U oblasti sajber bezbednosti, često se čuje izreka da ako se nekom pruži dovoljno vremena, svaki sistem može biti kompromitovan. Iako ova izjava zvuči zastrašujuće, ona naglašava suštinsku prirodu sajber bezbednosti.
Čak i najbolje implementirane sigurnosne mere nisu savršene. Pretnje se konstantno razvijaju, a pronalaze se nove metode za izvođenje napada. Realno je očekivati da će do napada na sistem kad-tad doći.
Stoga, svaka organizacija koja želi da zaštiti sigurnost svojih sistema mora da ulaže u identifikaciju pretnji pre nego što do napada dođe. Ranim otkrivanjem potencijalnih pretnji, organizacije mogu brzo da reaguju i sprovedu mere za kontrolu štete kako bi smanjile rizik i negativan uticaj napada, a potencijalno i zaustavile napadače pre nego što uspeju u svojim namerama.
Osim zaustavljanja napada, otkrivanje pretnji može da onemogući zlonamerne aktere u krađi podataka, prikupljanju informacija za buduće napade, ili čak u ostavljanju ranjivosti za buduću zloupotrebu.
Jedan od efikasnih načina za identifikaciju pretnji i ranjivosti pre nego što ih zlonamerni akteri iskoriste jeste lov na pretnje.
Lov na pretnje
Sajber napadi, poput povreda podataka, napada malverom ili napada uskraćivanjem usluge, često su rezultat prisustva sajber napadača koji se neko vreme skrivaju unutar sistema, a to može trajati od nekoliko dana do čak nekoliko meseci.
Što više vremena napadači provedu neotkriveni u mreži, to je veća šteta koju mogu da nanesu. Zato je od ključne važnosti eliminisati potencijalne napadače koji se kriju u mreži pre nego što zaista pokrenu napad. Upravo tu na scenu stupa lov na pretnje.
Lov na pretnje je proaktivna mera sajber bezbednosti, gde stručnjaci za sigurnost detaljno pretražuju mrežu kako bi otkrili i eliminisali potencijalne pretnje ili ranjivosti koje su možda zaobišle postojeće mere sigurnosti.
Za razliku od pasivnih mera sajber bezbednosti, kao što je automatsko otkrivanje pretnji, lov na pretnje je aktivan proces koji uključuje detaljnu pretragu krajnjih tačaka mreže i podataka koji se u njoj čuvaju kako bi se otkrile zlonamerne ili sumnjive aktivnosti koje bi mogle ukazivati na prisustvo pretnje u mreži.
Lov na pretnje se fokusira ne samo na ono što je poznato, već i na pronalaženje novih i nepoznatih pretnji u mreži, kao i onih koje su možda zaobišle sigurnosne sisteme. Cilj je identifikovati ih i eliminisati pre nego što dođe do napada.
Implementacijom efikasnog lova na pretnje, organizacije mogu pronaći i zaustaviti zlonamerne aktere pre nego što izvedu svoje napade, čime se smanjuje potencijalna šteta i osiguravaju njihovi sistemi.
Kako funkcioniše lov na pretnje
Da bi bio uspešan i efikasan, lov na pretnje se oslanja na intuiciju, strateško i kritičko razmišljanje, kao i veštine rešavanja problema koje poseduju stručnjaci za sajber bezbednost. Ove ljudske veštine upotpunjuju automatizovane sigurnosne sisteme.
Stručnjaci za bezbednost počinju lov na pretnje definisanjem i razumevanjem obima mreža i sistema na kojima će se vršiti pretraga. Potom se prikupljaju i analiziraju svi relevantni podaci, kao što su log fajlovi i podaci o saobraćaju.
Interni stručnjaci za bezbednost su ključni u ovim početnim koracima, jer obično imaju detaljno razumevanje mreža i sistema koji su na mestu.
