Threat Hunting. Что это и как это работает?

6 May

Что такое Threat Hunting?

Как и «AI» (то есть машинное обучение), Threat Hunting стало модным словом в сфере информационной безопасности, которое используется в различных контекстах. На сегодняшний день оно не имеет четкого определения. Дословный перевод «Охота за угрозами» и давайте попробуем разобраться, что это значит?

Threat Hunting – это поиск и предупреждение киберугроз, которые пытаются проникнуть в сеть незамеченными. Технология также выявляет вредоносы, которые уже проскочили мимо защиты и «гуляют» в сети.

Сервисный комплекс Bitdefender, с учетом удобного интерфейса и технологий распознавания сетей, позволит IT-специалистам легко заняться «охотой за угрозами». Но давайте разберемся, как Threat Hunting работает.

Думайте, как киберпреступник

Несмотря на важность кибербезопасности и доступность информации о киберугрозах, количество успешных взломов продолжает расти. Для того, чтобы поддерживать безопасность в сети, IT-специалисты и службы безопасности ведут активный поиск потенциально вредоносных объектов и действий в сети.

Такой подход помогает не ждать появления брешей в безопасности сети, а преждевременно находить их и избавляться.

Нередки случаи, когда организация не знает о несанкционированном «вторжении» в течение нескольких дней, недель, а то и месяцев. Прежде чем начать охоту за угрозами, вы должны сначала понять противников, их методы и мотивацию, чтобы наиболее эффективно с ними бороться.

Ведь если вы знаете, кто захотел бы причинить вред вашей организации, какая информация была бы наиболее интересной для злоумышленников, то сможете лучше защитить свой бизнес.

Threat Hunting определяет оптимальное состояние безопасной среды, для дальнейшего понимания исправной работы сети и поиска ее уязвимостей.

Знание правильной работы протоколов и сети, а также средней пропускной способности сети, поможет вам сразу же понять, что что-то перестало исправно работать и где-то возникла угроза. Для того, чтобы лучше бороться с хакерами, нужно думать, как хакер и понимать используемые ими приемы.

К сожалению, киберпреступники не следуют конкретному плану. В нем нет ни одного закономерного процесса или простого пути при выполнении атаки. Не существует и точного способа обнаружения этой атаки. Тем не менее, полезно понять, как разворачивается типичная кибер-атака. Имейте в виду, что взломщики могут пропускать какой-то шаг или добавлять и даже отступать.

Шаги кибератаки

Когда имеешь дело с кибератакой, типичные шаги происходят так:

· исследование,

· проникновение,

· расширение,

· эксплуатация.

Фаза исследование (Research)

В первую очередь кибератака начинается с «Исследования». Перед началом атаки киберпреступники пытаются собрать как можно больше общедоступной информации об организации и ее сети. Это та же самая концепция, как и для вора, когда он хочет взять новый телевизор с плоским дорогим экраном высокого разрешения, на стене дома.

Для начала злоумышленник собирается провести некоторые исследования. Потенциально этот вор попытается выяснить все, что может помочь ему успешно получить этот телевизор, например, зная ваше расписание, планировку вашего дома, есть ли у него сигнализация, есть ли у вас животные, камеры безопасности и т .д.

Подобно тому, данные, за которыми охотится киберпреступник, могут включать в себя сетевые диапазоны, IP-адреса и имена доменов/хостов. Его «Исследования» могут включать в себя поиск адресов электронной почты ключевых сотрудников организации, таких как менеджеры, ИТ-персонал или руководители. Киберпреступник может использовать этих людей, чтобы совершить фишинговую атаку во время своей атаки.

Фаза проникновение

Во-вторых, противник попытается проникнуть в сеть. Как только злоумышленник соберет необходимую информацию, он готов к саботажу.

Как правило, это достигается за счет:

· фишинговой атаки или другого распространенного вектора атаки,

· вредоносной программы,

· теневого копирования домена,

· вредоносной рекламы,

· отказа в обслуживании и загрузка с диска.

Злоумышленники также могут использовать другие инструменты для получения доступа. К ним относятся инструменты эксплуатации уязвимостей, мониторинга трафика, сканеры портов, инструменты шифрования и взломщики паролей.

Фаза расширение

Третья фаза – «Расширение». Теперь, когда злоумышленник получил доступ, они будут использовать технику, так называемое расширение.

Хакеры используют скомпрометированное устройство для доступа к другим устройствам, которые в противном случае были бы недоступны. Этот способ увеличивает прозрачность доступных сетевых активов для получения высокоценной, конфиденциальной информации. А для повышения привилегий и получения прав системного администратора применяются различные процедуры.

Фаза использование

Как только злоумышленник находит то, что ищет, он предпринимает последние шаги для достижения своей цели, с фазой «Использование».

