Търсене
Close this search box.

Откриването на  заплахите, преди те да са ви открили, е от ключово значение за укрепване на киберзащитата ви. Да направите това ефективно и ефикасно не е никак лесна задача, но с малка инвестиция на време можете да овладеете търсенето на заплахи и да спестите на организацията си милиони.

Обърнете внимание на тази зашеметяваща статистика. Cybersecurity Ventures изчислява, че до 2025 г. киберпрестъпленията ще нанесат щети на световната икономика в размер на 10,5 трилиона долара. Измервайки тази сума като държава, цената на киберпрестъпността се равнява на третата по големина икономика в света след САЩ и Китай. Но с помощта на ефективен лов на заплахи можете да попречите на лошите да опустошат вашата организация.

Тази статия предлага подробно обяснение на лова на заплахи – какво представлява, как да го извършвате задълбочено и ефективно и как разузнаването на кибернетични заплахи (CTI) може да подпомогне усилията ви за лов на заплахи.

Какво представлява ловът на заплахи?

Ловът на киберзаплахи е събиране на доказателства, че дадена заплаха се реализира. Това е непрекъснат процес, който ви помага да откриете заплахите, които представляват най-значителен риск за вашата организация, и дава възможност на екипа ви да ги спре, преди да започне атаката.

Лов на заплахи в шест стъпки

 

По време на лова от съществено значение са внимателното планиране и вниманието към детайлите, както и гарантирането, че всички членове на екипа следват един и същ план. За да поддържате ефективност, документирайте всяка стъпка, така че другите от екипа ви да могат лесно да повторят същия процес.

1 – Организиране на лова.

Уверете се, че екипът ви е подготвен и организиран, като инвентаризирате критичните си активи, включително крайни точки, сървъри, приложения и услуги. Тази стъпка ви помага да разберете какво се опитвате да защитите и на какви заплахи сте най-податливи. След това определете местонахождението на всеки актив, кой има достъп до него и как се извършва осигуряването на достъп.

Накрая определете приоритетните си изисквания за разузнаване (PIR), като зададете въпроси за потенциалните заплахи въз основа на средата и инфраструктурата на вашата организация. Например, ако имате отдалечена или хибридна работна сила, такива въпроси могат да включват:

  • Към кои заплахи отдалечените устройства са най-уязвими?
  • Какви доказателства биха оставили тези заплахи?
  • Как ще определим дали даден служител е компрометиран?

2 – Планирайте лова.

В тази фаза ще зададете необходимите параметри чрез следното:

  • Посочете целта си – включително защо е необходим ловът и върху кои заплахи трябва да се съсредоточите, както е определено от вашите PIR. (Например, отдалечените служители може да са по-податливи на фишинг атаки при модел BYOD.)
  • Определете обхвата – определете предположенията си и изложете хипотезата си въз основа на това, което знаете. Можете да стесните обхвата си, като разберете какви доказателства ще се появят, ако заплахата, която търсите, стартира.
  • Разберете ограниченията си, като например до какви набори от данни имате достъп, какви ресурси трябва да анализирате и с колко време разполагате.
  • Определете времевата рамка с реалистичен краен срок.
  • Определете кои среди да изключите и потърсете договорни отношения, които могат да ви попречат да осъществите лова в конкретни условия.
  • Разберете правните и регулаторните ограничения, които трябва да спазвате. (Не можете да нарушавате закона, дори когато ловувате  лоши момчета.)

3 – Използвайте правилните инструменти за работа.

Има много инструменти за търсене на заплахи, в зависимост от инвентара на активите и хипотезата ви. Например, ако търсите потенциален пробив, SIEM и инструментите за разследване могат да ви помогнат да прегледате логовете и да определите дали има изтичане на информация. Следва примерен списък с опции, които могат значително да подобрят ефективността на лова на заплахи:

  • Разузнаване на заплахите – по-конкретно автоматизирани канали и портали за разследване, които извличат информация за заплахите от дълбоката и тъмната мрежа
  • Търсачки и уеб паяци
  • Информация от доставчиците на киберсигурност и антивирусни програми
  • Правителствени ресурси
  • Обществени медии – блогове за киберсигурност, онлайн новинарски сайтове и списания
    SIEM, SOAR, инструменти за разследване и OSINT инструменти

4 – Извършване на лова.