Prikupljeni sigurnosni podaci analiziraju se različitim tehnikama kako bi se identifikovale anomalije, skriveni malver, sumnjive ili rizične aktivnosti i pretnje koje su sigurnosni sistemi možda označili kao rešene, a nisu u potpunosti eliminisane.
Ako se otkrije pretnja, ona se detaljno istraži i eliminiše kako bi se sprečila zloupotreba od strane zlonamernih aktera. Ako se otkriju sami zlonamerni akteri, oni se uklanjaju iz sistema, a implementiraju se dodatne mere kako bi se osigurala zaštita sistema i sprečile buduće kompromitacije.
Lov na pretnje pruža organizacijama priliku da uče o svojim sigurnosnim merama i poboljšaju svoje sisteme radi bolje zaštite i sprečavanja budućih napada.
Važnost lova na pretnje
Neke od prednosti lova na pretnje uključuju:
Smanjenje štete od sajber napada
Lov na pretnje omogućava otkrivanje i zaustavljanje sajber napadača koji su prodrli u sistem pre nego što prikupe dovoljno osetljivih podataka za izvođenje ozbiljnijeg napada.
Zaustavljanje napadača u ranoj fazi smanjuje štetu koja bi nastala usled povrede podataka. Zahvaljujući proaktivnoj prirodi lova na pretnje, organizacije mogu mnogo brže da reaguju na napade, smanjujući rizik i negativan uticaj sajber napada.
Smanjenje lažno pozitivnih rezultata
Kada se koriste automatizovani alati za sajber bezbednost, koji su konfigurirani da otkrivaju i identifikuju pretnje pomoću definisanih pravila, dešavaju se situacije da se upozorenja pokreću i kada ne postoje stvarne pretnje. To može dovesti do primene kontra-mera na nepostojeće pretnje.
Lov na pretnje, koji vode ljudi, eliminiše lažno pozitivne rezultate, jer stručnjaci za bezbednost mogu da sprovedu dubinsku analizu i donesu stručne procene o stvarnoj prirodi uočene pretnje. Na taj način se izbegavaju lažno pozitivni rezultati.
Pomoć stručnjacima za razumevanje sistema kompanije
Izazov nakon instaliranja sigurnosnih sistema jeste provera njihove efikasnosti. Lov na pretnje može da odgovori na to pitanje jer stručnjaci za bezbednost sprovode detaljne istrage i analize kako bi otkrili i eliminisali pretnje koje su možda izbegle instalirane sigurnosne mere.
Ovo takođe omogućava internim stručnjacima za bezbednost da bolje razumeju postojeće sisteme, način na koji funkcionišu i kako da ih bolje zaštite.
Održavanje bezbednosnih timova ažurnim
Lov na pretnje podrazumeva korišćenje najnovije dostupne tehnologije za otkrivanje i ublažavanje pretnji i ranjivosti pre nego što ih zlonamerni akteri iskoriste.
Ovo pomaže u održavanju bezbednosnog tima organizacije u toku sa trenutnim pretnjama i aktivnom angažovanju u otkrivanju nepoznatih ranjivosti koje bi se mogle zloupotrebiti.
Takva proaktivna aktivnost dovodi do bolje pripremljenih bezbednosnih timova koji su informisani o novim i nadolazećim pretnjama, čime se sprečava iznenađenje od strane napadača.
Skraćivanje vremena istrage
Redovni lov na pretnje stvara bazu znanja koja se može koristiti za ubrzanje procesa istrage u slučaju da do napada dođe.
Lov na pretnje podrazumeva detaljno proučavanje i analizu sistema i otkrivenih ranjivosti. To, zauzvrat, rezultira akumulacijom znanja o sistemu i njegovoj bezbednosti.
Stoga, u slučaju napada, istraga može iskoristiti prikupljene podatke iz prethodnih lova na pretnje kako bi proces istrage bio znatno brži, omogućavajući organizaciji da bolje i brže reaguje na napad.
Organizacije imaju velike koristi od redovnog lova na pretnje.
