Czym jest polowanie na zagrożenia 2023? [Kompletny przewodnik]

Opublikowany: 2023-03-22

Polowanie na cyberzagrożenia to proaktywna metoda zabezpieczania Internetu , w której łowcy zagrożeń szukają zagrożeń bezpieczeństwa , które mogą być ukryte w sieci firmowej .

Cyberhunting aktywnie wyszukuje wcześniej niewykryte, niezidentyfikowane lub nienaprawione zagrożenia, które mogły umknąć zautomatyzowanym mechanizmom obronnym Twojej sieci, w przeciwieństwie do bardziej pasywnych technik polowania na cyberbezpieczeństwo, takich jak zautomatyzowane systemy wykrywania zagrożeń.

Spis treści

Czym jest polowanie na zagrożenia?

Czynność polegająca na aktywnym poszukiwaniu cyberzagrożeń, które czają się niewykryte w sieci, nazywana jest polowaniem na zagrożenia. Polowanie na cyberzagrożenia przeszukuje Twoje środowisko w poszukiwaniu złośliwych aktorów, którzy pokonali początkowe środki bezpieczeństwa punktów końcowych.

Niektóre zagrożenia są bardziej wyrafinowane i zaawansowane, podczas gdy większość nie może ominąć systemów bezpieczeństwa. Przez tygodnie osoby atakujące mogą pozostać niewykryte w systemie i plikach, powoli posuwając się przez sieć w celu zebrania większej ilości danych.

Podczas tej procedury mogą minąć tygodnie, a nawet miesiące. Może łatwo uniknąć wykrycia przez narzędzia bezpieczeństwa i personel bez aktywnego polowania.

Threat Hunting

Dlaczego wykrywanie zagrożeń jest ważne?

Ponieważ wyrafinowane zagrożenia mogą ominąć zautomatyzowane zabezpieczenia cybernetyczne, kluczowe znaczenie ma polowanie na zagrożenia.

Nadal musisz martwić się o pozostałe 20% zagrożeń, nawet jeśli zautomatyzowane narzędzia bezpieczeństwa i analitycy centrum operacji bezpieczeństwa poziomu 1 i 2 (SOC) powinni być w stanie obsłużyć około 80% z nich.

Zagrożenia w pozostałych 20% są bardziej złożone i mogą wyrządzić poważne szkody.

Osoba atakująca może potajemnie wejść do sieci i pozostać w niej przez miesiące, po cichu zbierając informacje, przeszukując poufne dokumenty lub uzyskując dane logowania, które pozwolą mu wędrować po środowisku.

Wielu firmom brakuje zaawansowanych umiejętności wykrywania, które są wymagane, aby zapobiec utrzymywaniu się w sieci zaawansowanych, trwałych zagrożeń, gdy przeciwnikowi uda się uciec przed wykryciem, a atak przełamie obronę organizacji.

Polowanie na zagrożenia jest zatem kluczowym elementem każdej strategii obronnej.

Rodzaje polowania na zagrożenia

Oficjalna witryna IBM całkiem dobrze wyjaśniła trzy główne typy polowania na zagrożenia. Według ich bloga, polowanie na zagrożenia ma następujące typy:

1. Zorganizowane polowanie

Wskazanie ataku (IoA) oraz taktyki, metod i procedur atakującego (TTP) służy jako podstawa systematycznego polowania.

Każde polowanie jest zaplanowane i oparte na TTP cyberprzestępców. Z tego powodu łowca często rozpoznaje atakującego, zanim atakujący będzie miał szansę zakłócić środowisko.

2. Niezorganizowane polowanie

Polowanie ad hoc jest inicjowane na podstawie wyzwalacza, jednego z wielu wskaźników kompromisu (IoC) . Ten wyzwalacz jest zwykle używany, aby nakłonić myśliwego do szukania wzorców przed i po wykryciu .

W zakresie, w jakim pozwala na to przechowywanie danych i wcześniej powiązane przestępstwa, myśliwy może przeprowadzić badanie w celu ustalenia swojego planu.

