Търсене
Close this search box.

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да са ви открили, е от ключово значение за укрепване на киберзащитата ви. Да направите това ефективно и ефикасно не е никак лесна задача, но с малка инвестиция на време можете да овладеете търсенето на заплахи и да спестите на организацията си милиони.

Обърнете внимание на тази зашеметяваща статистика. Cybersecurity Ventures изчислява, че до 2025 г. киберпрестъпленията ще нанесат щети на световната икономика в размер на 10,5 трилиона долара. Измервайки тази сума като държава, цената на киберпрестъпността се равнява на третата по големина икономика в света след САЩ и Китай. Но с помощта на ефективен лов на заплахи можете да попречите на лошите да опустошат вашата организация.

Тази статия предлага подробно обяснение на лова на заплахи – какво представлява, как да го извършвате задълбочено и ефективно и как разузнаването на кибернетични заплахи (CTI) може да подпомогне усилията ви за лов на заплахи.

Какво представлява ловът на заплахи?

Ловът на киберзаплахи е събиране на доказателства, че дадена заплаха се реализира. Това е непрекъснат процес, който ви помага да откриете заплахите, които представляват най-значителен риск за вашата организация, и дава възможност на екипа ви да ги спре, преди да започне атаката.

Лов на заплахи в шест стъпки

 

По време на лова от съществено значение са внимателното планиране и вниманието към детайлите, както и гарантирането, че всички членове на екипа следват един и същ план. За да поддържате ефективност, документирайте всяка стъпка, така че другите от екипа ви да могат лесно да повторят същия процес.

1 – Организиране на лова.

Уверете се, че екипът ви е подготвен и организиран, като инвентаризирате критичните си активи, включително крайни точки, сървъри, приложения и услуги. Тази стъпка ви помага да разберете какво се опитвате да защитите и на какви заплахи сте най-податливи. След това определете местонахождението на всеки актив, кой има достъп до него и как се извършва осигуряването на достъп.

Накрая определете приоритетните си изисквания за разузнаване (PIR), като зададете въпроси за потенциалните заплахи въз основа на средата и инфраструктурата на вашата организация. Например, ако имате отдалечена или хибридна работна сила, такива въпроси могат да включват:

  • Към кои заплахи отдалечените устройства са най-уязвими?
  • Какви доказателства биха оставили тези заплахи?
  • Как ще определим дали даден служител е компрометиран?

2 – Планирайте лова.

В тази фаза ще зададете необходимите параметри чрез следното:

  • Посочете целта си – включително защо е необходим ловът и върху кои заплахи трябва да се съсредоточите, както е определено от вашите PIR. (Например, отдалечените служители може да са по-податливи на фишинг атаки при модел BYOD.)
  • Определете обхвата – определете предположенията си и изложете хипотезата си въз основа на това, което знаете. Можете да стесните обхвата си, като разберете какви доказателства ще се появят, ако заплахата, която търсите, стартира.
  • Разберете ограниченията си, като например до какви набори от данни имате достъп, какви ресурси трябва да анализирате и с колко време разполагате.
  • Определете времевата рамка с реалистичен краен срок.
  • Определете кои среди да изключите и потърсете договорни отношения, които могат да ви попречат да осъществите лова в конкретни условия.
  • Разберете правните и регулаторните ограничения, които трябва да спазвате. (Не можете да нарушавате закона, дори когато ловувате  лоши момчета.)

3 – Използвайте правилните инструменти за работа.

Има много инструменти за търсене на заплахи, в зависимост от инвентара на активите и хипотезата ви. Например, ако търсите потенциален пробив, SIEM и инструментите за разследване могат да ви помогнат да прегледате логовете и да определите дали има изтичане на информация. Следва примерен списък с опции, които могат значително да подобрят ефективността на лова на заплахи:

  • Разузнаване на заплахите – по-конкретно автоматизирани канали и портали за разследване, които извличат информация за заплахите от дълбоката и тъмната мрежа
  • Търсачки и уеб паяци
  • Информация от доставчиците на киберсигурност и антивирусни програми
  • Правителствени ресурси
  • Обществени медии – блогове за киберсигурност, онлайн новинарски сайтове и списания
    SIEM, SOAR, инструменти за разследване и OSINT инструменти

4 – Извършване на лова.

