Что такое охота за угрозами 2023? [Полное руководство]

Опубликовано: 2023-03-22

Поиск киберугроз — это упреждающий метод обеспечения безопасности в Интернете , при котором охотники за угрозами ищут угрозы безопасности , которые могут быть скрыты в сети компании .

Киберохота активно ищет ранее необнаруженные, неопознанные или неустраненные угрозы, которые могли ускользнуть от автоматических защитных механизмов вашей сети, в отличие от более пассивных методов поиска кибербезопасности, таких как автоматизированные системы обнаружения угроз.

Оглавление

Что такое охота за угрозами?

Активный поиск киберугроз, которые незамеченными скрываются в сети, называется поиском угроз. Поиск киберугроз просматривает вашу среду в поисках злоумышленников, которые преодолели ваши первоначальные меры безопасности конечных точек.

Некоторые опасности более изощренные и продвинутые, в то время как большинство не может пройти мимо систем безопасности. В течение нескольких недель злоумышленники могут оставаться незамеченными в системе и файлах, медленно продвигаясь по сети, чтобы собрать больше данных.

Во время этой процедуры могут пройти недели или даже месяцы. Он может легко избежать обнаружения средствами безопасности и персоналом без активной охоты.

Threat Hunting

Почему поиск угроз важен?

Поскольку сложные угрозы могут обойти автоматическую кибербезопасность, поиск угроз имеет решающее значение.

Оставшиеся 20 % угроз по-прежнему необходимо учитывать, даже если автоматизированные инструменты безопасности и аналитики центра управления безопасностью (SOC) уровня 1 и 2 должны справиться с примерно 80 % из них.

Угрозы в оставшихся 20%, скорее всего, будут сложными и способными нанести серьезный вред.

Злоумышленник может проникнуть в сеть тайно и оставаться там в течение нескольких месяцев, пока он молча собирает информацию, ищет конфиденциальные документы или получает учетные данные для входа, которые позволят ему перемещаться по окружающей среде.

Многим предприятиям не хватает сложных навыков обнаружения, необходимых для предотвращения появления сложных постоянных угроз в сети после того, как злоумышленнику удалось избежать обнаружения, а атака прорвала защиту организации.

Таким образом, поиск угроз является важнейшим элементом любой стратегии защиты.

Типы поиска угроз

На официальном веб-сайте IBM вполне уместно описаны три основных типа поиска угроз. Согласно их блогу, охота за угрозами бывает следующих типов:

1. Структурированная охота

Индикация атаки (IoA) и тактика, методы и процедуры злоумышленника (TTP) служат основой для систематической охоты.

Каждая охота планируется и основывается на TTP злоумышленников. Из-за этого охотник часто распознает злоумышленника до того, как у злоумышленника появится шанс нарушить окружающую среду.

2. Неструктурированная охота

Специальная охота инициируется на основе триггера, одного из многих индикаторов компрометации (IoC) . Этот триггер обычно используется, чтобы побудить охотника искать шаблоны до и после обнаружения .

В той мере, в какой позволяют хранение данных и ранее связанные правонарушения, охотник может провести исследование для разработки своего плана.

3. Ситуационное или сущностное управление

Ситуационная гипотеза может быть получена в результате внутренней оценки рисков организации или путем изучения тенденций и слабых мест, уникальных для ее ИТ-инфраструктуры.

Данные об атаках, собранные от широкой публики, которые при просмотре показывают самые последние TTP текущих киберугроз, — это то место, где создаются ориентированные на сущности возможности. Затем охотник за угрозами может сканировать окружение на наличие этих конкретных действий.

Как работает поиск угроз?

Человеческий аспект и огромные возможности обработки данных программного решения объединяются для эффективного поиска киберугроз.

Охотники за угрозами полагаются на данные сложных инструментов мониторинга и аналитики безопасности, которые помогают им заблаговременно обнаруживать и устранять угрозы.

Их цель — использовать решения и разведывательные данные/данные для поиска противников, которые могут ускользнуть от обычной защиты, используя такие стратегии, как жизнь за счет земли.

Интуиция, этическое и стратегическое мышление, а также творческий подход к решению проблем — все это важные компоненты процесса киберохоты.

