Које су кључне предности лова на претње?

П:

Које су кључне предности лова на претње?

Започнимо са разумевањем шта је лов на претње: То је процес гледања - ред по ред и догађај по догађај - за показатеље врло специфичних претњи. Није питање тражења шта би могло бити аномалија. То је чин откривања показатеља ствари за које знамо да се дешавају. То је попут провјере крпеља након што сте прошетали шумом. Ако имате добар разлог да верујете да у шуми има крпеља, проверите да ли је неко налетео на вожњу. Предност лова на њих је што их можете пронаћи и ријешити се прије него што вас уједу и разболе.

То је речено да, као претеча лова на претње, морате имати представу о томе шта тражите. За то су потребне три ствари: аналитика, ситуациона свест и интелигенција. Сирове информације могу потицати из различитих извора, а стручњаци ловачког тима могу анализирати те информације и из њих извући значење. Шта је ћаскање на мрачном вебу? Да ли неко говори о циљању на одређену компанију или технологију? Постоје ли дискусије о новим трговачким летелицама или експлоатационим методологијама?

Аналитичари претњи у тиму за лов на претње могу да прикупе велике количине сирове информације и ту ситуациона свест помаже да се идентификују која су питања најважнија за различите организације и кориснике. Информације о идентификацији начина напада на филмски студио, на пример, могу да имају мање непосредне бриге за произвођача аутомобила. Технике коришћене у нападу на студио могу бити изведиве као технике напада на произвођача аутомобила, али ако интелигенција сугерише да је фокус напада локални филмски студији, онда би ИТ тимови аутомобилских произвођача требали да се усредсреде на претње које су им усмерене. Враћа се шетњи шумом: Ако крпељ представља проблем у шуми где планинарите, а шкорпиони нису, онда морате бити забринути због крпеља, а не од шкорпиона.

Једном када аналитичари претњи идентификују претње које су забрињавајуће, ловци на претње могу започети свој лов. Они можда траже доказе о специфичним рањивостима - на пример, неправилно конфигурисаном рутеру - или могу тражити одређене фрагменте кода или скрипте уграђене у њихову мрежу. А ако пронађу елементе на које лове, могу предузети одговарајуће акције и заштитити предузеће од напада.