Q:
Кои са основните предимства на лов на заплахи?
A:Нека започнем с разбирането какво е лов на заплахи: Това е процес на търсене - ред по ред и събитие по събитие - за индикатори за много специфични заплахи. Не е въпрос на търсене на това, което може да е аномалия. Това е актът на откриване на индикатори на неща, за които знаем, че се случват. Това е като проверка за кърлежи, след като сте се разхождали из гората. Ако имате основателна причина да повярвате, че в гората има кърлежи, проверете дали някой е стигнал до каране. Ползата от лова за тях е, че можете да ги намерите и да се отървете от тях, преди да ви ухапят и да ви разболеят.
Това каза, като предвестник на лов на заплахи, трябва да имате представа за това, което търсите. Това изисква три неща: аналитичност, ситуационна осъзнатост и интелигентност. Суровата информация може да идва от много различни източници и експертите от екипа за лов на заплахи могат да анализират тази информация и да извлекат смисъл от нея. Какво представлява бъбривостта в тъмната мрежа? Някой говори ли за насочване към определена компания или технология? Има ли дискусии за нови търговски кораби или експлоатационни методологии?
Анализаторите на заплахите от екипа за лов на заплахи могат да съберат големи количества сурова интелигентност и точно там ситуационната осведоменост помага да се идентифицират кои проблеми са важни за различните организации и потребители. Информацията, идентифицираща начин на атака срещу филмово студио, например, може да има не толкова непосредствено притеснение за автомобилен производител. Техниките, използвани при атака срещу студио, може да са жизнеспособни като техники за нападение на автомобилен производител, но ако разузнаването предполага, че фокусът на атаката е локален към филмовите студия, тогава ИТ екипите на автомобилните производители трябва да останат фокусирани върху заплахи, които са насочени към тях. Това се връща към тази разходка в гората: Ако кърлежите са проблем в гората, в която ходите, но скорпионите не са, тогава трябва да сте загрижени за кърлежите, а не за скорпионите.
След като анализаторите на заплаха идентифицират заплахите за безпокойство, ловците на заплахи могат да започнат своя лов. Те могат да търсят доказателства за конкретни уязвимости - неправилно конфигуриран рутер, например - или могат да търсят конкретни фрагменти от кодове или скриптове, вградени в тяхната мрежа. И ако намерят елементите, за които ловуват, могат да предприемат необходимите действия и да защитят предприятието от нападение.
