Populārs teiciens kiberdrošības telpā ir tāds, ka, ja ir pietiekami daudz laika, jebkura sistēma var tikt apdraudēta. Lai cik biedējoši tas izklausītos, paziņojums izceļ kiberdrošības patieso būtību.
Pat vislabākie drošības pasākumi nav droši. Draudi nepārtraukti attīstās, un tiek formulēti jauni uzbrukumu veidi. Var droši pieņemt, ka uzbrukums sistēmai ir neizbēgams.
Tāpēc jebkurai organizācijai, kas vēlas aizsargāt savu sistēmu drošību, ir jāiegulda draudu identificēšanā pat pirms uzbrukuma. Savlaicīgi atklājot draudus, organizācijas var ātri ieviest bojājumu kontroles pasākumus, lai samazinātu uzbrukuma risku un ietekmi un pat apturētu uzbrucējus, pirms tie izvieto pilnus uzbrukumus.
Papildus uzbrukumu apturēšanai draudu noteikšana var iztukšot ļaunprātīgos dalībniekus, kuri var nozagt datus, apkopot informāciju, ko izmantot turpmākajos uzbrukumos, vai pat atstāt nepilnības, kuras var izmantot nākotnē.
Labs veids, kā atklāt draudus un ievainojamības, pirms tos izmanto ļaunprātīgi dalībnieki, ir draudu meklēšana.
Draudu medības
Ikreiz, kad notiek kiberuzbrukums, piemēram, datu pārkāpums, ļaunprātīgas programmatūras uzbrukums vai pat pakalpojuma atteikuma uzbrukums, bieži vien tas ir kiberuzbrucēju rezultāts, kas kādu laiku slēpjas sistēmā. Tas var ilgt no dažām dienām līdz nedēļām vai pat mēnešiem.
Jo vairāk laika uzbrucēji pavada tīklā neatklāti, jo lielāku kaitējumu viņi var nodarīt. Tāpēc ir nepieciešams atsijāt uzbrucējus, kuri var slēpties tīklā bez atklāšanas, pirms tie faktiski uzsāk uzbrukumu. Šeit parādās draudu medības.
Draudu meklēšana ir proaktīvs kiberdrošības pasākums, kurā drošības eksperti veic rūpīgu meklēšanu tīklā, lai atklātu un izskaustu iespējamos draudus vai ievainojamības, kas varētu būt izvairījušās no esošajiem drošības pasākumiem.
Atšķirībā no pasīvajiem kiberdrošības pasākumiem, piemēram, automātiskās draudu noteikšanas, draudu meklēšana ir aktīvs process, kas ietver padziļinātu tīkla galapunktu un tīklā saglabāto datu meklēšanu, lai atklātu ļaunprātīgas vai aizdomīgas darbības, kas var liecināt par draudiem, kas slēpjas tīklā.
Draudu meklēšana ir plašāka, nekā tikai zināmā meklēšana, lai izskaustu jaunus un nezināmus draudus tīklā vai draudus, kas varētu izvairīties no tīkla aizsardzības un vēl nav novērsti.
Ieviešot efektīvu draudu meklēšanu, organizācijas var atrast un apturēt ļaunprātīgos dalībniekus, pirms tie veic savus uzbrukumus, tādējādi samazinot nodarīto kaitējumu un nodrošinot savu sistēmu drošību.
Kā darbojas draudu medības
Lai draudu meklēšana būtu gan veiksmīga, gan efektīva, tā lielā mērā ir atkarīga no kiberdrošības ekspertu intuīcijas, stratēģiskās, ētiskās, kritiskās domāšanas un problēmu risināšanas prasmēm. Šīs unikālās cilvēciskās prasmes papildina to, ko var paveikt, izmantojot automatizētas drošības sistēmas.
Lai veiktu draudu medības, drošības eksperti vispirms definē un izprot tīklu un sistēmu darbības jomu, kurā viņi veiks draudu medības. Pēc tam tiek apkopoti un analizēti visi attiecīgie dati, piemēram, žurnālfaili un trafika dati.
Šajās sākotnējās darbībās ļoti svarīgi ir iekšējie drošības eksperti, jo viņiem parasti ir skaidra izpratne par izveidotajiem tīkliem un sistēmām.
