Полювання за кіберзагрозами - це a проактивний метод безпеки в Інтернеті в якому мисливці шукають загрозу загрози безпеці це може бути приховані в мережі компанії.
Кіберполювання активно шукає раніше невиявлені, неідентифіковані або невиправлені загрози, які могли вислизати від автоматизованих захисних механізмів вашої мережі, на відміну від більш пасивних методів полювання за кібербезпекою, таких як автоматизовані системи виявлення загроз.
Що таке полювання на загрози?
Акт активного пошуку кіберзагрози, які непомітно ховаються в мережі відомий як полювання на загрози. Полювання за кіберзагрозами шукає у вашому середовищі зловмисників, які подолали початкові заходи безпеки кінцевої точки.
Деякі небезпеки є більш складними та просунутими, тоді як більшість не можуть пройти повз системи безпеки. Тижнями зловмисники можуть залишатися непоміченими в системі та файлах, повільно просуваючись мережею, щоб зібрати більше даних.
Під час цієї процедури можуть пройти тижні або навіть місяці. Він може легко уникнути виявлення засобами безпеки та персоналом без активного полювання.
Чому пошук загроз важливий?
Оскільки складні загрози можуть уникнути автоматизованої кібербезпеки, полювання на загрози має вирішальне значення.
Вам все одно потрібно турбуватися про решту 20% загроз, навіть якщо автоматизовані інструменти безпеки та рівень 1 і 2 операційний центр безпеки (SOC) аналітики повинні вміти впоратися з 80% їх.
Загрози в решті 20% швидше за все є складними та здатними завдати великої шкоди.
Зловмисник може приховано увійти в мережу і залишатися там місяцями, мовчки збираючи інформацію, шукаючи конфіденційні документи або отримуючи облікові дані для входу, які дозволять йому переміщатися по середовищу.
Багатьом підприємствам не вистачає складних навичок виявлення, необхідних для запобігання загрозам, які постійно залишаються в мережі, коли зловмиснику вдалося уникнути виявлення, а напад порушив захист організації.
Таким чином, пошук загроз є ключовим елементом будь-якої оборонної стратегії.
Як працює пошук загроз?
Людський аспект і потужні можливості програмного рішення для обробки даних поєднуються, щоб ефективно виявляти кіберзагрози.
Людські мисливці за загрозами покладаються на дані складних інструментів моніторингу безпеки та аналітики, щоб допомогти їм у проактивному виявленні та усуненні загроз.
Їх мета полягає в тому, щоб використовувати рішення та розвідувальні дані/дані, щоб знайти ворогів, які можуть уникнути нормального захисту, використовуючи такі стратегії, як життя на землі.
Інтуїція, етичне та стратегічне мислення та креативне вирішення проблем — усе це неодмінні компоненти процесу кіберполювання.
Організації можуть швидше й точніше вирішувати загрози, використовуючи ці людські риси, які «Мисливці за кіберзагрозами», а не просто покладатися на автоматизовані системи виявлення загроз.
Хто такі мисливці за кіберзагрозами?
Мисливці за кіберзагрозами додають гуманності до безпеки бізнесу, посилюючи автоматизовані заходи. Вони є кваліфікованими професіоналами з ІТ-безпеки, які виявляють, записують, стежать за небезпекою та усувають загрози, перш ніж у них з’явиться шанс стати серйозною проблемою.
Хоча інколи вони є зовнішніми аналітиками, в ідеалі вони є аналітиками безпеки, які добре знаються на роботі ІТ-відділу компанії.
Мисливці за загрозами перевіряють інформацію безпеки. Вони шукають підозрілі моделі поведінки, які комп’ютер міг пропустити або вважав, що вони оброблені, але не оброблені, а також приховане шкідливе програмне забезпечення або зловмисники.
Вони також допомагають виправити систему безпеки підприємства, щоб запобігти повторенню подібних вторгнень у майбутньому.
Передумови для полювання на загрози
Мисливці за загрозами повинні спочатку створити базову лінію очікуваних або схвалених випадків, щоб краще виявляти аномалії, щоб полювання на кіберзагрози було ефективним.
