Egy népszerű mondás a kiberbiztonsági térben, hogy ha elegendő időt adunk, bármely rendszer kompromittálható. Bármilyen ijesztően is hangzik, a nyilatkozat rávilágít a kiberbiztonság valódi természetére.
Még a legjobb biztonsági intézkedések sem bolondbiztosak. A fenyegetések folyamatosan fejlődnek, és a támadások új módjai is megfogalmazódnak. Feltételezhető, hogy a rendszer elleni támadás elkerülhetetlen.
Ezért minden olyan szervezetnek, amely a rendszerei biztonságának védelmére törekszik, még a támadás előtt be kell fektetnie a fenyegetés azonosításába. A fenyegetések korai észlelésével a szervezetek gyorsan végrehajthatnak kárelhárítási intézkedéseket, hogy minimalizálják a támadás kockázatát és hatását, és még azelőtt megállíthatják a támadókat, hogy teljes körű támadásokat indítanának.
A támadások leállítása mellett a fenyegetésészlelés kiürítheti a rosszindulatú szereplőket, akik adatokat lophatnak, információkat gyűjthetnek a jövőbeni támadásokhoz, vagy akár a jövőben kihasználható kiskapukat hagyhatnak maguk után.
A fenyegetések és sebezhetőségek észlelésének jó módja a rosszindulatú szereplők általi kihasználás előtt a fenyegetésvadászat.
Tartalomjegyzék
Fenyegetés vadászat
Valahányszor kibertámadás történik, például adatszivárgás, rosszindulatú programok támadása vagy akár szolgáltatásmegtagadási támadás, az gyakran a rendszerben egy ideig megbúvó kibertámadók következménye. Ez néhány naptól hetekig vagy akár hónapokig terjedhet.
Minél több időt töltenek a támadók észrevétlenül egy hálózatban, annál több kárt okozhatnak. Ezért ki kell gyomlálni azokat a támadókat, akik észlelés nélkül leselkedhetnek a hálózatra, mielőtt ténylegesen támadásba lendülnének. Itt jön be a fenyegetésvadászat.
A fenyegetésvadászat egy proaktív kiberbiztonsági intézkedés, amelynek során a biztonsági szakértők alapos kutatást végeznek a hálózatban, hogy felfedezzék és kiküszöböljék azokat a potenciális fenyegetéseket vagy sebezhetőségeket, amelyek elkerülték a meglévő biztonsági intézkedéseket.
Ellentétben a passzív kiberbiztonsági intézkedésekkel, mint például az automatikus fenyegetésészlelés, a fenyegetésvadászat egy aktív folyamat, amely magában foglalja a hálózati végpontok és a hálózatban tárolt adatok mélyreható keresését a rosszindulatú vagy gyanús tevékenységek felderítése érdekében, amelyek a hálózatban leselkedő fenyegetésre utalhatnak.
A fenyegetésvadászat túlmutat az ismert dolgok keresésén, hogy kiszűrje az új és ismeretlen fenyegetéseket a hálózatból, vagy olyan fenyegetéseket, amelyek kikerülhettek volna egy hálózat védelmét, és amelyeket még nem orvosoltak.
Hatékony fenyegetésvadászat végrehajtásával a szervezetek megtalálhatják és megállíthatják a rosszindulatú szereplőket, mielőtt végrehajtanák a támadásaikat, így csökkentve az okozott károkat, és megvédhetik rendszereiket.
Hogyan működik a fenyegetésvadászat
Ahhoz, hogy sikeres és hatékony legyen, a fenyegetésvadászat nagymértékben támaszkodik a kiberbiztonsági szakértők intuíciójára, stratégiai, etikai, kritikus gondolkodására és problémamegoldó készségeire. Ezek az egyedülállóan emberi készségek kiegészítik az automatizált biztonsági rendszereken keresztül megvalósítható dolgokat.
A fenyegetésvadászat lefolytatásához a biztonsági szakértők először meghatározzák és megértik azon hálózatok és rendszerek hatókörét, ahol a fenyegetésvadászatot végrehajtják. Ezután minden releváns adatot, például naplófájlokat és forgalmi adatokat összegyűjtenek és elemeznek.
A házon belüli biztonsági szakértők kulcsfontosságúak ezekben a kezdeti lépésekben, mivel általában világosan ismerik a működő hálózatokat és rendszereket.
