estratehiya tulad ng pamumuhay sa lupa.

Ang intuwisyon, etikal at madiskarteng pag-iisip, at malikhaing paglutas ng problema ay lahat ng mahahalagang bahagi ng proseso ng cyber hunting.

Nagagawa ng mga organisasyon na lutasin ang mga banta nang mas mabilis at mas tumpak sa pamamagitan ng paggamit ng mga katangiang ito ng tao na "Mga Mangangaso ng Cyber ​​Threat” dalhin sa talahanayan kumpara sa pag-asa lamang sa mga awtomatikong sistema ng pagtuklas ng pagbabanta.

Mga Mangangaso ng Cyber ​​Threat

Sino ang mga Cyber ​​Threat Hunters?

Ang Cyber ​​Threat Hunters ay nagdaragdag ng human touch sa seguridad ng negosyo, na nagpapahusay sa mga awtomatikong hakbang. Sila ay mga bihasang propesyonal sa seguridad ng IT na kumikilala, nagre-record, nagbabantay, at nag-aalis ng mga banta bago sila magkaroon ng pagkakataong maging seryosong problema.

Bagama't paminsan-minsan sila ay mga panlabas na analyst, sila ay mga analyst ng seguridad na may kaalaman tungkol sa mga gawain ng IT department ng kumpanya.

Sinisiyasat ng mga Threat Hunter ang impormasyon sa seguridad. Naghahanap sila ng mga kahina-hinalang pattern ng pag-uugali na maaaring napalampas ng isang computer o naisip na pinangangasiwaan ngunit hindi, pati na rin ang mga nakatagong malware o umaatake.

Tumutulong din ang mga ito sa pag-patch ng sistema ng seguridad ng negosyo upang maiwasan ang mga hinaharap na pangyayari ng parehong uri ng panghihimasok.

Ano ang Threat Hunting

Mga Kinakailangan Para sa Pangangaso ng Banta

Ang mga mangangaso ng pagbabanta ay dapat munang bumuo ng isang baseline ng mga inaasahang o naaprubahang mga pangyayari upang mas mahusay na makita ang mga anomalya para maging epektibo ang pangangaso sa banta sa cyber.

Ang mga mangangaso ng pagbabanta ay maaaring dumaan sa data ng seguridad at impormasyong nakalap sa pamamagitan ng mga teknolohiya sa pagtuklas ng pagbabanta gamit ang baseline na ito at ang pinakabagong intelligence intelligence.

Maaaring kabilang sa mga teknolohiyang ito pinamamahalaang pagtuklas at pagtugon (MDR), mga tool sa pagsusuri sa seguridad, O impormasyon sa seguridad at mga solusyon sa pamamahala ng kaganapan (SIEM).

Ang mga mangangaso ng pagbabanta ay maaaring maghanap sa iyong mga system para sa mga potensyal na panganib, makulimlim na aktibidad, o mga pag-trigger na lumalayo sa karaniwan pagkatapos na sila ay armado ng data mula sa iba't ibang pinagmulan, kabilang ang endpoint, network, at cloud data.

Ang mga mangangaso ng pagbabanta ay maaaring lumikha ng mga hypotheses at magsagawa ng malawak na pagsisiyasat sa network kung may nakitang banta o kung ang kilalang threat intelligence ay tumuturo sa mga bagong posibleng pagbabanta.

Ang mga mangangaso ng pagbabanta ay naghahanap ng impormasyon sa panahon ng mga pagsisiyasat na ito upang matukoy kung ang isang banta ay nakakapinsala o hindi maganda o kung ang network ay naaangkop na protektado mula sa mga umuusbong na banta sa cyber.

Mga Pamamaraan sa Pangangaso ng Banta

Sinimulan ng mga mangangaso ng pagbabanta ang kanilang mga pagsisiyasat sa pag-aakalang naroroon na ang mga kalaban sa system at naghahanap ng kakaibang pag-uugali na maaaring magturo sa pagkakaroon ng mga masasamang aktibidad.

Ang simula ng isang pagsisiyasat ay madalas na nahuhulog sa isa sa tatlong kategorya sa maagap na pangangaso ng pagbabanta.

Para sa layunin ng aktibong pagtatanggol sa mga sistema at impormasyon ng isang organisasyon, ang lahat ng tatlong estratehiya ay nagsasangkot ng pagsisikap na pinapagana ng tao na pinagsasama ang mga mapagkukunan ng pananakot ng pananakot sa makabagong teknolohiya sa seguridad.

