Откриването на  заплахите, преди те да са ви открили, е от ключово значение за укрепване на киберзащитата ви. Да направите това ефективно и ефикасно не е никак лесна задача, но с малка инвестиция на време можете да овладеете търсенето на заплахи и да спестите на организацията си милиони.

Обърнете внимание на тази зашеметяваща статистика. Cybersecurity Ventures изчислява, че до 2025 г. киберпрестъпленията ще нанесат щети на световната икономика в размер на 10,5 трилиона долара. Измервайки тази сума като държава, цената на киберпрестъпността се равнява на третата по големина икономика в света след САЩ и Китай. Но с помощта на ефективен лов на заплахи можете да попречите на лошите да опустошат вашата организация.

Тази статия предлага подробно обяснение на лова на заплахи – какво представлява, как да го извършвате задълбочено и ефективно и как разузнаването на кибернетични заплахи (CTI) може да подпомогне усилията ви за лов на заплахи.

Какво представлява ловът на заплахи?

Ловът на киберзаплахи е събиране на доказателства, че дадена заплаха се реализира. Това е непрекъснат процес, който ви помага да откриете заплахите, които представляват най-значителен риск за вашата организация, и дава възможност на екипа ви да ги спре, преди да започне атаката.

Лов на заплахи в шест стъпки

 

По време на лова от съществено значение са внимателното планиране и вниманието към детайлите, както и гарантирането, че всички членове на екипа следват един и същ план. За да поддържате ефективност, документирайте всяка стъпка, така че другите от екипа ви да могат лесно да повторят същия процес.

1 – Организиране на лова.

Уверете се, че екипът ви е подготвен и организиран, като инвентаризирате критичните си активи, включително крайни точки, сървъри, приложения и услуги. Тази стъпка ви помага да разберете какво се опитвате да защитите и на какви заплахи сте най-податливи. След това определете местонахождението на всеки актив, кой има достъп до него и как се извършва осигуряването на достъп.

Накрая определете приоритетните си изисквания за разузнаване (PIR), като зададете въпроси за потенциалните заплахи въз основа на средата и инфраструктурата на вашата организация. Например, ако имате отдалечена или хибридна работна сила, такива въпроси могат да включват:

  • Към кои заплахи отдалечените устройства са най-уязвими?
  • Какви доказателства биха оставили тези заплахи?
  • Как ще определим дали даден служител е компрометиран?

2 – Планирайте лова.

В тази фаза ще зададете необходимите параметри чрез следното:

  • Посочете целта си – включително защо е необходим ловът и върху кои заплахи трябва да се съсредоточите, както е определено от вашите PIR. (Например, отдалечените служители може да са по-податливи на фишинг атаки при модел BYOD.)
  • Определете обхвата – определете предположенията си и изложете хипотезата си въз основа на това, което знаете. Можете да стесните обхвата си, като разберете какви доказателства ще се появят, ако заплахата, която търсите, стартира.
  • Разберете ограниченията си, като например до какви набори от данни имате достъп, какви ресурси трябва да анализирате и с колко време разполагате.
  • Определете времевата рамка с реалистичен краен срок.
  • Определете кои среди да изключите и потърсете договорни отношения, които могат да ви попречат да осъществите лова в конкретни условия.
  • Разберете правните и регулаторните ограничения, които трябва да спазвате. (Не можете да нарушавате закона, дори когато ловувате  лоши момчета.)

3 – Използвайте правилните инструменти за работа.

Има много инструменти за търсене на заплахи, в зависимост от инвентара на активите и хипотезата ви. Например, ако търсите потенциален пробив, SIEM и инструментите за разследване могат да ви помогнат да прегледате логовете и да определите дали има изтичане на информация. Следва примерен списък с опции, които могат значително да подобрят ефективността на лова на заплахи:

  • Разузнаване на заплахите – по-конкретно автоматизирани канали и портали за разследване, които извличат информация за заплахите от дълбоката и тъмната мрежа
  • Търсачки и уеб паяци
  • Информация от доставчиците на киберсигурност и антивирусни програми
  • Правителствени ресурси
  • Обществени медии – блогове за киберсигурност, онлайн новинарски сайтове и списания
    SIEM, SOAR, инструменти за разследване и OSINT инструменти

4 – Извършване на лова.