3. Sterowany sytuacyjnie lub podmiotowo

Hipotezę sytuacyjną można wysunąć na podstawie wewnętrznej oceny ryzyka organizacji lub badania trendów i słabości charakterystycznych dla jej infrastruktury IT.

Dane o atakach zebrane od ogółu społeczeństwa, które po przejrzeniu pokazują najnowsze TTP bieżących zagrożeń cybernetycznych, są miejscem, w którym tworzone są leady zorientowane na podmioty. Łowca zagrożeń może następnie przeskanować otoczenie w poszukiwaniu tych konkretnych zachowań.

Jak działa wykrywanie zagrożeń?

Aspekt ludzki i ogromne możliwości przetwarzania danych rozwiązania programowego są połączone, aby skutecznie polować na cyberzagrożenia.

Łowcy zagrożeń polegają na danych pochodzących z zaawansowanych narzędzi do monitorowania i analizy bezpieczeństwa, które pomagają im w proaktywnym wykrywaniu i eliminowaniu zagrożeń.

Ich celem jest zastosowanie rozwiązań i danych wywiadowczych w celu znalezienia przeciwników, którzy mogą wymknąć się normalnej obronie, stosując strategie takie jak życie z ziemi.

Intuicja, myślenie etyczne i strategiczne oraz kreatywne rozwiązywanie problemów to podstawowe elementy procesu polowania na cyberprzestępców.

Organizacje są w stanie szybciej i dokładniej rozwiązywać zagrożenia, wykorzystując te cechy ludzkie, które wnoszą „ łowcy cyberzagrożeń ”, zamiast polegać jedynie na zautomatyzowanych systemach wykrywania zagrożeń.

Łowcy cyberzagrożeń

Kim są łowcy cyberzagrożeń?

Cyber ​​​​Threat Hunters dodają ludzki wymiar do bezpieczeństwa biznesowego, ulepszając zautomatyzowane środki. Są to wykwalifikowani specjaliści ds. bezpieczeństwa IT, którzy identyfikują, rejestrują, obserwują i eliminują zagrożenia, zanim będą miały szansę stać się poważnymi problemami.

Chociaż czasami są to analitycy zewnętrzni, najlepiej są to analitycy bezpieczeństwa, którzy mają wiedzę na temat działania działu IT firmy.

Łowcy zagrożeń przeszukują informacje dotyczące bezpieczeństwa. Szukają podejrzanych wzorców zachowań, które komputer mógł przeoczyć lub myślał, że zostały obsłużone, ale tak nie jest, a także ukrytego złośliwego oprogramowania lub atakujących.

Pomagają również w łataniu systemu bezpieczeństwa firmy, aby zapobiec występowaniu tego samego rodzaju włamań w przyszłości.

Czym jest polowanie na zagrożenia

Wymagania wstępne dla polowania na zagrożenia

Łowcy zagrożeń muszą najpierw zbudować linię bazową przewidywanych lub zatwierdzonych zdarzeń, aby lepiej wykrywać anomalie, aby polowanie na cyberzagrożenia było skuteczne.

Łowcy zagrożeń mogą następnie przeglądać dane bezpieczeństwa i informacje zebrane przez technologie wykrywania zagrożeń, korzystając z tej linii bazowej i najnowszych informacji o zagrożeniach.

Technologie te mogą obejmować zarządzane wykrywanie i reagowanie (MDR) , narzędzia do analizy bezpieczeństwa lub rozwiązania do zarządzania informacjami i zdarzeniami bezpieczeństwa (SIEM).

Łowcy zagrożeń mogą przeszukiwać Twoje systemy pod kątem potencjalnych zagrożeń, podejrzanych działań lub wyzwalaczy, które odbiegają od normy, po uzbrojeniu się w dane z różnych źródeł, w tym danych punktów końcowych, sieci i chmury.

Łowcy zagrożeń mogą tworzyć hipotezy i przeprowadzać szeroko zakrojone badania sieciowe, jeśli zostanie wykryte zagrożenie lub jeśli znane informacje o zagrożeniach wskażą na nowe możliwe zagrożenia.

