Каковы основные преимущества поиска угроз?

Q:

Каковы основные преимущества поиска угроз?

Давайте начнем с понимания того, что такое поиск угроз: это процесс поиска - строка за строкой и событие за событием - для определения индикаторов очень специфических угроз. Это не вопрос поиска того, что может быть аномалией. Это акт обнаружения индикаторов того, что, как мы знаем, происходит. Это все равно что проверять клещей после того, как вы гуляете по лесу. Если у вас есть веские основания полагать, что в лесу есть клещи, проверьте, не наткнулись ли они на поездку. Преимущество охоты на них состоит в том, что вы можете найти и избавиться от них, прежде чем они кусают вас и делают вас больными.

Тем не менее, как предвестник поиска угроз, вам нужно иметь представление о том, что вы ищете. Это требует трех вещей: аналитика, ситуационная осведомленность и интеллект. Необработанная информация может поступать из разных источников, и эксперты группы по поиску угроз могут проанализировать эту информацию и извлечь из нее смысл. Что за болтовня на темной паутине? Кто-нибудь говорит о нацеливании на конкретную компанию или технологию? Есть ли обсуждения новых методов торговли или эксплойтов?

Аналитики угроз в группе по поиску угроз могут собирать большие объемы необработанных данных, и именно здесь ситуационная осведомленность помогает определить, какие проблемы характерны для различных организаций и пользователей. Например, информация, идентифицирующая способ нападения на киностудию, может быть менее актуальной для производителя автомобилей. Методы, используемые при атаке на студию, могут быть жизнеспособными в качестве техник для атаки на производителя автомобилей, но если разведка предполагает, что фокус атаки локальный для киностудий, то ИТ-команды производителей автомобилей должны оставаться сосредоточенными на угрозы, которые направлены на них. Это возвращает нас к прогулке по лесу: если клещи - это проблема в лесу, где вы путешествуете, а скорпионы - нет, то вам нужно беспокоиться о клещах, а не о скорпионах.

Как только аналитики угроз выявят угрозы, вызывающие беспокойство, охотники за угрозами могут начать свою охоту. Они могут искать доказательства конкретных уязвимостей - например, неправильно настроенный маршрутизатор - или они могут искать конкретные фрагменты кода или сценарии, встроенные в их сеть. И если они находят элементы, за которыми они охотятся, они могут предпринять соответствующие действия и защитить предприятие от атак.