Когато изпълнявате лова, най-добре е да го опростите. Следвайте плана си точка по точка, за да се придържате към правилния път и да избягвате отклонения и разсейване. Изпълнението на лова се осъществява в четири фази:

  • Събиране: това е най-трудоемката част от лова на заплахи, особено ако използвате ръчни методи за събиране на информация за заплахите.
  • Обработка: съберете данните и ги обработете в организиран и разбираем формат, за да могат да бъдат разбрани от други анализатори на заплахи.
  • Анализ: определете какво разкриват вашите констатации.
  • Заключение: ако откриете заплаха, разполагате ли с данни в подкрепа на нейната сериозност?

5 – Завършете и оценете лова.

Оценяването на работата ви преди да започнете следващия лов е наложително, за да ви помогне да се подобрите в хода на работата. По-долу са посочени някои въпроси, които да обмислите в тази фаза:

  • Избраната хипотеза подходяща ли е за лова?
  • Достатъчно тесен ли беше обхватът?
  • Събрахте ли полезна информация или някои процеси можеха да бъдат извършени по различен начин?
  • Разполагахте ли с подходящите инструменти?
  • Всички ли следваха плана и процеса?
  • Чувстваше ли се ръководството овластено да отговаря на въпроси по пътя и имаше ли достъп до цялата необходима информация?

6 – Докладвайте и действайте въз основа на констатациите си.

При приключване на лова можете да видите дали данните потвърждават хипотезата ви – и ако е така, ще предупредите екипите за киберсигурност и за реакция при инциденти. Ако няма доказателства за конкретния проблем, ще трябва да прецените ресурсите и да се уверите, че няма пропуски в анализа на данните. Например може да осъзнаете, че сте прегледали логовете си за компрометиране, но не сте проверили за изтичане на данни в тъмната мрежа.

 

Източник: The Hacker News

Подобни публикации

7 февруари 2025

7 стъпки към подобряване на киберустойчивостта ...

В днешно време повечето аспекти на бизнеса са цифровизирани и е от ...
7 февруари 2025

Hападателите използват открити ключове на ASP.N...

Microsoft предупреждава, че нападателите внедряват зловреден софтуе...
7 февруари 2025

Законодателите от Камарата забраняват приложени...

Двупартийно дуо в Камарата на представителите на САЩ предлага закон...
7 февруари 2025

Zimperium откри 1 000 приложения, използвани в ...

Фирмата за мобилна сигурност Zimperium е разкрила широка злонамерен...
7 февруари 2025

Astra и Invary набираха милиони за AI-Pentesti...

Тази седмица стартиращите компании за киберсигурност Astra Security...
7 февруари 2025

Хакер, атакувал НАТО и армията на САЩ, е аресту...

Испанските власти обявиха, че е арестувано лице, заподозряно като х...
6 февруари 2025

Нигерия с успехи в киберсигурността, въпреки че...

Правителството на Нигерия предприе по-строги мерки срещу финансовит...
Бъдете социални
Още по темата
07/02/2025

7 стъпки към подобряване на...

В днешно време повечето аспекти на...
02/02/2025

Неврокогнитивно въздействие...

В свят, в който компютърно генерираните...
29/01/2025

#33 Cyber Security Talks Bu...

📣 Deepfake е технология, за която...
Последно добавени
07/02/2025

7 стъпки към подобряване на...

В днешно време повечето аспекти на...
07/02/2025

Hападателите използват откр...

Microsoft предупреждава, че нападателите внедряват зловреден...
07/02/2025

Законодателите от Камарата ...

Двупартийно дуо в Камарата на представителите...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!