Полювання за кіберзагрозами - це a проактивний метод безпеки в Інтернеті в якому мисливці шукають загрозу загрози безпеці це може бути приховані в мережі компанії.
Кіберполювання активно шукає раніше невиявлені, неідентифіковані або невиправлені загрози, які могли вислизати від автоматизованих захисних механізмів вашої мережі, на відміну від більш пасивних методів полювання за кібербезпекою, таких як автоматизовані системи виявлення загроз.
Що таке полювання на загрози?
Акт активного пошуку кіберзагрози, які непомітно ховаються в мережі відомий як полювання на загрози. Полювання за кіберзагрозами шукає у вашому середовищі зловмисників, які подолали початкові заходи безпеки кінцевої точки.
Деякі небезпеки є більш складними та просунутими, тоді як більшість не можуть пройти повз системи безпеки. Тижнями зловмисники можуть залишатися непоміченими в системі та файлах, повільно просуваючись мережею, щоб зібрати більше даних.
Під час цієї процедури можуть пройти тижні або навіть місяці. Він може легко уникнути виявлення засобами безпеки та персоналом без активного полювання.
Чому пошук загроз важливий?
Оскільки складні загрози можуть уникнути автоматизованої кібербезпеки, полювання на загрози має вирішальне значення.
Вам все одно потрібно турбуватися про решту 20% загроз, навіть якщо автоматизовані інструменти безпеки та рівень 1 і 2 операційний центр безпеки (SOC) аналітики повинні вміти впоратися з 80% їх.
Загрози в решті 20% швидше за все є складними та здатними завдати великої шкоди.
Зловмисник може приховано увійти в мережу і залишатися там місяцями, мовчки збираючи інформацію, шукаючи конфіденційні документи або отримуючи облікові дані для входу, які дозволять йому переміщатися по середовищу.
Багатьом підприємствам не вистачає складних навичок виявлення, необхідних для запобігання загрозам, які постійно залишаються в мережі, коли зловмиснику вдалося уникнути виявлення, а напад порушив захист організації.
Таким чином, пошук загроз є ключовим елементом будь-якої оборонної стратегії.
Типи полювання на загрозу
На офіційному веб-сайті IBM досить доречно пояснено три основні типи пошуку загроз. Відповідно до їхнього блогу, пошук загроз буває наступних типів:
1. Структуроване полювання
An ознака атаки (IoA) а також тактику, методи та процедури зловмисника (TTP) служить основою систематичного полювання.
Кожне полювання планується та базується на TTP учасників загрози. Через це мисливець часто розпізнає загрозу до того, як зловмисник матиме шанс порушити середовище.
2. Неструктуроване полювання
Спеціальне полювання ініціюється на основі тригера, одного з багатьох індикатори компромісу (IoC). Цей тригер зазвичай використовується, щоб спонукати мисливця шукати моделі до і після виявлення.
Наскільки це дозволяє збереження даних і пов’язані раніше злочини, мисливець може провести дослідження, щоб скласти свій план.
3. Ситуація або сутність
Ситуаційна гіпотеза може бути створена за допомогою внутрішньої оцінки ризиків організації або дослідження тенденцій і слабких місць, унікальних для її ІТ-інфраструктури.
Дані про атаки, зібрані від широкого загалу, які під час перегляду показують найновіші TTP поточних кіберзагроз, ось де створюються орієнтовані на об’єкти потенційні клієнти. Тоді мисливець за загрозами може просканувати оточення на предмет цих специфічних дій.
Як працює пошук загроз?
Людський аспект і потужні можливості програмного рішення для обробки даних поєднуються, щоб ефективно виявляти кіберзагрози.
Людські мисливці за загрозами покладаються на дані складних інструментів моніторингу безпеки та аналітики, щоб допомогти їм у проактивному виявленні та усуненні загроз.
Їх мета полягає в тому, щоб використовувати рішення та розвідувальні дані/дані, щоб знайти ворогів, які можуть уникнути нормального захисту, використовуючи такі стратегії, як життя на землі.
Інтуїція, етичне та стратегічне мислення та креативне вирішення проблем — усе це неодмінні компоненти процесу кіберполювання.