Lov na pretnje nasuprot obaveštajnih podataka o pretnji
Iako su povezani i često se koriste zajedno za poboljšanje sajber bezbednosti, obaveštajni podaci o pretnjama i lov na pretnje su različiti koncepti.
Obaveštajni podaci o pretnjama obuhvataju prikupljanje i analizu podataka o novim i postojećim sajber pretnjama kako bi se razumele taktike, tehnike, procedure, motivi, ciljevi i ponašanja aktera pretnji koji stoje iza sajber pretnji i napada.
Ove informacije se zatim dele sa organizacijama kako bi im se pomoglo u otkrivanju, sprečavanju i ublažavanju sajber napada.
S druge strane, lov na pretnje je proaktivan proces traženja potencijalnih pretnji i ranjivosti koje mogu postojati u sistemu, kako bi se one rešile pre nego što ih zlonamerni akteri zloupotrebe. Ovaj proces vode stručnjaci za bezbednost. Oni koriste obaveštajne podatke o pretnjama tokom lova na pretnje.
Vrste lova na pretnje
Postoje tri glavne vrste lova na pretnje, a to su:
#1. Strukturirani lov
Ovo je lov na pretnje zasnovan na indikatoru napada (IoA). Indikator napada je dokaz da sistemu trenutno pristupaju neovlašćeni akteri. IoA se javlja pre povrede podataka.
Zato je strukturirani lov usklađen sa taktikama, tehnikama i procedurama (TTP) koje koristi napadač, sa ciljem da identifikuje napadača, šta pokušava da postigne i da reaguje pre nego što napravi bilo kakvu štetu.
#2. Nestrukturirani lov
Ovo je vrsta lova na pretnje na osnovu indikatora kompromisa (IoC). Indikator kompromisa je dokaz da je došlo do povrede sigurnosti i da su sistemu pristupili neovlašćeni akteri u prošlosti. U ovoj vrsti lova na pretnje, stručnjaci za bezbednost traže obrasce u celoj mreži, kako pre, tako i nakon identifikacije indikatora kompromitacije.
#3. Situacioni ili vođeni entitetima
Ovo su lov na pretnje zasnovani na internoj proceni rizika organizacije za njene sisteme i otkrivenim ranjivostima. Stručnjaci za bezbednost koriste spolja dostupne, najnovije podatke o napadima da traže slične obrasce i ponašanja napada u sistemu.
Ključni elementi lova na pretnje
Efikasan lov na pretnje uključuje detaljno prikupljanje i analizu podataka kako bi se identifikovala sumnjiva ponašanja i obrasci koji mogu ukazivati na potencijalne pretnje u sistemu.
Kada se takve aktivnosti otkriju, potrebno ih je u potpunosti istražiti i razumeti koristeći napredne alate za sigurnosnu istragu.
Istraga bi tada trebalo da dovede do strategija koje se mogu primeniti kako bi se rešile pronađene ranjivosti i sprečile pretnje pre nego što ih napadači mogu iskoristiti.
Poslednja ključna komponenta procesa je izveštavanje o nalazima lova na pretnje i davanje preporuka koje se mogu primeniti za bolje osiguranje sistema organizacije.
Koraci u lovu na pretnje
Izvor slike: Microsoft
Efikasan lov na pretnje uključuje sledeće korake:
#1. Formulisanje hipoteze
Lov na pretnje ima za cilj otkrivanje nepoznatih pretnji ili ranjivosti koje bi mogle biti iskorišćene za napade. S obzirom na to da je cilj lova na pretnje da se pronađe nepoznato, prvi korak je formulisanje hipoteze na osnovu sigurnosnog položaja i poznavanja ranjivosti u sistemu organizacije.
Ova hipoteza daje lovu na pretnje osnovu i polaznu tačku za dalji razvoj strategija.
#2. Prikupljanje i analiza podataka
Kada se hipoteza formuliše, sledeći korak je prikupljanje podataka i obaveštajnih podataka o pretnjama iz mrežnih logova, izveštaja obaveštajnih podataka o pretnjama, i istorijskih podataka o napadima, sa ciljem da se dokaže ili odbaci hipoteza. Za prikupljanje i analizu podataka mogu se koristiti specijalizovani alati.
