Популярна поговорка в пространството на киберсигурността е, че ако има достатъчно време, всяка система може да бъде компрометирана. Колкото и страшно да звучи, изявлението подчертава истинската природа на киберсигурността.
Дори и най-добрите мерки за сигурност не са сигурни. Заплахите непрекъснато се развиват и се формулират нови начини за атаки. Безопасно е да се предположи, че атаката срещу системата е неизбежна.
Следователно, всяка организация, която държи на защитата на сигурността на своите системи, трябва да инвестира в идентифицирането на заплахи, дори преди да се случи атака. Чрез ранно откриване на заплахи организациите могат бързо да приложат мерки за контрол на щетите, за да минимизират риска и въздействието на атаката и дори да спрат нападателите, преди да разположат пълномащабни атаки.
В допълнение към спирането на атаки, откриването на заплахи може да отстрани злонамерените участници, които могат да откраднат данни, да съберат информация, която да се използва при бъдещи атаки или дори да оставят вратички, които могат да бъдат използвани в бъдеще.
Добър начин за откриване на заплахи и уязвимости, преди да бъдат използвани от злонамерени участници, е чрез лов на заплахи.
Съдържание
Лов на заплахи
Всеки път, когато възникне кибератака, като нарушение на данните, атака на зловреден софтуер или дори атака за отказ на услуга, това често е резултат от кибератаки, които дебнат в системата за известно време. Това може да продължи от няколко дни до седмици или дори месеци.
Колкото повече време нападателите прекарват незабелязани в мрежата, толкова повече щети могат да причинят. Следователно е необходимо да се отсеят нападателите, които могат да се крият в мрежата без откриване, преди действително да започнат атака. Тук идва ловът на заплахи.
Ловът на заплахи е проактивна мярка за киберсигурност, при която експертите по сигурността извършват задълбочено търсене в мрежа, за да открият и изкоренят потенциални заплахи или уязвимости, които може да са избегнали съществуващите мерки за сигурност.
За разлика от пасивните мерки за киберсигурност, като автоматично откриване на заплахи, търсенето на заплахи е активен процес, включващ задълбочено търсене на мрежови крайни точки и данни, съхранявани в мрежа, за откриване на злонамерени или подозрителни дейности, които могат да показват заплаха, дебнеща в мрежата.
Търсенето на заплахи надхвърля търсенето на това, за което е известно, че също отстранява нови и неизвестни заплахи в мрежа или заплахи, които биха могли да избегнат защитите на мрежата и все още не са отстранени.
Чрез внедряването на ефективен лов на заплахи организациите могат да намерят и спрат злонамерени участници, преди да изпълнят своите атаки, като по този начин намалят нанесените щети и осигурят своите системи.
Как работи ловът на заплахи
За да бъде едновременно успешен и ефективен, ловът на заплахи разчита в голяма степен на интуицията, стратегическото, етичното, критичното мислене и уменията за решаване на проблеми, притежавани от експертите по киберсигурност. Тези уникални човешки умения допълват това, което може да се направи чрез автоматизирани системи за сигурност.
За да проведат лов на заплахи, експертите по сигурността започват с дефиниране и разбиране на обхвата на мрежите и системите, където ще извършват лов на заплахи. След това всички съответни данни, като регистрационни файлове и данни за трафика, се събират и анализират.
Вътрешните експерти по сигурността са от решаващо значение в тези начални стъпки, тъй като те обикновено имат ясна представа за мрежите и системите на място.
Събраните данни за сигурност се анализират с помощта на различни техники за идентифициране на аномалии, скрит злонамерен софтуер или нападатели, подозрителна или рискова дейност и заплахи, които системите за сигурност може да са маркирали като разрешени, но всъщност не са разрешени.
В случай, че бъде открита заплаха, тя се проучва и коригира, за да се предотврати експлоатация от злонамерени участници. В случай на откриване на злонамерени участници, те се изтриват от системата и се прилагат мерки за допълнителна защита и предотвратяване на компрометиране на системата.
Търсенето на заплахи предоставя на организациите възможност да научат за своите мерки за сигурност и да подобрят своите системи, за да ги защитят по-добре и да предотвратят бъдещи атаки.
Значение на лова на заплахи
Някои от предимствата на лова на заплахи включват:
Намалете щетите от пълна кибератака
Преследването на заплахи има предимството да открива и спира кибератаки, които са пробили система, преди да могат да съберат достатъчно чувствителни данни, за да извършат по-смъртоносна атака.
Спирането на нападателите веднага намалява щетите, които биха били понесени поради нарушение на данните. С проактивния характер на лова на заплахи организациите могат да реагират на атаки много по-бързо и по този начин да намалят риска и въздействието на кибератаките.