Az összegyűjtött biztonsági adatokat különféle technikák segítségével elemezzük az anomáliák, rejtett rosszindulatú programok vagy támadók, gyanús vagy kockázatos tevékenységek, valamint olyan fenyegetések azonosítására, amelyeket a biztonsági rendszerek megoldottként jelöltek meg, de valójában nem oldottak meg.
Fenyegetés észlelése esetén azt kivizsgálják és orvosolják, hogy megakadályozzák a rosszindulatú szereplők általi kihasználást. Ha rosszindulatú szereplőket fedeznek fel, kikerülnek a rendszerből, és intézkedéseket hajtanak végre a további biztonság és a rendszer kompromittálásának megakadályozása érdekében.
A fenyegetésvadászat lehetőséget biztosít a szervezeteknek, hogy megismerjék biztonsági intézkedéseiket, és javítsák rendszereiket, hogy jobban megvédjék őket, és megelőzzék a jövőbeli támadásokat.
A fenyegetésvadászat jelentősége
A fenyegetésvadászat néhány előnye:
Csökkentse a teljes körű kibertámadás okozta károkat
A fenyegetésvadászatnak az az előnye, hogy észleli és megállítja a rendszert feltörő számítógépes támadókat, mielőtt elegendő érzékeny adatot gyűjthetnének össze egy halálosabb támadás végrehajtásához.
A támadók azonnali leállítása csökkenti az adatszivárgás miatt keletkezett károkat. A fenyegetésvadászat proaktív természetével a szervezetek sokkal gyorsabban tudnak reagálni a támadásokra, és ezáltal csökkentik a kibertámadások kockázatát és hatását.
Csökkentse a hamis pozitívumot
Automatizált kiberbiztonsági eszközök használatakor, amelyek úgy vannak beállítva, hogy egy szabálykészlet segítségével észleljék és azonosítsák a fenyegetéseket, előfordulhatnak olyan esetek, amikor riasztást adnak ki, ha nincs valódi fenyegetés. Ez a nem létező fenyegetésekkel szembeni ellenintézkedések bevetéséhez vezethet.
Az ember által vezérelt fenyegetésvadászat kiküszöböli a hamis pozitív eredményeket, mivel a biztonsági szakértők mélyreható elemzést végezhetnek, és szakértői ítéleteket hozhatnak az észlelt fenyegetés valódi természetéről. Ez kiküszöböli a hamis pozitívumot.
Segítsen a biztonsági szakértőknek a vállalati rendszerek megértésében
A biztonsági rendszerek telepítése után felmerülő kihívás annak ellenőrzése, hogy hatékonyak-e vagy sem. A fenyegetésvadászat választ adhat erre a kérdésre, mivel a biztonsági szakértők mélyreható vizsgálatokat és elemzéseket végeznek, hogy felderítsék és kiküszöböljék azokat a fenyegetéseket, amelyek elkerülték a telepített biztonsági intézkedéseket.
Ennek megvan az az előnye is, hogy a házon belüli biztonsági szakértők jobban megérthetik a meglévő rendszereket, működésüket és jobb biztonságukat.
Naprakészen tartja a biztonsági csapatokat
A fenyegetésvadászat lebonyolítása magában foglalja a legújabb elérhető technológiát a fenyegetések és sebezhetőségek észlelésére és mérséklésére, mielőtt azokat kihasználnák.
Ez előnyökkel jár, ha a szervezet biztonsági csapata naprakészen tudja tartani a fenyegetéseket, és aktívan bevonja őket a kihasználható, ismeretlen sebezhetőségek felfedezésébe.
Az ilyen proaktív tevékenység jobban felkészült biztonsági csapatokat eredményez, akik értesülnek az új és újonnan megjelenő fenyegetésekről, így elkerülhető, hogy meglepjék őket a támadók.
Lerövidíti a vizsgálati időt
A rendszeres fenyegetésvadászat egy tudásbankot hoz létre, amelyet kihasználva felgyorsíthatja a támadás kivizsgálásának folyamatát, ha az bekövetkezne.
A fenyegetésvadászat az észlelt rendszerek és sérülékenységek alapos tanulmányozását és elemzését foglalja magában. Ez viszont a rendszerrel és annak biztonságával kapcsolatos tudás felhalmozódását eredményezi.
Ezért támadás esetén a nyomozás felhasználhatja a korábbi fenyegetésvadászatokból összegyűjtött adatokat, hogy sokkal gyorsabbá tegye a nyomozási folyamatot, lehetővé téve a szervezet számára, hogy jobban és gyorsabban reagáljon a támadásokra.
