Ce este Threat Hunting 2023? [Ghid complet]

Publicat: 2023-03-22

Vânătoarea de amenințări cibernetice este o metodă proactivă de securitate pe internet în care vânătorii de amenințări caută pericole de securitate care pot fi ascunse în rețeaua unei companii .

Vânătoarea cibernetică caută în mod activ amenințările nedetectate anterior, neidentificate sau neremediate care ar fi putut scăpa de mecanismele defensive automate ale rețelei dvs., spre deosebire de tehnicile de vânătoare de securitate cibernetică mai pasive, cum ar fi sistemele automate de detectare a amenințărilor.

Cuprins

Ce este vânătoarea de amenințări?

Actul de a căuta activ amenințările cibernetice care se furișează nedetectate într-o rețea este cunoscut sub numele de vânătoare de amenințări. Vânătoarea de amenințări cibernetice exploatează mediul dvs. în căutarea de actori rău intenționați care au depășit măsurile inițiale de securitate ale punctelor finale.

Unele pericole sunt mai sofisticate și mai avansate, în timp ce majoritatea nu pot trece de sistemele de securitate. Timp de săptămâni, atacatorii pot rămâne nedetectați în sistem și fișiere, în timp ce avansează încet prin rețea pentru a aduna mai multe date.

În timpul acestei proceduri pot trece săptămâni sau chiar luni. Poate evita cu ușurință detectarea de la instrumentele de securitate și personalul fără a vâna în mod activ.

Threat Hunting

De ce este importantă vânătoarea de amenințări?

Deoarece amenințările sofisticate pot evita securitatea cibernetică automatizată, vânătoarea de amenințări este crucială.

Încă trebuie să fii îngrijorat de restul de 20% dintre amenințări, chiar dacă instrumentele de securitate automatizate și analiștii din centrul de operațiuni de securitate (SOC) de nivel 1 și 2 ar trebui să fie capabili să gestioneze aproximativ 80% dintre ele.

Amenințările din restul de 20% sunt mai probabil să fie complexe și capabile să facă rău major.

Un atacator poate intra pe ascuns într-o rețea și poate rămâne acolo luni de zile, în timp ce adună informații, caută documente sensibile sau obține acreditări de conectare care îi vor permite să se plimbe prin mediu.

Multe companii nu au abilitățile de detectare sofisticate necesare pentru a preveni amenințările persistente avansate să persistă în rețea, odată ce un adversar a reușit să scape de detectare și un atac a încălcat apărarea unei organizații.

Prin urmare, vânătoarea de amenințări este un element crucial al oricărei strategii de apărare.

Tipuri de vânătoare de amenințări

Site-ul oficial al IBM a explicat cele trei tipuri principale de vânătoare de amenințări destul de adecvat. Potrivit blogului lor, vânătoarea de amenințări este de următoarele tipuri:

1. Vânătoarea structurată

O indicație de atac (IoA) și tacticile, metodele și procedurile atacatorului (TTP) servesc drept fundament pentru o vânătoare sistematică.

Fiecare vânătoare este planificată și se bazează pe TTP-urile actorilor amenințărilor. Din această cauză, vânătorul recunoaște frecvent un actor de amenințare înainte ca atacatorul să aibă șansa de a perturba mediul.

2. Vânătoarea nestructurată

O vânătoare ad-hoc este inițiată pe baza unui declanșator, unul dintre mulți indicatori de compromis (IoC) . Acest declanșator este de obicei folosit pentru a îndemna un vânător să caute modele pre și post-detectare .

În măsura în care păstrarea datelor și infracțiunile asociate anterior o permit, vânătorul poate efectua un studiu pentru a-și stabili planul.

3. Condus de situație sau de entitate

O ipoteză situațională poate fi produsă de evaluarea internă a riscurilor a unei organizații sau de o investigare a tendințelor și a punctelor slabe unice ale infrastructurii sale IT.

Datele de atac culese de la publicul larg, care, atunci când sunt analizate, arată cele mai recente TTP-uri ale amenințărilor cibernetice în curs de desfășurare, este locul în care sunt creați clienții potențiali orientați spre entitate. Vânătorul de amenințări poate scana apoi împrejurimile pentru aceste comportamente specifice.

Cum funcționează vânătoarea de amenințări?

Aspectul uman și capacitatea masivă de procesare a datelor a unei soluții software sunt combinate pentru a urmări eficient amenințările cibernetice.

Vânătorii de amenințări umane se bazează pe datele din instrumente sofisticate de monitorizare și analiză a securității pentru a-i ajuta să descopere și să elimine în mod proactiv amenințările.

Scopul lor este de a folosi soluții și informații/date pentru a găsi adversari care ar putea scăpa de apărarea normală, folosind strategii precum trăirea din pământ.

Intuiția, gândirea etică și strategică și rezolvarea creativă a problemelor sunt toate componentele esențiale ale procesului de vânătoare cibernetică.