Організації можуть швидше й точніше вирішувати загрози, використовуючи ці людські риси, які «Мисливці за кіберзагрозами», а не просто покладатися на автоматизовані системи виявлення загроз.
Хто такі мисливці за кіберзагрозами?
Мисливці за кіберзагрозами додають гуманності до безпеки бізнесу, посилюючи автоматизовані заходи. Вони є кваліфікованими професіоналами з ІТ-безпеки, які виявляють, записують, стежать за небезпекою та усувають загрози, перш ніж у них з’явиться шанс стати серйозною проблемою.
Хоча інколи вони є зовнішніми аналітиками, в ідеалі вони є аналітиками безпеки, які добре знаються на роботі ІТ-відділу компанії.
Мисливці за загрозами перевіряють інформацію безпеки. Вони шукають підозрілі моделі поведінки, які комп’ютер міг пропустити або вважав, що вони оброблені, але не оброблені, а також приховане шкідливе програмне забезпечення або зловмисники.
Вони також допомагають виправити систему безпеки підприємства, щоб запобігти повторенню подібних вторгнень у майбутньому.
Передумови для полювання на загрози
Мисливці за загрозами повинні спочатку створити базову лінію очікуваних або схвалених випадків, щоб краще виявляти аномалії, щоб полювання на кіберзагрози було ефективним.
Потім шукачі загроз можуть переглядати дані безпеки та інформацію, зібрану технологіями виявлення загроз, використовуючи цей базовий рівень і найновішу інформацію про загрози.
Ці технології можуть включати кероване виявлення та реагування (MDR), засоби аналітики безпекиабо рішення для управління інформацією та подіями безпеки (SIEM).
Мисливці за загрозами можуть шукати у ваших системах потенційні небезпеки, тіньову діяльність або тригери, які відхиляються від норми, після того, як вони озброєні даними з різних джерел, включаючи дані кінцевих точок, мережі та хмари.
Мисливці за загрозами можуть створювати гіпотези та проводити масштабні мережеві дослідження, якщо загрозу буде виявлено або якщо відомі дані про загрози вказують на нові можливі загрози.
Мисливці за загрозами шукають інформацію під час цих розслідувань, щоб визначити, чи є загроза шкідливою чи доброякісною, чи належним чином захищена мережа від нових кіберзагроз.
Методології полювання на загрози
Мисливці за загрозами починають свої розслідування, припускаючи, що противники вже присутні в системі, і шукають дивну поведінку, яка може вказувати на наявність ворожих дій.
Цей початок розслідування часто відноситься до однієї з трьох категорій проактивного пошуку загроз.
З метою проактивного захисту систем та інформації організації всі три стратегії передбачають зусилля людини, які поєднують ресурси аналізу загроз із передовими технологіями безпеки.
1. Дослідження на основі гіпотез
Нова небезпека, яку було виявлено через величезну базу даних краудсорсингових даних про атаки, часто викликає розслідування на основі гіпотез, надаючи інформацію про найновіші стратегії, методи та процедури, які використовували зловмисники (TTP).
Після виявлення нового TTP шукачі загроз перевірять, чи унікальні дії зловмисника присутні в його власному середовищі.
2. Розслідування на основі ідентифікованих ознак атаки або ознак компрометації
Використовуючи тактичну розвідку про загрози, цей метод пошуку загроз створює списки відомих IOC та IOA, пов’язаних із новими загрозами. Мисливці за загрозами потім можуть використовувати їх як тригери для виявлення потенційних прихованих атак або поточних шкідливих дій.
3. Розширена аналітика та дослідження машинного навчання
Третій метод досліджує величезну кількість даних за допомогою машинного навчання та розширеного аналізу даних, щоб знайти аномалії, які можуть вказувати на можливу ворожу діяльність.
Ці аномалії стають пошуковими слідами, які досліджують досвідчені аналітики, щоб знайти приховані небезпеки.
Полювання на загрози за допомогою проксі
Мисливці за загрозами можуть знайти велику кількість інформації в записах веб-проксі. Ці проксі функціонують як канали між сервером або пристроєм, який отримує запити, і пристроєм, який надсилає запит.
Звичайний набір даних, створений веб-проксі, можна використовувати для виявлення незвичайної або підозрілої поведінки.