Успешные результаты могут включать в себя следующее:

· получение административного доступа,

· открытие коммуникаций командования и управления,

· достижение устойчивости,

· фильтрацию данных,

· уничтожение данных,

· отказ в доступе к системам и закрытие их следов.

Как помогает Threat Hunting?

Threat Hunting (Охота на угрозу) более сфокусирована на фазы «Расширение» и «Использование». В то время как киберпреступник находится в фазе расширения, Threat Hunting поможет узнать, куда злоумышленник может направиться в сети, и по крайней мере поможет определить, где он находится в данный момент.

Всё начинается с входа злоумышленника, и вы начинаете охоту на него, чтобы определить его возможности и цели. Прорабатывая свой путь внутри сети в качестве злоумышленника, вы сможете найти все пути продвижения в инфраструктуре. Это заставит копнуть вас глубже в сеть, что позволит улучшить общую безопасность среды.

Цель Threat Hunting состоит в том, чтобы остановить киберпреступника до того, как он сможет воспользоваться украденными данными. Сюда входит анализ и предупреждение продвижения злоумышленника по среде компании.

Что нужно, чтобы начать охоту на угрозы?

Прежде чем начать, необходимо убедиться, что ваша организация готова к «Охоте на угрозы». Вы должны иметь доступ к полноценной системе безопасности, способной проглотить несколько источников информации.

Базовая настройка должна включают в себя автоматизированные инструменты блокировки и мониторинга, такие как:

· брандмауэры,

· антивирусы,

· управление конечными точками,

· перехват сетевых пакетов,

· управление информацией и событиями в области безопасности (SIEM).

Вам также понадобится доступ к ресурсам разведки угроз, чтобы вы могли просматривать IP-адреса, хэши вредоносных программ, индикаторы компрометации (IoCs) и многое другое.

Наконец, вам понадобится инструмент, который позволит вам свести воедино разрозненные наборы данных и разделить их таким образом, чтобы с наименьшими затратами разобраться в них.

«Охота на угрозу» может быть связана с огромным количеством информации, поэтому, хотя она и осуществляется под руководством человека, вам, безусловно, понадобится некоторая компьютерная помощь, чтобы сделать задачу более управляемой. Как только у вас будут все инструменты и вы будете работать вместе с командой для управления технологией и данными.

Создание команды охотников за угрозами

«Охота на угрозы» использует трафик корпоративной сети в конкретных условиях, чтобы выявить проблемные области – в лучшем случае, и компромисс – в худшем.

Процесс Threat Hunting оказался очень эффективным и набирает обороты по мере того, как компании ищут лучшие решения для безопасности. По-прежнему ищутся всё новые способы повышения уровня безопасности и искоренения вредоносных программ и постоянных угроз.

Возникающие постоянные угрозы повышенной сложности продолжают бросать вызов аналитикам, а они, в свою очередь, продолжают использовать платформы для обнаружения атак.

Деятельность кибер-разведки позволяет командам аналитиков сконцентрировать свои ресурсы для достижения максимального эффекта, в то время как они проводят идентификацию угрозы с использованием подхода, основанного на охоте за угрозами.

Это стратегия, которая переходит от реактивного к упреждающему, так как компании ищут способы решения проблем более быстрым и эффективным образом и собирают достаточно данных для предотвращения дальнейших проблем и построения более сильной защиты.

Поиск правильного набора навыков

Компании начинают понимать, что безопасность, это не только технологическая проблема, но и проблема людей.

Cyber Threat Hunting – это высокое мастерство и высокая планка профессионализма. И хотя это непростая задача в разгар изнурительной глобальной нехватки кибер-навыков, она является критически важным компонентом любой программы безопасности, если компании собираются начать побеждать в кибервойне.

Что такое управляемое обнаружение угрозы?

Поскольку 100 % обнаружение невозможно, а существующих мер безопасности и решений (таких как IDS и SIEM) просто недостаточно, то возрастает потребность в создании групп безопасности, которые будут активно "охотиться" за угрозами для организации.

Однако это не всегда легкая задача, поскольку она требует определенного набора навыков и способностей. Все это обходится дорого, так что может обременить бизнес и даже свести на нет его основные цели.

В таких случаях инвестирование в управляемую службу обнаружения угроз является лучшим вариантом – своевременным и экономически эффективным для бизнеса.

Команды Managed Detect и Respond уже нашли талантливых людей и создали свои команды.

Такие операции были разработаны для защиты предприятий во многих отраслях промышленности, которые подвержены риску любого типа атак, обеспечивая более комплексную операцию по Threat Hunting.

Мир киберугроз развивается каждый день, и команды безопасности должны поспевать за ним. Это сложное и ресурсоемкое начинание, однако организации, занимающиеся вопросами MDR, устраивают ежедневные проверки (часто в значительных масштабах) и не перестают развиваться.

При выборе Bitdefender, вы гарантируете защиту своему бизнесу на базе современных технологий и поддержке профессионалов.