Компаниите все повече осъзнават важността на създаването на възможности за откриване и издирване, които да предпазят бъдещето на бизнеса им от риск.
Популярността на услугите за лов на заплахи е следствие от откриването на все по-упорити атаки, които също така продължават все по-дълго. Наред с това киберпрестъпниците разполагат с все повече тактики за избягване на традиционните мерки за защита. Наред с откриването на атаки, все по-важно е да се опитаме да изпреварим кибератаките, така че разликата в откриването да бъде намалена колкото е възможно повече.
В тази екосистема Threat Hunting се откроява като една от най-важните тенденции през последните няколко години в корпоративната киберсигурност. Но за да разберем защо Threat Hunting е толкова важна концепция в днешно време, е жизненоважно да разберем какво точно представлява тя: дисциплина, за която организациите трябва да престанат да мислят не като за нещо хубаво, а като за нещо задължително. Тя трябва да бъде непрекъсната функция, а не моментна, тъй като е от съществено значение във всяка стабилна програма за киберсигурност.
Най-важната характеристика на Threat Hunting за ИТ лидерите и техните MSP е неговият подход: тук става въпрос за проактивен подход към заплахите. Това означава, че той не е отговор на инциденти, въпреки че тази концепция е свързана, тъй като от резултатите от разследването и неговите заключения е възможно да се установят нови индикатори за атака или компрометиране. Мерките за лов на заплахи имат за цел да обхванат това, което по-традиционните инструменти не могат да видят. След това ловците на заплахи провеждат своите разследвания, с които разкриват основната причина, получават незабавна реакция и насочват плана за действие за успешно намаляване на повърхността на атаките.
В света има десетки хиляди хакери, обучени от правителства, компании за сигурност и престъпни организации. Те извършват целенасочени атаки с патентован зловреден софтуер и дори използват легитимни приложения и goodware, за да останат скрити.
Една от основните им операции са атаките без зловреден софтуер, при които нападателят приема самоличността на администратора, след като по един или друг начин се сдобие с неговите мрежови идентификационни данни, и за всеки случай изглежда, че е мрежовият администратор, който си върши работата. Тъй като не се използва никакъв вид зловреден софтуер, системите за сигурност трябва да могат да разпознават този вид атака, като забелязват аномално поведение на потребителите в корпоративната мрежа. Технологиите, способни да изпълняват тези задачи, са неразделна част от концепцията за Threat Hunting (лов на заплахи).
Организациите обаче не разполагат с необходимия бюджет, технологии, процеси и екип от експерти, за да направят това от нулата. Тазгодишното проучване на SANS за лова на заплахи показва, че ресурсното осигуряване на лова на заплахи е „постоянно растящ кошмар за персонала“, като 73% от тазгодишните респонденти твърдят, че едно от най-големите им предизвикателства е намирането на квалифициран персонал. Това е 7% увеличение спрямо 2022 г. и огромно увеличение от 43% спрямо 2021 г. Това прави невъзможно за повечето компании да изграждат и развиват защитата си със същите темпове, с които се развива киберпрестъпността.
Както виждаме, ясно е, че проактивността е ключово умение за добрия ловец на заплахи. Но то не е единственото. По-долу ще разгледаме характеристиките, които трябва да притежава всеки професионалист в областта на лова на заплахи.
Технически познания: Преди да предприемете какъвто и да е процес на лов на заплахи, е жизненоважно да разполагате с професионалисти със знания и опит в областта на киберсигурността. Те трябва да познават фокуса на традиционните инструменти за защита на крайни точки (EPP), но също така и новия подход: който включва използването на инструменти за наблюдение в реално време – нещо, което е жизненоважно за лова на заплахи.
Корпоративна и геополитическа визия: кибератаките стават все по-професионални и принадлежат на организации или дори на държави. Затова ловците на заплахи трябва да познават корпоративния и геополитическия контекст, който може да мотивира тези кибератаки. Техническите познания са от основно значение, но е все по-необходимо да разполагаме с идеи, които ни доближават до по-обща визия, за да изпреварваме кибератаките.