Apkopotie drošības dati tiek analizēti, izmantojot dažādus paņēmienus, lai identificētu anomālijas, slēptu ļaunprogrammatūru vai uzbrucējus, aizdomīgas vai riskantas darbības un draudus, kurus drošības sistēmas ir atzīmējušas kā atrisinātas, bet faktiski nav novērstas.
Gadījumā, ja tiek atklāts apdraudējums, tas tiek izmeklēts un novērsts, lai novērstu ļaunprātīgu dalībnieku veiktu izmantošanu. Ja tiek atklāti ļaunprātīgi dalībnieki, tie tiek izslēgti no sistēmas un tiek īstenoti pasākumi, lai nodrošinātu turpmāku sistēmu un novērstu kompromisu.
Draudu meklēšana sniedz organizācijām iespēju uzzināt par saviem drošības pasākumiem un uzlabot sistēmas, lai tās labāk aizsargātu un novērstu turpmākus uzbrukumus.
Draudu medību nozīme
Dažas no draudu medību priekšrocībām ir:
Samaziniet pilnīga kiberuzbrukuma radītos zaudējumus
Draudi meklēšanas priekšrocības ļauj atklāt un apturēt kiberuzbrucējus, kuri ir pārkāpuši sistēmu, pirms viņi var savākt pietiekami sensitīvus datus, lai veiktu nāvējošāku uzbrukumu.
Uzbrucēju apturēšana tieši viņu ceļā samazina zaudējumus, kas būtu radušies datu pārkāpuma dēļ. Ņemot vērā draudu meklēšanas proaktīvo raksturu, organizācijas var reaģēt uz uzbrukumiem daudz ātrāk un tādējādi samazināt kiberuzbrukumu risku un ietekmi.
Samaziniet viltus pozitīvu rezultātu skaitu
Izmantojot automatizētus kiberdrošības rīkus, kas ir konfigurēti, lai atklātu un identificētu draudus, izmantojot kārtulu kopu, rodas gadījumi, kad tie rada brīdinājumus, ja nav reālu draudu. Tas var novest pie pretpasākumu izvietošanas draudiem, kas neeksistē.
Cilvēka vadīta draudu meklēšana novērš viltus pozitīvus rezultātus, jo drošības eksperti var veikt padziļinātu analīzi un pieņemt ekspertu spriedumus par uztvertā apdraudējuma patieso būtību. Tas novērš viltus pozitīvus rezultātus.
Palīdziet drošības ekspertiem izprast uzņēmuma sistēmas
Izaicinājums, kas rodas pēc drošības sistēmu instalēšanas, ir pārbaudīt, vai tās ir efektīvas vai nē. Draudi var atbildēt uz šo jautājumu, jo drošības eksperti veic padziļinātu izmeklēšanu un analīzi, lai atklātu un novērstu draudus, kas varētu būt izbēguši no uzstādītajiem drošības pasākumiem.
Tas arī dod iespēju iekšējiem drošības ekspertiem iegūt labāku izpratni par esošajām sistēmām, to darbību un to, kā tās labāk aizsargāt.
Atjaunina drošības komandas
Draudu meklēšana ietver jaunāko pieejamo tehnoloģiju izmantošanu, lai atklātu un mazinātu draudus un ievainojamības, pirms tie tiek izmantoti.
Tas palīdz nodrošināt organizācijas drošības komandai jaunāko informāciju par draudu ainavu un aktīvi iesaistīt to nezināmu ievainojamību atklāšanā, kuras var izmantot.
Šādas proaktīvas darbības rezultātā tiek labāk sagatavotas drošības komandas, kuras ir informētas par jauniem un jauniem draudiem, tādējādi novēršot uzbrucēju pārsteigumu.
Saīsina izmeklēšanas laiku
Regulāras draudu meklēšanas rezultātā tiek izveidota zināšanu banka, ko var izmantot, lai paātrinātu uzbrukuma izmeklēšanas procesu, ja tas notiek.
Draudu meklēšana ietver atklāto sistēmu un ievainojamību padziļinātu izpēti un analīzi. Tas savukārt rada zināšanu uzkrāšanu par sistēmu un tās drošību.
Tāpēc uzbrukuma gadījumā izmeklēšana var izmantot savāktos datus no iepriekšējām draudu medībām, lai padarītu izmeklēšanas procesu daudz ātrāku, ļaujot organizācijai labāk un ātrāk reaģēt uz uzbrukumu.
Organizācijas gūst milzīgu labumu, regulāri veicot draudu medības.