Łowcy zagrożeń szukają informacji podczas tych dochodzeń, aby ustalić, czy zagrożenie jest szkodliwe, czy łagodne, lub czy sieć jest odpowiednio chroniona przed pojawiającymi się cyberzagrożeniami.

Metodologie wykrywania zagrożeń

Łowcy zagrożeń rozpoczynają dochodzenie zakładając, że przeciwnicy są już obecni w systemie i szukają dziwnych zachowań, które mogą wskazywać na obecność wrogich działań.

Ten początek dochodzenia często należy do jednej z trzech kategorii proaktywnego polowania na zagrożenia.

W celu proaktywnej ochrony systemów i informacji organizacji, wszystkie trzy strategie wymagają wysiłku ludzkiego, który łączy zasoby analizy zagrożeń z najnowocześniejszą technologią bezpieczeństwa.

1. Badanie oparte na hipotezach

Nowe zagrożenie, które zostało odkryte dzięki obszernej bazie danych o atakach pochodzących z crowdsourcingu, często prowadzi do dochodzeń opartych na hipotezach, dostarczając informacji na temat najnowszych strategii, technik i procedur stosowanych przez atakujących (TTP).

Łowcy zagrożeń będą następnie sprawdzać, czy unikalne działania atakującego są obecne w ich własnym środowisku po wykryciu nowego TTP.

2. Dochodzenie w oparciu o zidentyfikowane wskaźniki ataku lub wskaźniki kompromisu

Wykorzystując taktyczną analizę zagrożeń, ta metoda polowania na zagrożenia zawiera listę znanych IOC i IOA powiązanych z nowymi zagrożeniami. Łowcy zagrożeń mogą następnie wykorzystać je jako wyzwalacze do wykrywania potencjalnych tajnych ataków lub trwających szkodliwych działań.

3. Zaawansowana analityka i badania uczenia maszynowego

Trzecia metoda polega na przekopywaniu się przez ogromną ilość danych przy użyciu uczenia maszynowego i zaawansowanej analizy danych w poszukiwaniu anomalii, które mogą wskazywać na możliwe wrogie działania.

Anomalie te stają się tropami łowieckimi, które są badane przez doświadczonych analityków w celu znalezienia ukrytych niebezpieczeństw.

Polowanie na zagrożenia z serwerami proxy

Łowcy zagrożeń mogą znaleźć mnóstwo informacji w rekordach serwerów proxy sieci. Te serwery proxy działają jako kanały między serwerem lub urządzeniem odbierającym żądania a urządzeniem wysyłającym żądanie.

Typowy zestaw danych generowanych przez internetowe serwery proxy może być wykorzystany do wykrywania nietypowych lub podejrzanych zachowań.

Na przykład łowca zagrożeń w organizacji może analizować informacje o zagrożeniach zawarte w dziennikach serwera proxy sieci Web i wykrywać podejrzaną aktywność z programami użytkownika, takimi jak cURL i witryny SharePoint .

Zwracają uwagę na problem i odkrywają, że żądania są uzasadnione i pochodzą od zespołów DevOps.

Aby przeanalizować te dzienniki i znaleźć wśród nich złośliwe osoby, łowcy zagrożeń stosują różne protokoły i metodologie. Dzienniki serwera proxy sieci Web często zawierają następujące szczegóły:

  • Docelowy adres URL (nazwa hosta)
  • Docelowy adres IP
  • Stan HTTP
  • Kategoria domeny
  • Protokół
  • Port docelowy
  • Agent użytkownika
  • Metoda żądania
  • Działanie urządzenia
  • Żądana nazwa pliku
  • Czas trwania

**I więcej!

Jak działa wykrywanie zagrożeń za pomocą dzienników proxy?

Przyjrzyjmy się, w jaki sposób dzienniki serwera proxy sieci Web pomagają tym łowcom teraz, gdy rozumiesz, czym jest polowanie na zagrożenia. Analitycy muszą stosować różne sposoby znajdowania luk w zabezpieczeniach i złośliwych stron angażujących się w sieć, ponieważ dzienniki serwera proxy sieci Web zawierają kilka fragmentów danych.