Намалете фалшивите положителни резултати
При използване на автоматизирани инструменти за киберсигурност, които са конфигурирани да откриват и идентифицират заплахи с помощта на набор от правила, възникват случаи, когато те предизвикват предупреждения, когато няма реални заплахи. Това може да доведе до прилагането на контрамерки срещу заплахи, които не съществуват.
Търсенето на заплахи, което се ръководи от човека, елиминира фалшивите положителни резултати, тъй като експертите по сигурността могат да извършат задълбочен анализ и да направят експертни преценки за истинското естество на възприетата заплаха. Това елиминира фалшивите положителни резултати.
Помогнете на експертите по сигурността да разберат системите на компанията
Предизвикателство, което възниква след инсталирането на системи за сигурност, е проверката дали те са ефективни или не. Търсенето на заплахи може да отговори на този въпрос, тъй като експертите по сигурността провеждат задълбочени разследвания и анализи, за да открият и елиминират заплахи, които може да са избягали от инсталираните мерки за сигурност.
Това също така има предимството да позволи на вътрешните експерти по сигурността да придобият по-добро разбиране на системите на място, как работят и как да ги защитят по-добре.
Поддържа екипите по сигурността актуални
Провеждането на лов на заплахи включва използването на най-новата налична технология за откриване и смекчаване на заплахи и уязвимости, преди да бъдат използвани.
Това е от полза за поддържането на екипа по сигурността на организацията в крак със заплахите и активното им ангажиране в откриването на неизвестни уязвимости, които могат да бъдат използвани.
Подобна проактивна дейност води до по-добре подготвени екипи за сигурност, които са информирани за нови и възникващи заплахи, като по този начин не позволяват да бъдат изненадани от нападатели.
Съкращава времето за разследване
Редовното търсене на заплахи създава банка от знания, която може да се използва за ускоряване на процеса на разследване на атака, в случай че се случи.
Търсенето на заплахи включва задълбочено проучване и анализ на системи и уязвимости, които са открити. Това от своя страна води до натрупване на знания за системата и нейната сигурност.
Следователно, в случай на атака, разследването може да използва събраните данни от предишни ловове на заплахи, за да направи процеса на разследване много по-бърз, което позволява на организацията да реагира на атака по-добре и по-бързо.
Организациите могат да извлекат огромна полза от редовното преследване на заплахи.
Лов на заплахи срещу разузнаване на заплахи
Въпреки че са свързани и често се използват заедно за подобряване на киберсигурността на една организация, разузнаването на заплахи и ловът на заплахи са различни понятия.
Разузнаването на заплахите включва събиране и анализиране на данни за възникващи и съществуващи кибернетични заплахи, за да се разберат тактиките, техниките, процедурите, мотивите, целите и поведението на участниците в заплахите зад киберзаплахите и атаките.
След това тази информация се споделя с организации, за да им помогне при откриването, предотвратяването и смекчаването на кибератаки.
От друга страна, търсенето на заплахи е проактивен процес на търсене на потенциални заплахи и уязвимости, които може да съществуват в системата, за да се справят с тях, преди да бъдат използвани от участниците в заплахите. Този процес се ръководи от експерти по сигурността. Информацията за разузнаване на заплахи се използва от експерти по сигурността, които провеждат лов на заплахи.
Видове лов на заплахи
Има три основни вида лов на заплахи. Това включва:
#1. Структуриран лов
Това е лов на заплахи въз основа на индикатор за атака (IoA). Индикатор за атака е доказателство, че системата в момента е достъпна от неоторизирани участници. IoA възниква преди нарушение на данните.
Следователно структурираният лов е съобразен с тактиките, техниките и процедурите (TTP), които се използват от нападателя с цел идентифициране на нападателя, това, което се опитват да постигнат, и реагиране, преди да причини щети.
#2. Неструктуриран лов
Това е вид търсене на заплахи, извършвано въз основа на индикатор за компрометиране (IoC). Индикатор за компрометиране е доказателство, че е настъпил пробив в сигурността и системата е била достъпвана от неоторизирани участници в миналото. При този тип търсене на заплахи експертите по сигурността търсят модели в цялата мрежа преди и след като бъде идентифициран индикатор за компрометиране.
#3. Ситуационно или управлявано от субект
Това са преследвания на заплахи въз основа на вътрешната оценка на риска на дадена организация за нейните системи и откритите уязвимости. Експертите по сигурността използват външни налични и най-нови данни за атака, за да търсят подобни модели и поведение на атака в дадена система.
Ключови елементи на лов на заплахи
Ефективното търсене на заплахи включва задълбочено събиране на данни и анализ за идентифициране на подозрително поведение и модели, които могат да показват потенциални заплахи в системата.
След като такива дейности бъдат открити в системата, те трябва да бъдат напълно проучени и разбрани чрез използването на усъвършенствани инструменти за разследване на сигурността.
