Популарна изрека у простору сајбер безбедности је да ако има довољно времена, сваки систем може бити компромитован. Колико год застрашујуће звучало, ова изјава наглашава праву природу сајбер безбедности.
Чак и најбоље мере безбедности нису поуздане. Претње се стално развијају, а формулишу се нови начини напада. Са сигурношћу се може претпоставити да је напад на систем неизбежан.
Стога, свака организација која жели да заштити безбедност својих система мора да инвестира у идентификацију претњи чак и пре него што дође до напада. Раним откривањем претњи, организације могу брзо да примене мере контроле штете како би минимизирале ризик и утицај напада, па чак и зауставиле нападаче пре него што спроведу потпуне нападе.
Поред заустављања напада, откривање претњи може да избаци злонамерне актере који могу да украду податке, прикупе информације које ће се користити у будућим нападима или чак оставити рупе које се могу искористити у будућности.
Добар начин да се открију претње и рањивости пре него што их злонамерни актери искористе је лов на претње.
Преглед садржаја
Лов на претње
Кад год дође до сајбер напада, као што је кршење података, напад малвера или чак напад ускраћивања услуге, то је често резултат сајбер нападача који вребају у систему неко време. Ово може трајати од неколико дана до недеља или чак месеци.
Што више времена нападачи проведу неоткривени у мрежи, то више штете могу да изазову. Стога је неопходно уклонити нападаче који могу да вребају у мрежи без откривања пре него што заиста покрену напад. Овде долази до лова на претње.
Лов на претње је проактивна мера сајбер безбедности где стручњаци за безбедност врше темељну претрагу у мрежи како би открили и искоренили потенцијалне претње или рањивости које су можда избегле постојеће мере безбедности.
За разлику од пасивних мера сајбер безбедности као што је аутоматско откривање претњи, лов на претње је активан процес који укључује дубинску претрагу крајњих тачака мреже и података ускладиштених у мрежи како би се откриле злонамерне или сумњиве активности које могу указивати на претњу која вреба у мрежи.
Лов на претње иде даље од тражења онога што је познато да такође уклања нове и непознате претње у мрежи или претње које су могле да избегну одбрану мреже и које још увек нису отклоњене.
Применом ефикасног лова на претње, организације могу да пронађу и зауставе злонамерне актере пре него што изврше своје нападе, смањујући на тај начин учињену штету и обезбеђујући своје системе.
Како функционише лов на претње
Да би било успешно и ефикасно, лов на претње се у великој мери ослања на интуицију, стратешко, етичко, критичко размишљање и вештине решавања проблема које поседују стручњаци за сајбер безбедност. Ове јединствене људске вештине допуњују оно што се може урадити путем аутоматизованих безбедносних система.
Да би спровели лов на претње, стручњаци за безбедност почињу тако што дефинишу и разумеју обим мрежа и система у којима ће извршити лов на претње. Сви релевантни подаци, као што су датотеке евиденције и подаци о саобраћају, се затим прикупљају и анализирају.
Интерни стручњаци за безбедност су кључни у овим почетним корацима јер обично имају јасно разумевање мрежа и система који су на месту.
Прикупљени безбедносни подаци се анализирају коришћењем различитих техника да би се идентификовале аномалије, скривени малвер или нападачи, сумњиве или ризичне активности и претње које су безбедносни системи можда означили као решене, али нису заиста решене.
У случају да се открије претња, она се истражује и отклања како би се спречила експлоатација од стране злонамерних актера. У случају да се открију злонамерни актери, они се бришу из система, а спроводе се мере за даље обезбеђивање и спречавање компромитовања система.
Лов на претње пружа организацијама прилику да науче о својим безбедносним мерама и побољшају своје системе како би их боље обезбедиле и спречиле будуће нападе.
Важност лова на претње
Неке од предности лова на претње укључују:
Смањите штету од потпуног сајбер напада
Лов на претње има предност откривања и заустављања сајбер нападача који су провалили систем пре него што могу да прикупе довољно осетљивих података да изведу смртоноснији напад.
Заустављање нападача на њиховом путу смањује штету која би настала услед повреде података. Са проактивном природом лова на претње, организације могу много брже да одговоре на нападе и тиме смање ризик и утицај сајбер напада.