Креативност: първата стъпка в процеса на търсене на заплахи е създаването на хипотези, за да се търсят потенциални заплахи. Следователно ловецът на заплахи трябва да измисли възможни сценарии, като има предвид множество елементи и вектори на атака, които може да не са толкова очевидни за традиционните решения за киберсигурност.
Овладяване на емпиричния метод: след като бъдат създадени хипотези, следващата стъпка в процеса на лов на заплахи е да се потвърдят, да се потърсят доказателства и да се открият закономерности. Тези етапи са подобни на тези, които следва един учен изследовател. В този смисъл ловците на заплахи трябва да разбират методите на работа, основани на анализ и доказателства. Ловците на заплахи не се различават толкова много от учените, които правят велики открития.
Доставчиците на управлявани услуги за сигурност дават възможност за широк спектър от проактивни възможности за сигурност, включително наблюдение на сигнали, приоритизиране, разследване и лов на заплахи. Те използват усъвършенствани решения за откриване на крайни точки, мрежи и реагиране, като прилагат модели на изкуствен интелект за корелация и приоритизиране на напреднали заплахи.
Основното предизвикателство, което спира ИТ екипите да извършват Threat Hunting, е времето. Времето е необходимо за търсене на заплахи, за събиране на данни и за създаване на валидни хипотези. Нещо повече, то е необходимо и за проучване на индикатори за атака – IOA и IOC, както и на модели на атаки. В този смисъл времето е от ключово значение.
Платформите за лов на заплахи би трябвало да могат, наред с други неща, да наблюдават поведението на компютрите, приложенията, работещи на тях, и по-специално на техните потребители. Тези изисквания са още едно предизвикателство, като се има предвид фактът, че човешкият фактор е от ключово значение за допълване на процеса на автоматизация: наемането на квалифицирани експерти може да бъде още един труден и скъп процес, а изграждането или експлоатацията на необходимите инструменти – още един значителен разход, който много ИТ отдели не могат да си позволят.
Съществуват три основни предизвикателства, с които те трябва да се справят: Слаба ефективност на решенията за сигурност, които ги карат да губят твърде много време за фалшиво положителни сигнали, и липса на умения и процеси в областта на сигурността за ефективно издирване, откриване, приоритизиране, разследване и реагиране.
Повечето лидери в МSP, 62% от тях, инвестират в по-квалифициран персонал, а 52% – в по-добри EDR/NDR решения. Те се смятат за най-въздействащата инвестиция за подобряване на практиката за лов на заплахи, особено за по-големите доставчици на услуги за сигурност.
73% от доставчиците на услуги за сигурност използват решения за EDR като част от подхода си за лов на заплахи, а 55% – решения за NDR. 45% смятат, че активността на крайните точки е най-ценният източник на данни при лова и разследването на инциденти.
Докладът на WatchGuard: State-of-the-art threat hunting in MSPs предоставя задълбочен анализ на приемането, предизвикателствата и нивото на зрялост на MSPs при предоставянето на услуги за лов на заплахи на своите клиенти.
WatchGuard Endpoint Security е Cloud-native, усъвършенствано портфолио за сигурност на крайни точки, което защитава предприятия от всякакъв вид от настоящи и бъдещи кибератаки. Нейното водещо решение, WatchGuard EDPR, задвижвано от изкуствен интелект, незабавно подобрява състоянието на сигурността на организациите. То съчетава възможностите за защита на крайни точки (EPP) и откриване и реагиране (EDR) с услугата Zero-Trust Application Service и услугата Threat Hunting Service, за да помогне на MSP ефективно да предоставят автоматизирани услуги за превенция, откриване и реагиране с цялостни услуги за лов на заплахи.
Нашата услуга Threat Hunting Service, включена в WatchGuard EDR и WatchGuard EPDR, дава възможност на MSP да добавят услуга за лов на заплахи като част от своята оферта. Тя позволява откриването на заплахи преди да са нанесени щети и подобрява защитата срещу бъдещи атаки срещу техните клиенти.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
