Когда киберпреступления превосходят друг друга по сложности и одних инструментов уже недостаточно, возможным решением становится поиск угроз. Будучи относительно новой дисциплиной кибербезопасности, охота за угрозами направлена на предотвращение угроз до того, как они возникнут. В этой статье вы узнаете больше об основах, методах и инструментах современного поиска угроз.
Основы поиска угроз
Многие компании используют более пяти инструментов безопасности для защиты сети. Тем не менее, чувствительные периметры регулярно нарушаются Advanced Persistent Threats (APT). Чем дольше компрометация остается незамеченной, тем выше риск успешных атак на цепочку поставок, атак с использованием программ-вымогателей и многого другого. Охота за угрозами — это спасательный круг.
Что означает охота за угрозами?
Охота за угрозами описывает превентивный подход к обнаружению сложных угроз. В основе этого лежит базовое предположение о том, что система уже скомпрометирована. Еще до появления признаков атаки охотник за угрозами ищет в сетях и ИТ-системах скрытые угрозы, которые не обнаруживают автоматизированные системы безопасности.
Чем поиск угроз отличается от других подходов к обеспечению безопасности?
Классические подходы, такие как обнаружение и реагирование на инциденты (IDR), реагируют на уже обнаруженные события и конкретные тревожные сообщения. Инструменты служат только вспомогательными средствами; основное внимание уделяется ручной работе человека.
Основным действующим лицом в поиске угроз является человек-охотник за угрозами, аналитик по безопасности с большим опытом, знаниями об угрозах и охотничьими инстинктами. Что именно характеризует охотника за угрозами?
#1: Охота за угрозами требует упреждающего подхода
Охота за угрозами требует упреждающего подхода. Успешный охотник за угрозами не знает закрытого сезона. Он бродит 24 часа в сутки, 7 дней в неделю, исследуя систему и постоянно тренируясь — не только тогда, когда это позволяет рабочая нагрузка. Его основная задача – охота. Это снимает нагрузку с сотрудников SOC и NOC, у которых обычно не хватает для этого ресурсов.
№ 2: Охотник за угрозами подвергает сомнению гипотезы
Очень важно, чтобы он бродил по системе, зная, что даже небольшие аномалии могут указывать на угрозу. Если гипотеза не может быть подтверждена, Охотник за угрозами ищет другие улики и снова начинает поиск. Поиск угроз основан на измерениях, данных и оценках. Для этого охотник и его команда используют инструменты, которые централизованно предоставляют все данные и обеспечивают эффективный поиск.
№3: Охотник за угрозами по своему поведению узнает, к какому виду принадлежит злоумышленник, даже если волк прячется в овечьей шкуре
Охотник за угрозами обладает глубокими знаниями об угрозах. Благодаря своей исследовательской работе он знает каждую область ИТ-отдела, за безопасность которого он отвечает в рамках поиска угроз. Как только он обнаружил след компрометации, он следует по индикаторам к источнику. Успешные охотники за угрозами знают своих противников и знакомы с различными тактиками, методами и процедурами (TTP). Поэтому они также знают, как отслеживать улики в сети компании.
# 4: Охотник за угрозами находится в постоянном контакте с другими охотниками, чтобы избежать ущерба
Охота за угрозами работает так же хорошо в одиночку, как и в команде. В любом случае, охотник находится в тесном контакте с SOC/NOC и обменивается со специалистами по безопасности информацией об аномалиях, гипотезах и изменениях. Полезную информацию о неисправностях он также получает из запросов во внутренней тикет-системе.
Какое оружие необходимо для охоты за угрозами?
Хотя охотник за угрозами может выполнять многие задачи вручную, ему помогает специальное оружие. Например, описания проблем в заявках и сообщениях брандмауэра могут служить первоначальными признаками неправомерных действий. С помощью инструментов машинного обучения и автоматизированных методов поиск только набирает скорость:
- Эффективным оружием является разведка угроз. Это помогает начать поиск угроз, предоставляя начальные подсказки в виде индикаторов угроз и TTP.
- Другой — Security Information and Event Management (SIEM), который собирает журналы и дополняет их контекстными данными. Охотники могут легко искать эти данные, используя функции фильтра при отслеживании потенциальных угроз.
- Благодаря расширению SIEM для анализа поведения пользователей и объектов поиск угроз также можно использовать для поиска аномалий в больших объемах данных.
- Сетевое обнаружение и реагирование (NDR) обеспечивает скрытую защиту, которую APT не могут увидеть, обойти или фальсифицировать. В то же время NDR предлагает быстрый доступ к более крупному пулу данных, включая контекст, консолидированному в одном пользовательском интерфейсе. Помимо ручного сбора и анализа данных, это также избавляет от необходимости реагировать на многочисленные ложные срабатывания. Появляется больше времени для формулирования и проверки гипотез.