#3. Identifikovanje okidača
Okidači su sumnjivi slučajevi koji zahtevaju dalju i detaljnu istragu. Informacije dobijene prikupljanjem i analizom podataka mogu dokazati početnu hipotezu, na primer, postojanje neovlašćenih aktera u mreži.
Tokom analize prikupljenih podataka, mogu se otkriti sumnjiva ponašanja u sistemu. Te sumnjive aktivnosti predstavljaju okidače koje treba dalje istražiti.
#4. Istraga
Kada se okidači otkriju u sistemu, oni se istražuju kako bi se razumela priroda rizika, način na koji je incident mogao da se dogodi, motiv napadača i potencijalni uticaj napada. Rezultat ove faze istrage daje informacije o merama koje će biti preduzete za rešavanje otkrivenih rizika.
#5. Rešavanje
Kada se pretnja u potpunosti istraži i razume, primenjuju se strategije za rešavanje rizika, sprečavanje budućih napada i poboljšanje sigurnosti postojećih sistema radi rešavanja novootkrivenih ranjivosti ili tehnika koje napadači mogu da iskoriste.
Nakon završetka svih koraka, proces se ponavlja u potrazi za dodatnim ranjivostima i poboljšanjem sigurnosti sistema.
Izazovi u lovu na pretnje
Neki od najvećih izazova koji se javljaju u lovu na pretnje uključuju:
Nedostatak kvalifikovanog osoblja
Lov na pretnje je sigurnosna aktivnost koju vode ljudi, i zato je njena efikasnost u velikoj meri povezana sa veštinama i iskustvom stručnjaka koji sprovode aktivnosti.
Sa više iskustva i veština, stručnjaci za lov na pretnje mogu da identifikuju ranjivosti ili pretnje koje zaobilaze tradicionalne sigurnosne sisteme ili drugo sigurnosno osoblje. Pronalaženje i zadržavanje stručnih stručnjaka za lov na pretnje je skupo i zahtevno za organizacije.
Poteškoće u identifikaciji nepoznatih pretnji
Lov na pretnje je veoma težak za sprovođenje jer zahteva identifikaciju pretnji koje su zaobišle tradicionalne sigurnosne sisteme. Te pretnje nemaju poznate potpise ili obrasce za laku identifikaciju, što dodatno otežava stvari.
Prikupljanje sveobuhvatnih podataka
Lov na pretnje se u velikoj meri oslanja na prikupljanje velike količine podataka o sistemima i pretnjama kako bi se sprovelo testiranje hipoteza i istraživanje okidača.
Prikupljanje podataka može biti izazovno jer zahteva napredne alate treće strane, a postoji i rizik da proces nije u skladu sa propisima o privatnosti podataka. Stručnjaci će takođe morati da rade sa velikim količinama podataka, što može biti zahtevno.
Održavanje koraka sa obaveštajnim podacima o pretnjama
Da bi lov na pretnje bio uspešan i efikasan, stručnjaci koji sprovode proces moraju da imaju najnovije podatke o pretnjama i znanje o taktikama, tehnikama i procedurama koje koriste napadači.
Bez pristupa informacijama o najnovijim taktikama, tehnikama i procedurama koje koriste napadi, ceo proces lova na pretnje može biti ometen i neefikasan.
Zaključak
Lov na pretnje je proaktivan proces koji bi organizacije trebalo da razmotre u cilju bolje zaštite svojih sistema.
S obzirom da napadači rade danonoćno na pronalaženju načina da iskoriste ranjivosti u sistemu, za organizacije je korisno da budu proaktivne i traže ranjivosti i nove pretnje pre nego što ih napadači pronađu i iskoriste na njihovu štetu.
Takođe možete istražiti neke besplatne alate za forenzičku istragu za IT stručnjake za bezbednost.