Когато изпълнявате лова, най-добре е да го опростите. Следвайте плана си точка по точка, за да се придържате към правилния път и да избягвате отклонения и разсейване. Изпълнението на лова се осъществява в четири фази:

  • Събиране: това е най-трудоемката част от лова на заплахи, особено ако използвате ръчни методи за събиране на информация за заплахите.
  • Обработка: съберете данните и ги обработете в организиран и разбираем формат, за да могат да бъдат разбрани от други анализатори на заплахи.
  • Анализ: определете какво разкриват вашите констатации.
  • Заключение: ако откриете заплаха, разполагате ли с данни в подкрепа на нейната сериозност?

5 – Завършете и оценете лова.

Оценяването на работата ви преди да започнете следващия лов е наложително, за да ви помогне да се подобрите в хода на работата. По-долу са посочени някои въпроси, които да обмислите в тази фаза:

  • Избраната хипотеза подходяща ли е за лова?
  • Достатъчно тесен ли беше обхватът?
  • Събрахте ли полезна информация или някои процеси можеха да бъдат извършени по различен начин?
  • Разполагахте ли с подходящите инструменти?
  • Всички ли следваха плана и процеса?
  • Чувстваше ли се ръководството овластено да отговаря на въпроси по пътя и имаше ли достъп до цялата необходима информация?

6 – Докладвайте и действайте въз основа на констатациите си.

При приключване на лова можете да видите дали данните потвърждават хипотезата ви – и ако е така, ще предупредите екипите за киберсигурност и за реакция при инциденти. Ако няма доказателства за конкретния проблем, ще трябва да прецените ресурсите и да се уверите, че няма пропуски в анализа на данните. Например може да осъзнаете, че сте прегледали логовете си за компрометиране, но не сте проверили за изтичане на данни в тъмната мрежа.

 

Източник: The Hacker News

Подобни публикации

16 септември 2024

Може ли дълбоките технологии да бъдат следващия...

В началото на 2000-те години Естония бързо се модернизира, отърсвай...
16 септември 2024

Отборите от NFL блокират кибератаките в дигитал...

През изминалия уикенд Националната футболна лига стартира своя сезо...
16 септември 2024

Google прави големи разходи за технология за ул...

Технологичният гигант сключи нова сделка за  улавяне на 100 000 тон...
16 септември 2024

Всичко, което трябва да знаете за поредния проб...

Fortinet твърди, че няма доказателства за злонамерена дейност, насо...
16 септември 2024

Canva се похвали с новите си функции, след коет...

Цените на абонамента за Canva ще се повишат за корпоративните потре...
16 септември 2024

Уязвимостта на Windows злоупотребява с брайлови...

Неотдавна поправената уязвимост „Windows MSHTML spoofing vulnerabil...
15 септември 2024

Microsoft и Quantinuum комбинират HPC, AI и ква...

Технологичният гигант Microsoft и водещият разработчик на квантови ...
15 септември 2024

ФБР: Игнорирайте фалшивите твърдения за хакнати...

Федералното бюро за разследване (ФБР) и Агенцията за киберсигурност...
15 септември 2024

Кражби в режим на киоск

Кампания за зловреден софтуер използва необичайния метод на заключв...
Бъдете социални
Още по темата
15/09/2024

Кражби в режим на киоск

Кампания за зловреден софтуер използва необичайния...
11/09/2024

Препоръки за киберсигурност...

Почти всеки тийнейджър  (около 96%) съобщава,...
11/09/2024

4 съвета за киберсигурност ...

Като се фокусират върху постижими основи...
Последно добавени
16/09/2024

Може ли дълбоките технологи...

В началото на 2000-те години Естония...
16/09/2024

Отборите от NFL блокират ки...

През изминалия уикенд Националната футболна лига...
16/09/2024

Google прави големи разходи...

Технологичният гигант сключи нова сделка за ...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!