Jakie są główne zalety polowania na zagrożenia?

P:

Jakie są główne zalety polowania na zagrożenia?

Zacznijmy od zrozumienia, czym jest polowanie na zagrożenia: to proces wyszukiwania - linia po linii i zdarzenie po zdarzeniu - pod kątem wskaźników bardzo specyficznych zagrożeń. Nie chodzi o poszukiwanie czegoś, co może być anomalią. Jest to czynność polegająca na wykrywaniu wskaźników rzeczy, o których wiemy, że się dzieją. To jak sprawdzanie kleszczy po przejściu przez las. Jeśli masz dobry powód, by sądzić, że w lesie są kleszcze, sprawdź, czy ktoś nie podjął jazdy. Zaletą polowania na nich jest to, że możesz je znaleźć i pozbyć się, zanim cię ugryzą i rozchorują.

To powiedziawszy, jako prekursor polowania na zagrożenia, musisz mieć pojęcie o tym, czego szukasz. Wymaga to trzech rzeczy: analityki, świadomości sytuacyjnej i inteligencji. Surowe informacje mogą pochodzić z wielu różnych źródeł, a eksperci z zespołu ds. Poszukiwania zagrożeń mogą analizować te informacje i czerpać z nich znaczenie. Czym jest gadanie w ciemnej sieci? Czy ktoś mówi o ukierunkowaniu na konkretną firmę lub technologię? Czy są dyskusje na temat nowych metod handlu lub wykorzystania metodologii?

Analitycy zagrożeń w zespole ds. Poszukiwania zagrożeń mogą gromadzić duże ilości surowej inteligencji i właśnie tam świadomość sytuacyjna pomaga określić, które problemy są istotne dla różnych organizacji i użytkowników. Na przykład informacje identyfikujące sposób ataku na studio filmowe mogą być mniej bezpośrednie dla producenta samochodów. Techniki zastosowane w ataku na studio mogą być wykonalne jako techniki ataku na producenta samochodów, ale jeśli inteligencja sugeruje, że atak koncentruje się na studiach filmowych, wówczas zespoły IT producentów samochodów powinny pozostać skoncentrowane na skierowane do nich zagrożenia. Wraca do tego spaceru po lesie: jeśli kleszcze są problemem w lesie, w którym wędrujesz, ale skorpiony nie są, musisz martwić się kleszczami, a nie skorpionami.

Gdy analitycy zagrożeń zidentyfikują zagrożenia budzące obawy, łowcy zagrożeń mogą rozpocząć polowanie. Mogą szukać dowodów na określone luki - na przykład nieprawidłowo skonfigurowanego routera - lub mogą szukać określonych fragmentów kodu lub skryptów wbudowanych w ich sieć. A jeśli znajdą elementy, na które polują, mogą podjąć odpowiednie działania i ochronić przedsiębiorstwo przed atakiem.