Смањите лажне позитивне резултате
Када се користе аутоматизовани алати за сајбер безбедност, који су конфигурисани да откривају и идентификују претње помоћу скупа правила, јављају се случајеви у којима се подижу упозорења када нема стварних претњи. Ово може довести до примене контрамера на претње које не постоје.
Лов на претње које води људи, елиминише лажне позитивне резултате јер стручњаци за безбедност могу да спроведу дубинску анализу и донесу стручне судове о правој природи уочене претње. Ово елиминише лажне позитивне резултате.
Помозите стручњацима за безбедност да разумеју системе компаније
Изазов који се јавља након инсталирања безбедносних система је провера да ли су они ефикасни или не. Лов на претње може да одговори на ово питање јер стручњаци за безбедност спроводе дубинске истраге и анализе како би открили и елиминисали претње које су можда промакле инсталираним безбедносним мерама.
Ово такође има предност јер омогућава интерним стручњацима за безбедност да боље разумеју постојеће системе, како они функционишу и како да их боље обезбеде.
Одржава безбедносне тимове ажурним
Спровођење лова на претње подразумева коришћење најновије доступне технологије за откривање и ублажавање претњи и рањивости пре него што буду искоришћене.
Ово доприноси одржавању безбедносног тима организације у току са окружењем претњи и активном ангажовању у откривању непознатих рањивости које се могу искористити.
Оваква проактивна активност доводи до боље припремљених безбедносних тимова који су информисани о новим и надолазећим претњама, чиме се спречава да их нападачи изненаде.
Скраћује време истраге
Редовни лов на претње ствара банку знања која се може искористити да се убрза процес истраге напада у случају да до њега дође.
Лов на претње подразумева дубинско проучавање и анализу система и рањивости које су откривене. Ово, заузврат, резултира нагомилавањем знања о систему и његовој безбедности.
Стога, у случају напада, истрага може искористити прикупљене податке из претходних лова на претње како би процес истраге био много бржи, омогућавајући организацији да боље и брже одговори на напад.
Организације ће имати огромне користи од редовног лова на претње.
Лов на претње против обавештајних података о претњи
Иако су повезани и често се користе заједно за побољшање сајбер безбедности организације, обавештајни подаци о претњама и лов на претње су различити концепти.
Обавештајне информације о претњама обухватају прикупљање и анализу података о новим и постојећим сајбер претњама да би се разумеле тактике, технике, процедуре, мотиви, мете и понашања актера претњи који стоје иза сајбер претњи и напада.
Ове информације се затим деле са организацијама како би им се помогло у откривању, спречавању и ублажавању сајбер напада.
С друге стране, лов на претње је проактиван процес тражења потенцијалних претњи и рањивости које могу постојати у систему за њихово адресирање пре него што их искористе актери претњи. Овај процес воде стручњаци за безбедност. Обавештајне информације о претњама користе стручњаци за безбедност који спроводе лов на претње.
Врсте лова на претње
Постоје три главне врсте лова на претње. Ово укључује:
#1. Структурисани лов
Ово је лов на претње заснован на индикатору напада (ИоА). Индикатор напада је доказ да систему тренутно приступају неовлашћени актери. ИоА се јавља пре повреде података.
Због тога је структурирани лов усклађен са тактиком, техникама и процедурама (ТТП) које користи нападач са циљем да идентификује нападача, шта покушава да постигне и реагује пре него што направи било какву штету.
#2. Неструктурирани лов
Ово је врста лова на претње на основу индикатора компромиса (ИоЦ). Индикатор компромиса је доказ да је дошло до кршења безбедности и да су систему приступили неовлашћени актери у прошлости. У овој врсти лова на претње, стручњаци за безбедност траже обрасце у целој мрежи пре и након што се идентификује индикатор компромитовања.
#3. Ситуациони или вођени ентитетима
Ово су лов на претње засноване на интерној процени ризика организације за њене системе и рањивости које су открили. Стручњаци за безбедност користе екстерно доступне и најновије податке о нападима да траже сличне обрасце и понашања напада у систему.
Кључни елементи лова на претње
Ефикасан лов на претње укључује дубинско прикупљање и анализу података како би се идентификовала сумњива понашања и обрасци који могу указивати на потенцијалне претње у систему.