Когато изпълнявате лова, най-добре е да го опростите. Следвайте плана си точка по точка, за да се придържате към правилния път и да избягвате отклонения и разсейване. Изпълнението на лова се осъществява в четири фази:

  • Събиране: това е най-трудоемката част от лова на заплахи, особено ако използвате ръчни методи за събиране на информация за заплахите.
  • Обработка: съберете данните и ги обработете в организиран и разбираем формат, за да могат да бъдат разбрани от други анализатори на заплахи.
  • Анализ: определете какво разкриват вашите констатации.
  • Заключение: ако откриете заплаха, разполагате ли с данни в подкрепа на нейната сериозност?

5 – Завършете и оценете лова.

Оценяването на работата ви преди да започнете следващия лов е наложително, за да ви помогне да се подобрите в хода на работата. По-долу са посочени някои въпроси, които да обмислите в тази фаза:

  • Избраната хипотеза подходяща ли е за лова?
  • Достатъчно тесен ли беше обхватът?
  • Събрахте ли полезна информация или някои процеси можеха да бъдат извършени по различен начин?
  • Разполагахте ли с подходящите инструменти?
  • Всички ли следваха плана и процеса?
  • Чувстваше ли се ръководството овластено да отговаря на въпроси по пътя и имаше ли достъп до цялата необходима информация?

6 – Докладвайте и действайте въз основа на констатациите си.

При приключване на лова можете да видите дали данните потвърждават хипотезата ви – и ако е така, ще предупредите екипите за киберсигурност и за реакция при инциденти. Ако няма доказателства за конкретния проблем, ще трябва да прецените ресурсите и да се уверите, че няма пропуски в анализа на данните. Например може да осъзнаете, че сте прегледали логовете си за компрометиране, но не сте проверили за изтичане на данни в тъмната мрежа.

 

Източник: The Hacker News

Подобни публикации

21 май 2024

Arm ще пусне чипове с ИИ през 2025 година

Съобщава се, че базираната в Обединеното кралство компания Arm, еди...
20 май 2024

Атака над ARRL постави радиолюбителите по света...

Американската радиорелейна лига (ARRL) предупреждава, че е претърпя...

Защита на вашите коммити от известни CVEs с Git...

Всички разработчици искат да създават сигурен и надежден софтуер. Т...
20 май 2024

Чрез GitHub и FileZilla се доставя коктейл от ...

Наблюдавана е „многостранна кампания“, при която се зло...
20 май 2024

7 бъга излезли на Pwn2Own все още чакат поправка

Редица сериозни грешки в Windows все още не са навлезли в криминалн...
20 май 2024

Китайци са арестувани за пране на 73 милиона до...

Министерството на правосъдието на САЩ повдигна обвинения на двама а...
20 май 2024

Квантовата навигация може да замени GPS съвсем ...

Британски консорциум, финансиран от правителството на Обединеното к...
19 май 2024

Grandoreiro се завръща по - мощен след прекъсва...

Банковият троянец за Android „Grandoreiro“ се разпростр...
19 май 2024

Норвежци предсказват бедствия с ИИ

Норвежкият стартъп 7Analytics е получил 4 млн. евро, за да предскаж...
Бъдете социални
Още по темата
26/04/2024

Мрежови заплахи: Демонстрац...

Проследете тази симулация на реална мрежова...
20/04/2024

Критична уязвимост на Formi...

Плъгинът Forminator за WordPress, използван в...
09/04/2024

(Пре)откриване на скритата ...

Съвременното нулево доверие е модел за...
Последно добавени
21/05/2024

Arm ще пусне чипове с ИИ пр...

Съобщава се, че базираната в Обединеното...
20/05/2024

Атака над ARRL постави ради...

Американската радиорелейна лига (ARRL) предупреждава, че...
20/05/2024

Защита на вашите коммити от...

Всички разработчици искат да създават сигурен...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!