Организации могут быстрее и точнее устранять угрозы, используя эти человеческие качества, которые « охотники за киберугрозами » привносят на стол, а не просто полагаясь на автоматизированные системы обнаружения угроз.

Охотники за киберугрозами

Кто такие охотники за киберугрозами?

Охотники за киберугрозами добавляют человеческий фактор к безопасности бизнеса, усиливая автоматизированные меры. Это квалифицированные специалисты по информационной безопасности, которые выявляют, регистрируют, отслеживают и устраняют угрозы до того, как они перерастут в серьезные проблемы.

Хотя иногда они являются внешними аналитиками, в идеале они являются аналитиками по безопасности, которые хорошо осведомлены о работе ИТ-отдела компании.

Охотники за угрозами изучают информацию о безопасности. Они ищут подозрительные модели поведения, которые компьютер, возможно, пропустил или думал, что они были обработаны, но это не так, а также скрытые вредоносные программы или злоумышленники.

Они также помогают исправить систему безопасности предприятия, чтобы предотвратить повторение подобных вторжений в будущем.

Что такое охота за угрозами

Предпосылки для поиска угроз

Охотники за угрозами должны сначала создать базовый уровень ожидаемых или одобренных событий, чтобы лучше выявлять аномалии для эффективного поиска киберугроз.

Затем охотники за угрозами могут просматривать данные безопасности и информацию, собранную технологиями обнаружения угроз, используя этот базовый уровень и самую последнюю информацию об угрозах.

Эти технологии могут включать в себя управляемое обнаружение и реагирование (MDR) , средства аналитики безопасности или решения для управления информацией и событиями безопасности (SIEM).

Охотники за угрозами могут искать в ваших системах потенциальные опасности, сомнительную активность или триггеры, отклоняющиеся от нормы, после того, как они вооружаются данными из различных источников, включая данные конечных точек, сети и облачных данных.

Охотники за угрозами могут выдвигать гипотезы и проводить обширные сетевые расследования, если обнаружена угроза или если известные сведения об угрозах указывают на новые возможные угрозы.

Охотники за угрозами ищут информацию во время этих расследований, чтобы определить, является ли угроза вредоносной или безобидной, а также правильно ли защищена сеть от возникающих киберугроз.

Методологии поиска угроз

Охотники за угрозами начинают свои расследования, предполагая, что злоумышленники уже присутствуют в системе, и ищут странное поведение, которое может указывать на присутствие враждебных действий.

Это начало расследования часто попадает в одну из трех категорий проактивного поиска угроз.

В целях упреждающей защиты систем и информации организации все три стратегии предусматривают усилия человека, сочетающие ресурсы разведки угроз с передовыми технологиями безопасности.

1. Исследование, основанное на гипотезе

Новая опасность, которая была обнаружена в обширной базе данных об атаках, собранных с помощью краудсорсинга, часто вызывает расследования, основанные на гипотезах, предоставляя информацию о самых последних стратегиях, методах и процедурах, используемых злоумышленниками (TTP).

Затем охотники за угрозами проверят, присутствуют ли уникальные действия злоумышленника в их собственной среде после обнаружения нового TTP.

2. Расследование на основе выявленных индикаторов атаки или индикаторов компрометации.

Используя тактическую информацию об угрозах, этот метод поиска угроз составляет список известных IOC и IOA, связанных со свежими угрозами. Затем охотники за угрозами могут использовать их в качестве триггеров для обнаружения предполагаемых скрытых атак или продолжающихся вредоносных действий.

3. Расширенная аналитика и исследования машинного обучения

Третий метод просматривает огромное количество данных с использованием машинного обучения и расширенного анализа данных для поиска аномалий, которые могут указывать на возможные враждебные действия.

Эти аномалии становятся охотничьими зацепками, которые исследуются знающими аналитиками, чтобы найти скрытые опасности.

Охота за угрозами с помощью прокси

Охотники за угрозами могут найти массу информации в записях веб-прокси. Эти прокси функционируют как каналы связи между сервером или устройством, которое получает запросы, и устройством, которое отправляет запрос.

Общий набор данных, генерируемых веб-прокси, можно использовать для обнаружения необычного или подозрительного поведения.

Например, специалист по поиску угроз в организации может проанализировать информацию об опасностях, включенную в журналы веб-прокси, и обнаружить подозрительную активность с помощью пользовательских агентов, таких как cURL и сайты SharePoint .