1. Pagsisiyasat na batay sa hypothesis

Ang isang bagong panganib na natuklasan sa pamamagitan ng isang malawak na database ng crowdsourced na data ng pag-atake ay madalas na nagpapasiklab ng mga pagsisiyasat na batay sa hypothesis, na nagbibigay ng impormasyon sa mga pinakabagong diskarte, diskarte, at pamamaraang ginagamit ng mga umaatake (TTP).

Pagkatapos ay titingnan ng mga mangangaso ng pagbabanta upang makita kung ang mga natatanging aksyon ng umaatake ay naroroon sa kanilang sariling kapaligiran kapag may natukoy na bagong TTP.

2. Isang pagsisiyasat batay sa mga natukoy na Indicators of Attack o Indicators of Compromise

Gamit ang tactical threat intelligence, ang paraan ng pangangaso ng pagbabanta ay naglilista ng mga kilalang IOC at IOA na konektado sa mga bagong pagbabanta. Ang mga mangangaso ng pagbabanta ay maaaring gamitin ang mga ito bilang mga pag-trigger upang makahanap ng mga inaasahang lihim na pag-atake o patuloy na mapaminsalang aktibidad.

3. Mga advanced na pagsusuri sa analytics at machine learning

Ang ikatlong paraan ay nagmimina sa pamamagitan ng isang malaking dami ng data gamit ang machine learning at advanced na data analysis upang maghanap ng mga anomalya na maaaring tumuturo sa mga posibleng hindi kanais-nais na aktibidad.

Ang mga anomalyang ito ay nagiging mga lead sa pangangaso na sinusuri ng mga maalam na analyst upang makahanap ng mga lihim na panganib.

Pangangaso ng Banta Gamit ang mga Proxies

Maaaring makahanap ang mga mangangaso ng pagbabanta ng maraming impormasyon sa mga talaan ng web proxy. Ang mga proxy na ito ay gumagana bilang mga conduit sa pagitan ng server o device na tumatanggap ng mga kahilingan at ng device na nagpapadala ng kahilingan.

Ang isang karaniwang hanay ng data na nabuo ng mga web proxy ay maaaring gamitin upang makita ang hindi pangkaraniwang o kahina-hinalang gawi.

Halimbawa, maaaring suriin ng isang threat hunter sa isang organisasyon ang impormasyon ng panganib na kasama sa mga web proxy log at makatuklas ng kahina-hinalang aktibidad sa mga user agent tulad ng cURL at SharePoint na mga site.

Binibigyang pansin nila ang problema at natuklasan na ang mga kahilingan ay lehitimo at nagmula sa mga koponan ng DevOps.

Upang suriin ang mga log na ito at mahanap ang sinumang malisyosong indibidwal sa kumbinasyon, gumagamit ang mga mangangaso ng pagbabanta ng iba't ibang protocol at pamamaraan. Web proxy Ang mga log ay madalas na nag-aalok ng mga sumusunod na detalye:

  • Destination URL (Hostname)
  • IP ng patutunguhan
  • Katayuan ng HTTP
  • Kategorya ng Domain
  • Protokol
  • Destinasyon Port
  • Agent ng User
  • Paraan ng Kahilingan
  • Pagkilos ng Device
  • Hiniling na Pangalan ng File
  • Tagal

**At iba pa!

Paano Gumagana ang Threat Hunting Gamit ang Proxy Logs?

Pag-aralan natin kung paano tinutulungan ng mga web proxy log ang mga mangangaso na ito ngayong naiintindihan mo na ang pangangaso ng pagbabanta. Dapat gumamit ang mga analyst ng iba't ibang paraan upang maghanap ng mga kahinaan at malisyosong partido na nakikipag-ugnayan sa network dahil naglalaman ang mga web proxy log ng ilang piraso ng data.

1. Pagsusuri ng naharang na trapiko:

Mahalagang malaman kung ano ang nagbunsod sa user na ma-access ang isang partikular na website kahit na ito ay maaaring ipinagbabawal para sa mga user ng organisasyon. Ito ay maaaring mangahulugan na ang kanilang computer ay nahawaan.

2. Mga URL na may mga kahilingan sa IP:

Maaaring makita ng pagsasala na ito ang mga log na gumagana sa paligid ng mga paghihigpit sa seguridad ng DNS sa pamamagitan ng paggamit ng mga hardcoded na IP address.