1. Przeglądanie zablokowanego ruchu:

Ważne jest, aby dowiedzieć się, co skłoniło użytkownika do uzyskania dostępu do określonej witryny, mimo że mogło to być zabronione dla użytkowników organizacji. Może to oznaczać, że ich komputer został zainfekowany.

2. Adresy URL z żądaniami IP:

Ta filtracja może wykrywać dzienniki, które omijają ograniczenia zabezpieczeń DNS, używając zakodowanych na stałe adresów IP.

3. Adresy URL z rozszerzeniami plików:

Ten filtr uwidacznia potencjalnie niebezpieczne adresy URL z rozszerzeniami plików, takimi jak.doc,.pdf i .exe. Atakujący często wykorzystują pliki doc lub pdf z funkcjami makr do wszczepiania złośliwego oprogramowania do komputera lub sieci.

4. Znany adres URL strony odsyłającej z nietypowym adresem URL:

Identyfikację linków phishingowych można ułatwić, filtrując dzienniki zawierające popularne domeny odsyłające i charakterystyczne adresy URL.

Różnica między polowaniem na zagrożenia a analizą zagrożeń

Analiza zagrożeń to zbiór danych dotyczących prób lub udanych włamań, które są zwykle gromadzone i analizowane przez zautomatyzowane systemy bezpieczeństwa wykorzystujące uczenie maszynowe i sztuczną inteligencję.

Informacje te są wykorzystywane podczas polowania na zagrożenia w celu przeprowadzenia dokładnego wyszukiwania złośliwych użytkowników w całym systemie.

Innymi słowy, polowanie na zagrożenia zaczyna się tam, gdzie kończy się analiza zagrożeń. Produktywne polowanie na zagrożenia może również znaleźć niebezpieczeństwa, których jeszcze nie widziano w środowisku naturalnym.

Wskaźniki zagrożeń są czasami używane jako trop lub hipoteza w polowaniu na zagrożenia. Wirtualne odciski palców pozostawione przez złośliwe oprogramowanie lub osobę atakującą, dziwny adres IP, wiadomości phishingowe lub inny nietypowy ruch sieciowy to przykłady wskaźników zagrożenia.

Szybkie linki:

  • Recenzja Cyberlabu
  • Recenzja CyberImpact
  • Przegląd szkoleń IT CyberVista
  • Najlepsze programy partnerskie w zakresie bezpieczeństwa cybernetycznego

Wniosek: czym jest Threat Hunting 2023?

Zwykła procedura wykrywania incydentów, reagowania i korygowania jest silnie uzupełniana przez polowanie na zagrożenia. Realistyczną i praktyczną strategią dla firm jest wzmacnianie się przed nieprzewidzianymi zagrożeniami.

Niemniej jednak monitorowanie dzienników proxy umożliwia również identyfikację użytkowników, którzy mogą przeglądać strony internetowe. Ci, którzy jedynie próbują wykonać uzasadnione zadania, napotykają w takiej sytuacji problemy.

Wykorzystując kilka serwerów proxy, zwłaszcza tych, które pomagają ukryć swój prawdziwy adres IP, użytkownicy mogą uniknąć wykrycia ich działań przez łowców zagrożeń.

Ponadto ich dzienniki nie wywołują czerwonej flagi dla tych łowców, ponieważ nie ma jednego adresu IP dla wszystkich ich działań.

Do tego potrzebne będą wysokiej jakości serwery proxy, które wydają się zgodne z oprogramowaniem do polowania na zagrożenia. Aby odpowiedzieć na twoje pytanie, oprogramowanie do polowania na zagrożenia to w zasadzie program, który wykonuje protokoły i analizy polowania na zagrożenia.

Szybkie linki

  • Najlepsze proxy do agregacji taryf podróżnych
  • Najlepsze francuskie proxy
  • Najlepsze proxy strony Tripadvisor
  • Najlepsze serwery proxy Etsy
  • IProyal kod kuponu
  • Najlepsze proxy TikTok
  • Najlepsze współdzielone proxy