Organizațiile sunt capabile să rezolve amenințările mai rapid și mai precis utilizând aceste trăsături umane pe care „ Cyber ​​Threat Hunters ” le aduc la masă, în loc să se bazeze doar pe sistemele automate de detectare a amenințărilor.

Vânători de amenințări cibernetice

Cine sunt vânătorii de amenințări cibernetice?

Cyber ​​Threat Hunters adaugă o notă umană securității afacerii, îmbunătățind măsurile automate. Sunt profesioniști calificați în securitate IT care identifică, înregistrează, urmăresc și eradica amenințările înainte de a avea șansa de a deveni probleme serioase.

Deși ocazional sunt analiști externi, în mod ideal sunt analiști de securitate care cunosc funcționarea departamentului IT al companiei.

Vânătorii de amenințări scrutează informațiile de securitate. Ei caută modele de comportament suspecte pe care un computer le-ar fi ratat sau pe care le-a crezut că au fost gestionate, dar nu sunt, precum și malware ascuns sau atacatori.

Ele ajută, de asemenea, la corectarea sistemului de securitate al unei companii pentru a preveni apariția viitoare a aceluiași tip de intruziuni.

Ce este vânătoarea de amenințări

Condiții preliminare pentru vânătoarea de amenințări

Vânătorii de amenințări trebuie mai întâi să construiască o linie de bază a evenimentelor anticipate sau aprobate pentru a identifica mai bine anomaliile pentru ca vânătoarea de amenințări cibernetice să fie eficientă.

Vânătorii de amenințări pot apoi să parcurgă datele și informațiile de securitate adunate de tehnologiile de detectare a amenințărilor folosind această bază de referință și cele mai recente informații despre amenințări.

Aceste tehnologii pot include detectarea și răspunsul gestionat (MDR) , instrumente de analiză de securitate sau soluții de gestionare a informațiilor și evenimentelor de securitate (SIEM).

Vânătorii de amenințări pot căuta în sistemele dvs. potențiale pericole, activități umbrite sau declanșatoare care se îndepărtează de la normă, după ce sunt înarmați cu date dintr-o varietate de surse, inclusiv date privind punctele finale, rețeaua și cloud.

Vânătorii de amenințări pot crea ipoteze și pot efectua investigații extinse în rețea dacă este găsită o amenințare sau dacă informațiile despre amenințări cunoscute indică noi amenințări posibile.

Vânătorii de amenințări caută informații în timpul acestor investigații pentru a determina dacă o amenințare este dăunătoare sau benignă sau dacă rețeaua este protejată corespunzător de amenințările cibernetice emergente.

Metodologii de vânătoare a amenințărilor

Vânătorii de amenințări își încep investigațiile presupunând că adversarii sunt deja prezenți în sistem și caută comportamente ciudate care pot indica prezența unor activități ostile.

Acest început al unei investigații se încadrează adesea într-una dintre cele trei categorii în vânătoarea proactivă de amenințări.

Pentru a apăra în mod proactiv sistemele și informațiile unei organizații, toate cele trei strategii implică un efort uman care combină resursele de informații despre amenințări cu tehnologia de securitate de ultimă oră.

1. Investigație bazată pe ipoteze

Un nou pericol care a fost descoperit printr-o bază de date vastă de date despre atacuri crowdsourced declanșează frecvent investigații bazate pe ipoteze, oferind informații despre cele mai recente strategii, tehnici și proceduri utilizate de atacatori (TTP).

Vânătorii de amenințări vor verifica apoi pentru a vedea dacă acțiunile unice ale atacatorului sunt prezente în propriul lor mediu odată ce a fost detectat un nou TTP.

2. O investigație bazată pe indicatorii de atac sau pe indicatorii de compromis identificați

Folosind informații despre amenințări tactice, această metodă de vânătoare a amenințărilor listează IOC-uri și IOA cunoscute conectate la noi amenințări. Vânătorii de amenințări le pot folosi apoi ca declanșatori pentru a găsi posibile atacuri ascunse sau activități dăunătoare în desfășurare.

3. Analize avansate și investigații de învățare automată

A treia metodă extrage o mare cantitate de date folosind învățarea automată și analiza avansată a datelor pentru a căuta anomalii care ar putea indica posibile activități ostile.

Aceste anomalii devin piste de vânătoare care sunt examinate de analiști cunoscători pentru a găsi pericole ascunse.

Vânătoare de amenințări cu proxy

Vânătorii de amenințări ar putea găsi o mulțime de informații în înregistrările proxy web. Aceste proxy funcționează ca canale între serverul sau dispozitivul care primește cereri și dispozitivul care trimite cererea.

Un set comun de date generate de proxy-urile web poate fi utilizat pentru a identifica un comportament neobișnuit sau suspect.