Они обращают внимание на проблему и обнаруживают, что запросы законны и исходят от команд DevOps.

Чтобы изучить эти журналы и найти среди них любых злоумышленников, охотники за угрозами используют различные протоколы и методологии. Журналы веб-прокси часто предлагают следующую информацию:

  • Целевой URL (имя хоста)
  • IP-адрес назначения
  • HTTP-статус
  • Категория домена
  • Протокол
  • Порт назначения
  • Агент пользователя
  • Метод запроса
  • Действие устройства
  • Запрашиваемое имя файла
  • Продолжительность

**И более!

Как работает поиск угроз с помощью журналов прокси?

Теперь, когда вы понимаете, что такое поиск угроз, давайте изучим, как журналы веб-прокси помогают этим охотникам. Аналитики должны использовать различные способы для поиска уязвимостей и злоумышленников, взаимодействующих с сетью, поскольку журналы веб-прокси содержат несколько фрагментов данных.

1. Просмотр заблокированного трафика:

Важно выяснить, что привело пользователя к доступу к определенному веб-сайту, даже если он был запрещен для пользователей организации. Это может означать, что их компьютер был заражен.

2. URL-адреса с IP-запросами:

Эта фильтрация может обнаруживать журналы, которые обходят ограничения безопасности DNS, используя жестко заданные IP-адреса.

3. URL-адреса с расширениями файлов:

Этот фильтр делает видимыми потенциально опасные URL-адреса с расширениями файлов, такими как .doc, .pdf и .exe. Злоумышленники часто используют файлы doc или pdf с функциями макросов для внедрения вредоносного ПО в компьютер или сеть.

4. Известный URL-адрес реферера с необычным URL-адресом:

Выявление фишинговых ссылок может быть упрощено путем фильтрации журналов, содержащих популярные реферальные домены и отличительные URL-адреса.

Разница между поиском угроз и анализом угроз

Аналитика угроз — это набор данных о попытках или успешных вторжениях, которые обычно собираются и проверяются автоматизированными системами безопасности с использованием машинного обучения и искусственного интеллекта.

Эта информация используется при поиске угроз для проведения тщательного общесистемного поиска злоумышленников.

Иными словами, поиск угроз начинается там, где заканчивается информация об угрозах. Продуктивный поиск угроз может также найти опасности, которых еще не видели в дикой природе.

Индикаторы угроз иногда используются в качестве наводки или гипотезы при поиске угроз. Виртуальные отпечатки пальцев, оставленные вредоносным ПО или злоумышленником, странный IP-адрес, фишинговые электронные письма или другой аномальный сетевой трафик — все это примеры индикаторов угрозы.

Быстрые ссылки:

  • Обзор киберлаборатории
  • Обзор CyberImpact
  • Обзор ИТ-тренинга CyberVista
  • Лучшие партнерские программы по кибербезопасности

Заключение: что такое Threat Hunting 2023?

Обычная процедура обнаружения, реагирования и устранения инцидентов сильно дополняется поиском угроз. Реалистичная и практичная стратегия для бизнеса состоит в том, чтобы защитить себя от непредвиденных угроз.

Тем не менее, мониторинг журналов прокси также позволяет идентифицировать пользователей, которые могут парсить веб-сайты. Те, кто просто пытается выполнить законные задачи, сталкиваются с проблемами в такой ситуации.

Используя несколько прокси-серверов, особенно тех, которые помогают скрыть их истинный IP-адрес, пользователи могут избежать обнаружения их действий охотниками за угрозами.

Кроме того, их журналы не вызывают опасений у этих охотников, потому что нет единого IP-адреса для всех их действий.

Для этого вам потребуются высококачественные прокси-серверы, которые кажутся законными для программного обеспечения для поиска угроз. Чтобы ответить на ваш вопрос, программное обеспечение для поиска угроз — это, по сути, программа, которая выполняет протоколы поиска угроз и анализ.

Быстрые ссылки

  • Лучшие прокси для агрегации тарифов на поездки
  • Лучшие французские прокси
  • Лучшие прокси-серверы Tripadvisor
  • Лучшие прокси Etsy
  • IPRoyal код купона
  • Лучшие прокси TikTok
  • Лучшие общие прокси