Поиск угроз – это отличный способ обнаружения уязвимостей в вашей системе. Но что это такое на самом деле и чем охота за угрозами отличается от пен-тестов?
Поскольку атаки в сфере кибербезопасности происходят все чаще и становятся все более разрушительными, важно, чтобы люди понимали, что они подвержены риску таких событий в большей степени, чем они могут подумать. Тем не менее, поиск угроз является важной частью надежной стратегии интернет-безопасности
Так что же на самом деле означает охота за угрозами? Чем она отличается от тестирования на проникновение? И как охота за угрозами укрепляет вашу онлайн-безопасность?
Что такое охота за угрозами?
Поиск угроз подразумевает активный поиск признаков опасной, нежелательной активности. Это противоположно ожиданию предупреждения платформы безопасности о признаках проблем
Некоторые люди сначала думают, что тесты на проникновение (pen) – это то же самое, что и упражнения по поиску угроз. Однако целью пен-теста является поиск всех уязвимостей и определение рисков, связанных с их неустранением. Поиск угроз предполагает, что атака уже произошла, и цель – сдержать ее развитие
Однако результаты поиска угроз часто выявляют и уязвимости. Это особенно актуально, когда специалисты по кибербезопасности узнают больше о точках входа и методах атаки
Сколько получают охотники за угрозами за свои усилия? Средняя базовая зарплата в США составляет более 110 000 долларов в год, что говорит о высоком спросе на такие услуги
Как люди участвуют в охоте за угрозами?
Охотники за угрозами ищут индикаторы компрометации (IoC) и индикаторы атаки (IoA).IoC фокусируется на том, чего хакеры хотят достичь, проникнув в сеть. Тогда IoA – это подозрительная активность, которая может быть признаком атаки
Человек, практикующий поиск угроз, оценивает среду, используя несколько возможных методов. Например, подход, основанный на данных, рассматривает такие ресурсы, как журналы прокси-серверов и свидетельства передачи больших объемов данных
Охота за угрозами на основе интеллектуального подхода опирается на открытые и коммерческие источники данных, показывающие риски кибербезопасности и симптомы таких проблем
Охотники за угрозами могут также сосредоточиться на тактике, технике и процедурах (TTP) злоумышленника. Например, какие инструменты использует хакер для проникновения в сеть? Когда и как они их применяют?
Поиск угроз на основе поведения – более новая техника, но чрезвычайно полезная для обнаружения возможных внутренних рисков. Охотники за угрозами устанавливают базовый уровень ожидаемых действий от пользователей сети, а затем ищут отклонения
Важность релевантной информации
Успешное использование этих методов требует от охотника за угрозами обширных знаний об ожидаемой активности в сети
Поскольку сегодня персонал становится все более распределенным, брандмауэры компании часто оказываются недостаточными для защиты сети. Однако эксперты считают, что необходимо постоянно проверять, являются ли люди, пытающиеся получить доступ к ресурсам компании, уполномоченными лицами. Именно поэтому компании часто проверяют подлинность работников с помощью различной информации
Связанное: Что такое принцип наименьших привилегий и как он может предотвратить кибератаки?
Команды по поиску угроз нуждаются в большом количестве данных журналов, собранных за определенное время. Получение этой информации из различных источников помогает им действовать эффективно и выявлять признаки проблем. Данные конечных точек, как правило, наиболее ценны для охотников за угрозами, поскольку они находятся ближе всего к нежелательному событию
Охота за угрозами укрепляет вашу кибербезопасность
Охота за угрозами – это не то, что можно сделать один раз и считать, что дело сделано. Постоянная итерация делает усилия по обнаружению более плодотворными. Как только охотники за угрозами узнают, что является нормальной деятельностью, необычные события становятся более очевидными
Чем больше знаний получено об ИТ-среде и сети, тем сильнее организация будет защищена от попыток кибератак
Комментировать