Потім шукачі загроз можуть переглядати дані безпеки та інформацію, зібрану технологіями виявлення загроз, використовуючи цей базовий рівень і найновішу інформацію про загрози.
Ці технології можуть включати кероване виявлення та реагування (MDR), засоби аналітики безпекиабо рішення для управління інформацією та подіями безпеки (SIEM).
Мисливці за загрозами можуть шукати у ваших системах потенційні небезпеки, тіньову діяльність або тригери, які відхиляються від норми, після того, як вони озброєні даними з різних джерел, включаючи дані кінцевих точок, мережі та хмари.
Мисливці за загрозами можуть створювати гіпотези та проводити масштабні мережеві дослідження, якщо загрозу буде виявлено або якщо відомі дані про загрози вказують на нові можливі загрози.
Мисливці за загрозами шукають інформацію під час цих розслідувань, щоб визначити, чи є загроза шкідливою чи доброякісною, чи належним чином захищена мережа від нових кіберзагроз.
Полювання на загрози за допомогою проксі
Мисливці за загрозами можуть знайти велику кількість інформації в записах веб-проксі. Ці проксі функціонують як канали між сервером або пристроєм, який отримує запити, і пристроєм, який надсилає запит.
Звичайний набір даних, створений веб-проксі, можна використовувати для виявлення незвичайної або підозрілої поведінки.
Наприклад, мисливець за загрозами в організації може проаналізувати інформацію про небезпеку, включену в журнали веб-проксі, і виявити підозрілу активність із агентами користувача, такими як сайти cURL і SharePoint.
Вони привертають увагу до проблеми та виявляють, що запити є законними та походять від команд DevOps.
Щоб перевірити ці журнали та знайти серед них зловмисників, мисливці за загрозами використовують різноманітні протоколи та методології. Веб-проксі журнали часто містять такі відомості:
- Цільова URL-адреса (ім’я хоста)
- IP-адреса призначення
- Статус HTTP
- Категорія домену
- протокол
- Порт призначення
- агент користувача
- Метод запиту
- Дія пристрою
- Запитувана назва файлу
- Тривалість
**І більше!
Різниця між пошуком загроз і аналізом загроз
Інтелектуальні дані про загрози – це набір даних про спроби або успішні вторгнення, які зазвичай збираються та перевіряються автоматизованими системами безпеки за допомогою машинного навчання та штучного інтелекту.
Ця інформація використовується під час полювання на загрози для проведення ретельного загальносистемного пошуку зловмисних користувачів.
Іншими словами, полювання на загрози починається там, де закінчується розвідка про загрози. Продуктивне полювання на загрози також може виявити небезпеки, яких ще не бачили в дикій природі.
Індикатори загрози іноді використовуються як орієнтир або гіпотеза під час пошуку загроз. Віртуальні відбитки пальців, залишені зловмисним програмним забезпеченням або зловмисником, дивна IP-адреса, фішингові електронні листи чи інший аномальний мережевий трафік – усе це приклади індикаторів загрози.
Швидкі посилання:
- Огляд Cyberlab
- Огляд CyberImpact
- Огляд ІТ-тренінгу CyberVista
- Найкращі партнерські програми з кібербезпеки
Висновок: що таке полювання на загрози 2024?
Звичайна процедура виявлення інцидентів, реагування та усунення суттєво доповнюється пошуком загроз. Реалістичною та практичною стратегією для бізнесу є захист від непередбачених загроз.
Тим не менш, моніторинг журналів проксі також дає змогу ідентифікувати користувачів, які можуть сканувати веб-сайти. Ті, хто просто намагається виконати законні завдання, стикаються з проблемами в такій ситуації.
Використовуючи кілька проксі-серверів, зокрема ті, які допомагають приховати свою справжню IP-адресу, користувачі можуть уникнути виявлення діяльності мисливців за загрозами.
Крім того, їхні журнали не викликають хвилювання для цих мисливців, оскільки немає єдиної IP-адреси для всіх їхніх дій.
Для цього вам знадобляться високоякісні проксі-сервери, які здаються легітимними програмному забезпеченню для пошуку загроз. Щоб відповісти на ваше запитання, програмне забезпечення для пошуку загроз — це, в основному, програма, яка виконує протоколи пошуку загроз та аналіз.
Швидкі посилання