Что такое «охота за угрозами» и как это делать?

Поскольку кибербезопасные атаки происходят все чаще и становятся все более разрушительными, важно, чтобы люди осознавали, что они подвергаются большему риску таких событий, чем они могут подумать. Однако поиск угроз является важной частью надежной стратегии интернет-безопасности.

Итак, что на самом деле означает охота за угрозами? Чем это отличается от тестирования на проникновение? И как охота за угрозами укрепляет вашу онлайн-безопасность?

Что такое охота за угрозами?

Охота на угрозы предполагает активный поиск признаков опасной, нежелательной активности. Это противоположно ожиданию, пока платформа безопасности не предупредит о признаках проблемы.

Некоторые люди изначально думают, что тесты на проникновение - это то же самое, что и упражнения по поиску угроз. Тем не менее, тест на проникновение направлен на выявление всех уязвимостей и определение рисков, когда они остаются без внимания. Охота за угрозами предполагает, что атака произошла, и цель состоит в том, чтобы сдержать ее развитие.

Однако результаты поиска угроз также часто обнаруживают уязвимости. Это особенно верно, когда специалисты по кибербезопасности узнают больше о точках входа и методах атак.

Сколько зарабатывают охотники за угрозами за свои усилия? Средняя базовая зарплата в США больше 110 000 долларов в год, что указывает на высокий спрос на такие услуги.

Как люди участвуют в поиске угроз?

Охотники за угрозами ищут Индикаторы взлома (IoC) и индикаторы атаки (IoA). IoC фокусируется на том, чего хотят достичь хакеры, взламывая сеть. Тогда IoA - это подозрительная активность, которая может быть признаком атаки.

Человек, практикующий охоту на угрозы, оценивает окружающую среду, используя несколько возможных методов. Например, подход, основанный на данных, рассматривает такие ресурсы, как журналы прокси и свидетельства больших объемов передачи данных.

Поиск угроз на базе Intel основан на открытых и коммерческих источниках данных, показывающих риски кибербезопасности и симптомы таких проблем.

Охотники за угрозами также могут сосредоточиться на тактике, методах и процедурах злоумышленника (TTP). Например, какие инструменты использует хакер для взлома сети? Когда и как они их развертывают?

Охота на угрозы на основе поведения - это новый метод, но чрезвычайно полезный для обнаружения возможных внутренних рисков. Ловцы угроз устанавливают основу для ожидаемых действий пользователей сети, а затем ищут отклонения.

Важность актуальной информации

Успешное использование этих методов требует от охотника за угрозами обширных знаний об ожидаемой активности в сети.

Сегодняшняя рабочая сила становится все более распределенной, и межсетевых экранов компании часто оказывается недостаточно для защиты сети. Тем не мение, эксперты считают необходимо постоянно проверять, являются ли люди, пытающиеся получить доступ к ресурсам компании, уполномоченными сторонами. Вот почему компании часто проверяют подлинность сотрудников с помощью различной информации.

Связанный: Что такое принцип наименьших привилегий и как он может предотвратить кибератаки?

Команды поиска угроз нуждаются в большом количестве журнальных данных, собираемых во времени. Получение этой информации из различных источников помогает им действовать эффективно и выявлять признаки проблем. Данные конечных точек, как правило, наиболее ценны для охотников за угрозами, поскольку они находятся ближе всего к нежелательному событию.

Охота за угрозами укрепляет вашу кибербезопасность

Охота за угрозами - это не то, что нужно делать один раз и считать работу выполненной. Постоянная итерация делает усилия по обнаружению более плодотворными. Как только охотники за угрозами узнают, что представляет собой нормальная деятельность, необычные события становятся более очевидными.

Чем больше знаний об ИТ-среде и сети, тем сильнее организация будет противостоять попыткам кибератак.

Хуже фишинга: что такое китобойная кибератака?

В то время как фишинговые атаки нацелены на отдельных лиц, китобойные кибератаки нацелены на предприятия и организации. Вот на что нужно обратить внимание.

Читать далее

Об авторе