За каждой угрозой, даже высокоавтоматизированной, всегда стоит человек. Современные хакеры всегда ищут новые и лучшие стратегии атак. Автоматизированная защита здесь часто терпит неудачу, поскольку угрозы не подчиняются правилам. Это болезненный урок, который компании должны усвоить от злоумышленников. И именно поэтому эксперты по защите человека так ценны.
Киберпреступники часто имеют в своем распоряжении неограниченное время и ресурсы, в то время как компании борются с нехваткой навыков и ограниченным бюджетом. Однако с помощью поиска угроз защитники могут эффективно компенсировать этот недостаток.
Стратегия защиты, полностью основанная на автоматизации, всегда будет иметь слабые места. Многие команды слишком много внимания уделяют очевидным угрозам и игнорируют неизвестные. Но именно благодаря им на сцену выходят новые или инновационные тактики, методы и процедуры.
Ценность наступательных стратегий безопасности заключается в наличии подходящих профессионалов
Автоматизация часто основана на правилах, определяющих атаки и соответствующие меры защиты. Но угрозы не подчиняются этим правилам. Это болезненный урок, который компании должны усвоить от злоумышленников. И именно поэтому компании получают так много ценной информации с помощью агрессивных служб безопасности, таких как «Red Teaming».
Если вы сравните традиционную киберзащиту с такими наступательными службами безопасности (например, тестированием красной команды), вы увидите большую разницу. Для профессиональных красных команд автоматизация является частью работы, но реальные результаты не достигаются автоматически.
Красные команды ценны не потому, что они выполняют сканирование, а потому, что они являются опытными профессионалами, которые используют свои навыки и интуицию, чтобы моделировать, как опытный злоумышленник может использовать уязвимости организации, как технические, так и другие.
В самом широком смысле охота за угрозами — это способность активно поддерживать защитные меры против активов на объектах и сетях путем постоянного расследования и обезвреживания наступательных стратегий. На практике эти стратегии дают решающее преимущество в борьбе с конкретными атаками, которые становятся все более популярными среди опытных киберзлоумышленников.
Тенденции в области продвинутых угроз
Хакеры нацелены на поставщиков или небольшие компании, предоставляющие услуги более крупным организациям, на которые они на самом деле нацелены. Эти небольшие компании имеют те же функции безопасности, что и более крупные компании. Это делает их своего рода плацдармом, с которого нападающие могут вести огонь по своим реальным целям.
Кибератака NotPetya в 2017 году, пожалуй, лучший тому пример. Злоумышленник заразил серверы, которые использовались для распространения обновлений программного обеспечения налоговой программы в Украине, а затем использовал их для распространения программы-вымогателя NotPetya /Wiper. Многие считали, что атака была нацелена только на компании в Украине, но вредоносное ПО нанесло огромный ущерб организациям по всему миру. Этот инцидент сейчас считается самой дорогостоящей кибератакой в истории.
Еще одной тенденцией целевых атак является заражение платформ, отличных от Windows. Windows лежит в основе систем многих компаний. Исторически сложилось так, что Windows привлекает как наибольшее количество угроз, так и наибольшее внимание со стороны компаний, занимающихся безопасностью. Злоумышленники теперь заметили, что другие платформы, которыми в значительной степени пренебрегали, представляют собой идеальные цели — macOS предлагает особенно привлекательный вариант. Фактически, в конце прошлого года появился новый тип вредоносного ПО для Mac, приписываемый северокорейской группе Lazarus.
Эти две тенденции в сфере угроз создают серьезные проблемы для всех организаций. В то же время они также относятся к типу атак, с которыми можно бороться с помощью поиска угроз.
Круглый год сезон охоты на угрозы
Высококвалифицированные и хорошо оснащенные злоумышленники очень серьезно относятся к своим атакам. Иногда они тратят месяцы или даже годы на достижение конкретной цели. Для некоторых людей деньги не так уж важны. Они делают все возможное, чтобы заразить свою цель: от атак нулевого дня до социальной инженерии и атак на помещения.
Мотивация также играет важную роль. Кажется, что их не обязательно заботят деньги, хотя, конечно, часто это так. Специалисты по обороне должны осознавать, как геополитика, макроэкономика и другие социальные и политические события влияют на угрозы.
Охотники за угрозами — это, по сути, исследователи, которые активно исследуют сети, чтобы выяснить, как системы могут быть скомпрометированы угрозами. Часть их работы заключается в изучении постоянно меняющегося ландшафта угроз и, в частности, влияния, которое оказывают на него политические, экономические и даже культурные события. Вот почему они также могут обнаруживать признаки продолжающейся атаки на цепочку поставок, вредоносное ПО без исполняемых файлов, захваченные процессы или зараженные учетные записи. Они знают, как эффективно использовать автоматизацию и технологии, не забывая об их ограничениях.