След това разследването трябва да доведе до действащи стратегии, които могат да бъдат приложени за разрешаване на откритите уязвимости и посредничество при заплахите, преди те да могат да бъдат използвани от нападателите.
Последният ключов компонент на процеса е докладване на констатациите от търсенето на заплахи и предоставяне на препоръки, които могат да бъдат приложени за по-добра защита на системите на организацията.
Стъпки в лов на заплахи
Източник на изображението: Microsoft
Ефективното търсене на заплахи включва следните стъпки:
#1. Формулиране на хипотеза
Търсенето на заплахи има за цел да разкрие неизвестни заплахи или уязвимости, които могат да бъдат използвани от атаки. Тъй като ловът на заплахи има за цел да открие неизвестното, първата стъпка е формулирането на хипотеза въз основа на състоянието на сигурността и познаването на уязвимостите в системата на организацията.
Тази хипотеза дава на лова на заплахи опора и основа, върху която могат да се положат стратегии за цялото упражнение.
#2. Събиране и анализ на данни
След като хипотезата бъде формулирана, следващата стъпка е събирането на данни и информация за заплахи от мрежови регистрационни файлове, доклади за информация за заплахи до исторически данни за атаки, с цел доказване или отхвърляне на хипотезата. Могат да се използват специализирани инструменти за събиране и анализ на данни.
#3. Идентифицирайте тригерите
Тригерите са подозрителни случаи, които изискват по-нататъшно и задълбочено разследване. Информацията, получена от събирането и анализа на данни, може да докаже първоначалната хипотеза, като например съществуването на неоторизирани участници в мрежа.
По време на анализа на събраните данни може да се разкрие подозрително поведение в системата. Тези подозрителни дейности са тригери, които трябва да бъдат допълнително проучени.
#4. Разследване
След като тригерите бъдат разкрити в системата, те се изследват, за да се разбере пълното естество на съществуващия риск, как може да се е случил инцидентът, мотивът на нападателите и потенциалното въздействие на атаката. Резултатът от този етап на разследване информира за мерките, които ще бъдат въведени за разрешаване на непокритите рискове.
#5. Резолюция
След като заплахата бъде напълно проучена и разбрана, се прилагат стратегии за разрешаване на риска, предотвратяване на бъдещи атаки и подобряване на сигурността на съществуващите системи за справяне с новооткритите уязвимости или техники, които могат да бъдат използвани от нападателите.
След като всички стъпки са изпълнени, упражнението се повтаря, за да се потърсят повече уязвимости и да се осигурят по-добре системите.
Предизвикателства при лов на заплахи
Някои от основните предизвикателства, които възникват при лов на заплахи, включват:
Липса на квалифициран персонал
Търсенето на заплахи е дейност по сигурността, управлявана от човека, и по този начин нейната ефективност е силно обвързана с уменията и опита на ловците на заплахи, които извършват дейността.
С повече опит и умения ловците на заплахи могат да идентифицират уязвимости или заплахи, които пропускат традиционните системи за сигурност или друг персонал по сигурността. Набирането и задържането на експерти ловци на заплахи е както скъпо, така и предизвикателство за организациите.
Трудност при идентифициране на неизвестни заплахи
Ловът на заплахи е много труден за провеждане, защото изисква идентифициране на заплахи, които са избягали от традиционните системи за сигурност. Следователно тези заплахи нямат известни подписи или модели за лесно идентифициране, което прави всичко много трудно.
Събиране на изчерпателни данни
Търсенето на заплахи разчита до голяма степен на събирането на големи количества данни за системи и заплахи, за да се ръководи тестването на хипотези и разследването на задействания.
Това събиране на данни може да се окаже предизвикателство, тъй като може да изисква усъвършенствани инструменти на трети страни, а също така съществува риск упражнението да не е в съответствие с разпоредбите за поверителност на данните. Освен това експертите ще трябва да работят с големи количества данни, което може да бъде предизвикателство.
Бъдете в крак с информацията за заплахи
За да бъде ловът на заплахи както успешен, така и ефективен, експертите, провеждащи учението, трябва да разполагат с актуална информация за заплахи и познания за тактиките, техниките и процедурите, използвани от нападателите.
Без достъп до информация за най-новите тактики, техники и процедури, използвани от атаки, целият процес на лов на заплахи може да бъде възпрепятстван и направен неефективен.
Заключение
Ловът на заплахи е проактивен процес, който организациите трябва да обмислят да внедрят, за да осигурят по-добре своите системи.
Тъй като нападателите работят денонощно, за да намерят начини за използване на уязвимостите в системата, за организациите е полезно да бъдат проактивни и да търсят уязвимости и нови заплахи, преди нападателите да ги открият и да ги използват в ущърб на организациите.
Можете също така да разгледате някои безплатни инструменти за съдебно разследване за експерти по ИТ сигурност.