Draudu medības pret draudu izlūkošanu
Lai gan draudu izlūkošana un draudu meklēšana ir saistīti un bieži lietoti kopā, lai uzlabotu organizācijas kiberdrošību, tie ir atšķirīgi jēdzieni.
Draudi izlūkošana ietver datu vākšanu un analīzi par jauniem un esošiem kiberdraudiem, lai izprastu kiberdraudu un uzbrukumu pamatā esošo apdraudējuma dalībnieku taktiku, paņēmienus, procedūras, motīvus, mērķus un uzvedību.
Pēc tam šī informācija tiek kopīgota ar organizācijām, lai palīdzētu tām atklāt, novērst un mazināt kiberuzbrukumus.
No otras puses, draudu meklēšana ir proaktīvs process, kurā tiek meklēti iespējamie draudi un ievainojamības, kas var pastāvēt sistēmā, lai tos novērstu, pirms tos izmanto apdraudējuma dalībnieki. Šo procesu vada drošības eksperti. Draudi izlūkošanas informāciju izmanto drošības eksperti, veicot draudu medības.
Draudu medību veidi
Ir trīs galvenie draudu medību veidi. Tas iekļauj:
#1. Strukturētas medības
Šīs ir draudu medības, kuru pamatā ir uzbrukuma indikators (IoA). Uzbrukuma rādītājs ir pierādījums tam, ka sistēmai pašlaik piekļūst nesankcionēti dalībnieki. IoA notiek pirms datu pārkāpuma.
Tāpēc strukturētās medības tiek saskaņotas ar taktiku, paņēmieniem un procedūrām (TTP), ko izmanto uzbrucējs, lai identificētu uzbrucēju, to, ko viņš cenšas sasniegt, un reaģētu, pirms tas nodara kaitējumu.
#2. Nestrukturētas medības
Šis ir draudu meklēšanas veids, kas tiek veikts, pamatojoties uz kompromisa indikatoru (IoC). Kompromisa indikators ir pierādījums tam, ka ir noticis drošības pārkāpums un sistēmai agrāk ir piekļuvuši nesankcionēti dalībnieki. Šāda veida draudu medībās drošības eksperti meklē modeļus visā tīklā pirms un pēc tam, kad tiek identificēts kompromisa rādītājs.
#3. Situācijas vai entītiju vadīts
Tās ir draudu medības, kuru pamatā ir organizācijas iekšējais riska novērtējums tās sistēmām un atklātajām ievainojamībām. Drošības eksperti izmanto ārēji pieejamos un jaunākos uzbrukuma datus, lai sistēmā meklētu līdzīgus uzbrukumu modeļus un uzvedību.
Galvenie draudu meklēšanas elementi
Efektīva draudu meklēšana ietver padziļinātu datu vākšanu un analīzi, lai identificētu aizdomīgu uzvedību un modeļus, kas var norādīt uz iespējamiem draudiem sistēmā.
Tiklīdz šādas darbības tiek atklātas sistēmā, tās ir pilnībā jāizpēta un jāizprot, izmantojot uzlabotus drošības izmeklēšanas rīkus.
Pēc tam izmeklēšanā būtu jārada praktiskas stratēģijas, kuras var ieviest, lai novērstu atrastās ievainojamības un veicinātu draudus, pirms uzbrucēji tos var izmantot.
Pēdējā galvenā procesa sastāvdaļa ir ziņošana par draudu meklēšanas rezultātiem un ieteikumu sniegšana, ko var īstenot, lai labāk aizsargātu organizācijas sistēmas.
Soļi draudu medībās
Attēla avots: Microsoft
Efektīvas draudu medības ietver šādas darbības:
#1. Hipotēzes formulēšana
Draudu meklēšanas mērķis ir atklāt nezināmus draudus vai ievainojamības, ko var izmantot uzbrukumos. Tā kā draudu meklēšanas mērķis ir atrast nezināmo, pirmais solis ir formulēt hipotēzi, kuras pamatā ir drošības stāvoklis un zināšanas par organizācijas sistēmas ievainojamībām.
Šī hipotēze dod draudu medībām pamatu un pamatu, uz kura var likt stratēģijas visam vingrinājumam.
#2. Datu vākšana un analīze
Kad hipotēze ir formulēta, nākamais solis ir datu un draudu izlūkošanas apkopošana no tīkla žurnāliem, draudu izlūkošanas ziņojumiem līdz vēsturiskiem uzbrukuma datiem, lai pierādītu vai noraidītu hipotēzi. Datu vākšanai un analīzei var izmantot specializētus rīkus.