Када се такве активности открију у систему, потребно их је у потпуности истражити и разумети коришћењем напредних алата за безбедносну истрагу.
Истрага би тада требало да донесе стратегије које се могу применити у циљу решавања пронађених рањивости и посредовања у претњама пре него што их нападачи могу искористити.
Последња кључна компонента процеса је извештавање о налазима у потрази за претњама и давање препорука које се могу применити да би се системи организације боље обезбедили.
Кораци у лову на претње
Извор слике: Мицрософт
Ефикасан лов на претње укључује следеће кораке:
#1. Формулисање хипотезе
Лов на претње има за циљ да открије непознате претње или рањивости које се могу искористити нападима. Пошто лов на претње има за циљ да пронађе непознато, први корак је формулисање хипотезе засноване на безбедносном положају и познавању рањивости у систему организације.
Ова хипотеза даје лову на претње основ и основу на којој се могу поставити стратегије за читаву вежбу.
#2. Прикупљање и анализа података
Када се хипотеза формулише, следећи корак је прикупљање података и обавештајних података о претњама из мрежних дневника, извештаја обавештајних података о претњама до историјских података о нападима, са циљем доказивања или одбијања хипотезе. За прикупљање и анализу података могу се користити специјализовани алати.
#3. Идентификујте окидаче
Окидачи су сумњиви случајеви који захтевају даљу и детаљну истрагу. Информације добијене прикупљањем и анализом података могу доказати почетну хипотезу, као што је постојање неовлашћених актера у мрежи.
Током анализе прикупљених података, могу се открити сумњива понашања у систему. Ове сумњиве активности су покретачи које треба даље истражити.
#4. Истрага
Када се окидачи открију у систему, они се истражују како би се разумела пуна природа ризика који је у питању, како се инцидент могао догодити, мотив нападача и потенцијални утицај напада. Резултат ове фазе истраге даје информације о мерама које ће бити предузете за решавање откривених ризика.
#5. Резолуција
Када се претња у потпуности истражи и разуме, примењују се стратегије за решавање ризика, спречавање будућих напада и побољшање безбедности постојећих система ради решавања новооткривених рањивости или техника које нападачи могу да искористе.
Када се сви кораци заврше, вежба се понавља и тражи више рањивости и боље обезбеђује системе.
Изазови у лову на претње
Неки од највећих изазова који се јављају у лову на претње укључују:
Недостатак квалификованог особља
Лов на претње је безбедносна активност коју води људи, и стога је њена ефикасност у великој мери везана за вештине и искуство ловаца на претње који спроводе активност.
Са више искуства и вештина, ловци на претње могу бити у стању да идентификују рањивости или претње које заобилазе традиционалне безбедносне системе или друго безбедносно особље. Добијање и задржавање стручних ловаца на претње је и скупо и изазовно за организације.
Потешкоће у идентификацији непознатих претњи
Лов на претње је веома тежак за спровођење јер захтева идентификацију претњи које су заобишле традиционалне безбедносне системе. Стога, ове претње немају познате потписе или обрасце за лаку идентификацију, што све чини веома тешким.
Прикупљање свеобухватних података
Проналажење претњи се у великој мери ослања на прикупљање великих количина података о системима и претњама да би се водило тестирање хипотеза и истраживање покретача.
Ово прикупљање података може бити изазовно јер може захтевати напредне алате треће стране, а постоји и ризик да вежба није у складу са прописима о приватности података. Поред тога, стручњаци ће морати да раде са великим количинама података што може бити изазовно.
Бити у току са обавештајним подацима о претњама
Да би лов на претње био успешан и ефикасан, стручњаци који спроводе вежбу морају да имају најновије податке о претњама и знање о тактикама, техникама и процедурама које користе нападачи.
Без приступа информацијама о најновијим тактикама, техникама и процедурама које користе напади, цео процес лова на претње може бити ометен и неефикасан.
Закључак
Лов на претње је проактиван процес који би организације требало да размотре о примени како би боље обезбедиле своје системе.
Пошто нападачи раде даноноћно како би пронашли начине да искористе рањивости у систему, за организације је корисно да буду проактивне и траже рањивости и нове претње пре него што их нападачи пронађу и искористе на штету организација.
Такође можете истражити неке бесплатне алатке за форензичку истрагу за ИТ стручњаке за безбедност.