3. Mga URL na may mga extension ng file:

Ginagawang nakikita ng filter na ito ang mga potensyal na mapanganib na URL na may mga extension ng file tulad ng.doc,.pdf, at .exe. Ang mga umaatake ay madalas na gumagamit ng mga doc o pdf na file na may macro functionality upang itanim ang malware sa isang makina o network.

4. Kilalang referrer URL na may hindi karaniwang URL:

Ang pagtukoy sa mga link ng phishing ay maaaring gawing mas madali sa pamamagitan ng pag-filter ng mga log na naglalaman ng mga sikat na referral domain at natatanging URL.

Pagkakaiba sa pagitan ng Threat Hunting at Threat Intelligence

Ang Threat Intelligence ay isang koleksyon ng data tungkol sa mga tinangka o matagumpay na panghihimasok na karaniwang kinokolekta at sinusuri ng mga automated na sistema ng seguridad gamit ang machine learning at artificial intelligence.

Ginagamit ang impormasyong ito sa pangangaso ng pagbabanta upang magsagawa ng masusing paghahanap sa buong system para sa mga malisyosong user.

Ang pangangaso ng pagbabanta, sa madaling salita, ay nagsisimula kung saan nagtatapos ang threat intelligence. Ang isang produktibong pangangaso ng pagbabanta ay maaari ding makahanap ng mga panganib na hindi pa nakikita sa ligaw.

Minsan ginagamit ang mga tagapagpahiwatig ng pagbabanta bilang lead o hypothesis sa pangangaso ng pagbabanta. Ang mga virtual na fingerprint na iniwan ng malware o isang umaatake, isang kakaibang IP address, mga email sa phishing, o iba pang maanomalyang trapiko sa network ay lahat ng mga halimbawa ng mga tagapagpahiwatig ng pagbabanta.

Quick Links:

Konklusyon: Ano ang Threat Hunting 2024? 

Ang karaniwang pamamaraan ng pagtuklas ng insidente, reaksyon, at remediation ay malakas na kinukumpleto ng pangangaso ng pagbabanta. Ang isang makatotohanan at praktikal na diskarte para sa mga negosyo ay upang palakasin ang kanilang sarili laban sa mga hindi inaasahang banta.

Gayunpaman, ginagawang posible rin ng pagsubaybay sa mga proxy log na matukoy ang mga user na maaaring nag-scrape ng mga website. Ang mga sinusubukan lamang na kumpletuhin ang mga lehitimong gawain ay nagkakaproblema sa ganoong sitwasyon.

Sa pamamagitan ng paggamit ng ilang mga proxy, lalo na ang mga tumutulong na itago ang kanilang tunay na IP address, maiiwasan ng mga user ang mga mangangaso ng banta na makita ang kanilang mga aktibidad.

Gayundin, ang kanilang mga log ay hindi nagtataas ng pulang bandila para sa mga mangangaso na ito dahil walang isang IP address para sa lahat ng kanilang mga aktibidad.

Para dito, kakailanganin mo ng mga de-kalidad na proxy na mukhang lehitimo sa threat-hunting software. Upang masagot ang iyong tanong, ang threat-hunting software ay karaniwang isang programa na nagsasagawa ng mga protocol at pagsusuri sa pangangaso ng pagbabanta.

Quick Links 

Kashish Babber
Ang may-akda na ito ay napatunayan sa BloggersIdeas.com

Si Kashish ay isang B.Com graduate, na kasalukuyang sumusunod sa kanyang hilig na matuto at magsulat tungkol sa SEO at blogging. Sa bawat bagong pag-update ng Google algorithm, sinisisid niya ang mga detalye. Palagi siyang sabik na matuto at gustong tuklasin ang bawat twist at turn ng mga pag-update ng algorithm ng Google, na nauunawaan kung paano gumagana ang mga ito. Ang kanyang sigasig para sa mga paksang ito ay makikita sa pamamagitan ng kanyang pagsusulat, na ginagawa ang kanyang mga insight na parehong nagbibigay-kaalaman at nakakaengganyo para sa sinumang interesado sa patuloy na umuusbong na tanawin ng search engine optimization at ang sining ng pag-blog.

Pagbubunyag ng kaakibat: Sa ganap na transparency – ang ilan sa mga link sa aming website ay mga affiliate na link, kung gagamitin mo ang mga ito para bumili, kikita kami ng komisyon nang walang karagdagang gastos para sa iyo (wala kahit ano pa man!).

Kaugnay na Post

Mag-iwan ng komento