Q:
Які ключові переваги полювання на загрозу?
A:Почнемо з розуміння, що таке полювання на загрози: це процес пошуку - рядка за рядком та події за подією - для індикаторів дуже конкретних загроз. Це не питання пошуку того, що може бути аномалією. Це акт виявлення показників того, що ми знаємо, що відбувається. Це як перевірити наявність кліщів після того, як ти прогулявся лісом. Якщо у вас є вагомі підстави вважати, що в лісі є кліщі, ви перевіряєте, чи хтось зачепився. Користь полювання на них полягає в тому, що ви можете знайти і позбутися від них, перш ніж вони вкусять вас і змусять вас захворіти.
Це означає, що як попередник полювання на загрозу, ви повинні мати уявлення про те, що шукаєте. Для цього потрібно три речі: аналітика, ситуативна обізнаність та інтелект. Сировинна інформація може надходити з багатьох різних джерел, і експерти групи полювання загроз можуть проаналізувати цю інформацію та отримати з неї сенс. Що таке балаканина в темній павутині? Хтось говорить про націлювання на певну компанію чи технологію? Чи обговорюються нові торговельні апарати чи методи експлуатації?
Аналітики погроз для команди по охороні загроз можуть зібрати велику кількість неочищеної розвідки, і саме там ситуаційна обізнаність допомагає визначити, які проблеми є важливими для різних організацій та користувачів. Наприклад, інформація, що ідентифікує спосіб нападу на кіностудію, може не менш негайно стосуватися автомобільного виробника. Методи, що застосовуються під час нападу на студію, можуть бути життєздатними як прийоми для нападу на виробників автомобілів, але якщо розвідка припускає, що фокус атаки є локальним для кіностудій, то ІТ-команди у виробників автомобілів повинні залишатися зосередженими на загрози, які спрямовані на них. Це повертається до тієї прогулянки по лісі: якщо кліщі - це проблема в лісі, куди ви походите, а скорпіони - ні, то вам потрібно турбуватися про кліщів, а не скорпіонів.
Як тільки аналітики загроз виявлять загрозу, яка викликає занепокоєння, мисливці загрозами можуть розпочати полювання. Вони можуть шукати докази конкретних уразливостей - наприклад, неправильно налаштований маршрутизатор, - або вони можуть шукати конкретні фрагменти коду або сценарії, вбудовані в їх мережу. І якщо вони знайдуть елементи, на які вони полюють, вони можуть вчинити відповідні дії та захистити підприємство від нападу.