#3. Identificējiet trigerus
Trigeri ir aizdomīgi gadījumi, kas prasa turpmāku un padziļinātu izmeklēšanu. Informācija, kas iegūta no datu vākšanas un analīzes, var pierādīt sākotnējo hipotēzi, piemēram, nesankcionētu dalībnieku esamību tīklā.
Savākto datu analīzes laikā var tikt atklātas aizdomīgas darbības sistēmā. Šīs aizdomīgās darbības ir izraisītāji, kas ir jāturpina izmeklēt.
#4. Izmeklēšana
Kad sistēmā ir atklāti izraisītāji, tie tiek izmeklēti, lai izprastu visu attiecīgā riska būtību, kā incidents varētu būt noticis, uzbrucēju motīvus un iespējamo uzbrukuma ietekmi. Šīs izmeklēšanas posma rezultāts informē par pasākumiem, kas tiks veikti, lai novērstu atklātos riskus.
#5. Izšķirtspēja
Kad apdraudējums ir pilnībā izpētīts un izprasts, tiek ieviestas stratēģijas, lai novērstu risku, novērstu turpmākus uzbrukumus un uzlabotu esošo sistēmu drošību, lai novērstu tikko atklātās ievainojamības vai metodes, kuras var izmantot uzbrucēji.
Kad visas darbības ir pabeigtas, vingrinājums ir jāatkārto, lai meklētu vairāk ievainojamību un labāk aizsargātu sistēmas.
Izaicinājumi draudu medībās
Daži no galvenajiem izaicinājumiem, kas rodas draudu medībās, ir šādi:
Kvalificēta personāla trūkums
Draudi medības ir cilvēku virzīta drošības darbība, un tāpēc tās efektivitāte ir lielā mērā saistīta ar draudu mednieku prasmēm un pieredzi, kas veic šo darbību.
Ar lielāku pieredzi un prasmēm draudu mednieki var identificēt ievainojamības vai draudus, kas aizskar tradicionālās drošības sistēmas vai citus drošības darbiniekus. Ekspertu draudu mednieku iegūšana un noturēšana organizācijām ir gan dārga, gan sarežģīta.
Grūtības identificēt nezināmus draudus
Draudi medības ir ļoti grūti īstenot, jo tas prasa identificēt draudus, kas ir izvairījušies no tradicionālajām drošības sistēmām. Tāpēc šiem draudiem nav zināmu parakstu vai modeļu, lai tos varētu viegli identificēt, un tas visu padara ļoti sarežģītu.
Visaptverošu datu vākšana
Draudu meklēšana lielā mērā ir atkarīga no liela datu apjoma savākšanas par sistēmām un draudiem, lai vadītu hipotēžu pārbaudi un izraisītāju izmeklēšanu.
Šī datu vākšana var izrādīties sarežģīta, jo tai var būt nepieciešami uzlaboti trešo pušu rīki, kā arī pastāv risks, ka vingrinājums neatbilst datu privātuma noteikumiem. Turklāt ekspertiem būs jāstrādā ar lielu datu apjomu, ko var būt grūti izdarīt.
Būt atjauninātam ar draudu izlūkošanas informāciju
Lai draudu medības būtu gan veiksmīgas, gan efektīvas, mācības veicošajiem ekspertiem ir jābūt jaunākajiem draudu izlūkošanas datiem un zināšanām par uzbrucēju izmantoto taktiku, paņēmieniem un procedūrām.
Bez piekļuves informācijai par jaunāko uzbrukumu taktiku, paņēmieniem un procedūrām viss draudu meklēšanas process var tikt kavēts un padarīts neefektīvs.
Secinājums
Draudu meklēšana ir proaktīvs process, kas organizācijām būtu jāapsver, lai tās labāk aizsargātu.
Tā kā uzbrucēji strādā visu diennakti, lai atrastu veidus, kā izmantot sistēmas ievainojamības, organizācijām ir izdevīgi būt aktīvām un meklēt ievainojamības un jaunus draudus, pirms uzbrucēji tos atrod un izmanto, kaitējot organizācijām.
Varat arī izpētīt dažus bezmaksas kriminālistikas izmeklēšanas rīkus IT drošības ekspertiem.