Наприклад, мисливець за загрозами в організації може проаналізувати інформацію про небезпеку, включену в журнали веб-проксі, і виявити підозрілу активність із агентами користувача, такими як сайти cURL і SharePoint.
Вони привертають увагу до проблеми та виявляють, що запити є законними та походять від команд DevOps.
Щоб перевірити ці журнали та знайти серед них зловмисників, мисливці за загрозами використовують різноманітні протоколи та методології. Веб-проксі журнали часто містять такі відомості:
- Цільова URL-адреса (ім’я хоста)
- IP-адреса призначення
- Статус HTTP
- Категорія домену
- протокол
- Порт призначення
- агент користувача
- Метод запиту
- Дія пристрою
- Запитувана назва файлу
- Тривалість
**І більше!
Як працює пошук загроз за допомогою журналів проксі?
Давайте вивчимо, як журнали веб-проксі допомагають цим мисливцям тепер, коли ви розумієте пошук загроз. Аналітики повинні використовувати різні способи пошуку вразливостей і зловмисників, які взаємодіють з мережею, оскільки журнали веб-проксі містять кілька фрагментів даних.
1. Перегляд заблокованого трафіку:
Важливо з’ясувати, що спонукало користувача зайти на певний веб-сайт, навіть якщо він міг бути забороненим для користувачів організації. Це може означати, що їхній комп’ютер заражено.
2. URL-адреси з IP-запитами:
Ця фільтрація може виявити журнали, які обходять обмеження безпеки DNS за допомогою жорстко закодованих IP-адрес.
3. URL-адреси з розширеннями файлів:
Цей фільтр робить видимими потенційно небезпечні URL-адреси з такими розширеннями, як .doc, .pdf і .exe. Зловмисники часто використовують файли doc або pdf із функціями макросів, щоб імплантувати зловмисне програмне забезпечення на машину чи мережу.
4. Відома URL-адреса реферера з незвичайною URL-адресою:
Виявлення фішингових посилань можна полегшити, відфільтрувавши журнали, які містять популярні домени рефералів і характерні URL-адреси.
Різниця між пошуком загроз і аналізом загроз
Інтелектуальні дані про загрози – це набір даних про спроби або успішні вторгнення, які зазвичай збираються та перевіряються автоматизованими системами безпеки за допомогою машинного навчання та штучного інтелекту.
Ця інформація використовується під час полювання на загрози для проведення ретельного загальносистемного пошуку зловмисних користувачів.
Іншими словами, полювання на загрози починається там, де закінчується розвідка про загрози. Продуктивне полювання на загрози також може виявити небезпеки, яких ще не бачили в дикій природі.
Індикатори загрози іноді використовуються як орієнтир або гіпотеза під час пошуку загроз. Віртуальні відбитки пальців, залишені зловмисним програмним забезпеченням або зловмисником, дивна IP-адреса, фішингові електронні листи чи інший аномальний мережевий трафік – усе це приклади індикаторів загрози.
Швидкі посилання:
- Огляд Cyberlab
- Огляд CyberImpact
- Огляд ІТ-тренінгу CyberVista
- Найкращі партнерські програми з кібербезпеки
Висновок: що таке полювання на загрози 2024?
Звичайна процедура виявлення інцидентів, реагування та усунення суттєво доповнюється пошуком загроз. Реалістичною та практичною стратегією для бізнесу є захист від непередбачених загроз.
Тим не менш, моніторинг журналів проксі також дає змогу ідентифікувати користувачів, які можуть сканувати веб-сайти. Ті, хто просто намагається виконати законні завдання, стикаються з проблемами в такій ситуації.
Використовуючи кілька проксі-серверів, зокрема ті, які допомагають приховати свою справжню IP-адресу, користувачі можуть уникнути виявлення діяльності мисливців за загрозами.
Крім того, їхні журнали не викликають хвилювання для цих мисливців, оскільки немає єдиної IP-адреси для всіх їхніх дій.
Для цього вам знадобляться високоякісні проксі-сервери, які здаються легітимними програмному забезпеченню для пошуку загроз. Щоб відповісти на ваше запитання, програмне забезпечення для пошуку загроз — це, в основному, програма, яка виконує протоколи пошуку загроз та аналіз.
Швидкі посилання