De exemplu, un vânător de amenințări la o organizație ar putea analiza informațiile de pericol incluse în jurnalele proxy web și ar putea descoperi activități suspecte cu agenți de utilizator, cum ar fi site-urile cURL și SharePoint .

Ei atrag atenția asupra problemei și descoperă că solicitările sunt legitime și provin de la echipele DevOps.

Pentru a examina aceste jurnale și a găsi orice indivizi rău intenționați printre amestec, vânătorii de amenințări folosesc o varietate de protocoale și metodologii. Jurnalele proxy web oferă frecvent următoarele detalii:

  • Adresa URL de destinație (nume gazdă)
  • IP de destinație
  • Stare HTTP
  • Categoria de domeniu
  • Protocol
  • Portul de destinație
  • Agent utilizator
  • Metoda de solicitare
  • Acțiunea dispozitivului
  • Numele fișierului solicitat
  • Durată

**Și altele!

Cum funcționează vânătoarea de amenințări cu jurnalele proxy?

Să studiem modul în care jurnalele proxy web îi ajută pe acești vânători acum că înțelegeți vânătoarea de amenințări. Analiștii trebuie să folosească o varietate de moduri de a găsi vulnerabilități și părți rău intenționate care interacționează cu rețeaua, deoarece jurnalele proxy web conțin mai multe date.

1. Examinarea traficului blocat:

Este important să aflați ce l-a determinat pe utilizator să acceseze un anumit site web, chiar dacă este posibil să fi fost interzis utilizatorilor organizației. Poate însemna că computerul lor a fost infectat.

2. URL-uri cu solicitări IP:

Această filtrare poate identifica jurnalele care funcționează în jurul restricțiilor de securitate DNS, utilizând adrese IP codificate.

3. URL-uri cu extensii de fișiere:

Acest filtru face vizibile adresele URL potențial periculoase cu extensii de fișiere precum.doc,.pdf și .exe. Atacatorii folosesc frecvent fișiere doc sau pdf cu funcționalitate macro pentru a implanta malware pe o mașină sau o rețea.

4. Adresă URL de referință cunoscută cu adresă URL neobișnuită:

Identificarea legăturilor de phishing poate fi ușoară prin filtrarea jurnalelor care conțin domenii de recomandare populare și adrese URL distincte.

Diferența dintre Threat Hunting și Threat Intelligence

Inteligența amenințărilor este o colecție de date referitoare la tentativele sau intruziunile de succes, care sunt de obicei colectate și examinate de sistemele de securitate automatizate care utilizează învățarea automată și inteligența artificială.

Aceste informații sunt utilizate în vânătoarea de amenințări pentru a efectua o căutare amănunțită, la nivelul întregului sistem, a utilizatorilor rău intenționați.

Vânătoarea de amenințări, cu alte cuvinte, începe acolo unde se termină informațiile despre amenințări. O vânătoare productivă de amenințări poate găsi și pericole care nu au fost încă văzute în sălbăticie.

Indicatorii de amenințare sunt uneori folosiți ca indicii sau ipoteze în vânătoarea de amenințări. Amprentele virtuale lăsate de malware sau de un atacator, o adresă IP ciudată, e-mailurile de phishing sau alt trafic de rețea anormal sunt toate exemple de indicatori de amenințare.

Link-uri rapide:

  • Cyberlab Review
  • CyberImpact Review
  • CyberVista IT Training Review
  • Cele mai bune programe de afiliere de securitate cibernetică

Concluzie: Ce este Threat Hunting 2023?

Procedura obișnuită de detectare, reacție și remediere a incidentelor este puternic completată de vânătoarea de amenințări. O strategie realistă și practică pentru afaceri este să se întărească împotriva amenințărilor neprevăzute.

Cu toate acestea, monitorizarea jurnalelor proxy face posibilă, de asemenea, identificarea utilizatorilor care ar putea răzui site-uri web. Cei care încearcă doar să finalizeze sarcini legitime se confruntă cu probleme într-o astfel de situație.

Prin folosirea mai multor proxy, în special pe cei care ajută la ascunderea adevăratei lor adrese IP, utilizatorii pot evita vânătorii de amenințări să-și detecteze activitățile.

De asemenea, jurnalele lor nu ridică un steag roșu pentru acești vânători, deoarece nu există o singură adresă IP pentru toate activitățile lor.

Pentru aceasta, veți avea nevoie de proxy-uri de înaltă calitate care par legitime pentru software-ul de vânătoare de amenințări. Pentru a răspunde la întrebarea dvs., software-ul de vânătoare de amenințări este practic un program care realizează protocoale și analize de vânătoare de amenințări.

Legături rapide

  • Cele mai bune proxy pentru agregarea tarifelor de călătorie
  • Cele mai bune proxy franceze
  • Cele mai bune proxy Tripadvisor
  • Cele mai bune proxy Etsy
  • Cod cupon IPRoyal
  • Cele mai bune proxy TikTok
  • Cele mai bune proxy partajate