A szervezetek óriási hasznot húzhatnak a rendszeres fenyegetésvadászatból.
Fenyegetésvadászat vs. fenyegetés-intelligencia
Bár kapcsolatban állnak egymással, és gyakran együtt használják egy szervezet kiberbiztonságának fokozására, a fenyegetés-intelligencia és a fenyegetésvadászat külön fogalmak.
A fenyegetés-felderítés magában foglalja az újonnan megjelenő és meglévő kiberfenyegetésekre vonatkozó adatok gyűjtését és elemzését, hogy megértsük a kiberfenyegetések és támadások mögött meghúzódó fenyegetés szereplői taktikáját, technikáit, eljárásait, indítékait, célpontjait és viselkedését.
Ezt az információt ezután megosztják a szervezetekkel, hogy segítsék őket a kibertámadások észlelésében, megelőzésében és mérséklésében.
Másrészt a fenyegetésvadászat egy proaktív folyamat, amelynek során felkutatják a rendszerben esetlegesen létező potenciális fenyegetéseket és sebezhetőségeket, hogy kezelni lehessen őket, mielőtt a fenyegetés szereplői kihasználnák őket. Ezt a folyamatot biztonsági szakértők vezetik. A fenyegetésekkel kapcsolatos hírszerzési információkat a fenyegetésvadászatot folytató biztonsági szakértők használják.
A fenyegetésvadászat típusai
A fenyegetésvadászatnak három fő típusa van. Ebbe beletartozik:
#1. Strukturált vadászat
Ez egy fenyegetésvadászat, amely a támadás indikátorán (IoA) alapul. A támadás jele annak bizonyítéka, hogy egy rendszerhez jelenleg jogosulatlan szereplők férnek hozzá. Az IoA adatszivárgás előtt történik.
Ezért a strukturált vadászat összhangban van a támadó által alkalmazott taktikákkal, technikákkal és eljárásokkal (TTP-k) azzal a céllal, hogy azonosítsa a támadót, mit próbál elérni, és reagáljon, mielőtt bármilyen kárt okozna.
#2. Strukturálatlan vadászat
Ez egyfajta fenyegetésvadászat, amely a kompromisszum mutatóján (IoC) alapul. A kompromisszum jele annak bizonyítéka, hogy a múltban biztonsági megsértés történt, és a rendszerhez illetéktelen szereplők fértek hozzá. Az ilyen típusú fenyegetésvadászat során a biztonsági szakértők a hálózaton belüli mintákat keresnek, mielőtt és miután a kompromisszum jelét azonosítják.
#3. Helyzetfüggő vagy entitásvezérelt
Ezek fenyegetésvadászatok a szervezet rendszereinek belső kockázatértékelésén és az általuk talált sebezhetőségeken alapuló fenyegetéseken. A biztonsági szakértők külsőleg elérhető és legfrissebb támadási adatok alapján keresik a rendszerben a támadások hasonló mintáit és viselkedését.
A fenyegetésvadászat kulcselemei
A hatékony fenyegetésvadászat alapos adatgyűjtést és elemzést foglal magában, hogy azonosítsa azokat a gyanús viselkedéseket és mintákat, amelyek potenciális fenyegetésekre utalhatnak a rendszerben.
Ha egy rendszerben ilyen tevékenységeket észlelnek, azokat teljes körűen ki kell vizsgálni és fejlett biztonsági vizsgálati eszközök segítségével meg kell érteni.
A vizsgálatnak ezután olyan végrehajtható stratégiákat kell eredményeznie, amelyek megvalósíthatók a talált sebezhetőségek feloldására és a fenyegetések közvetítésére, mielőtt azokat a támadók kihasználhatnák.
A folyamat utolsó kulcsfontosságú eleme a fenyegetésvadászat eredményeinek jelentése, és olyan ajánlások megfogalmazása, amelyek végrehajthatók a szervezet rendszereinek jobb biztonsága érdekében.
A fenyegetésvadászat lépései
Kép forrása: Microsoft
A hatékony fenyegetésvadászat a következő lépésekből áll:
#1. Hipotézis megfogalmazása
A fenyegetésvadászat célja ismeretlen fenyegetések vagy sérülékenységek feltárása, amelyeket a támadások kihasználhatnak. Mivel a fenyegetésvadászat célja az ismeretlen megtalálása, az első lépés egy hipotézis megfogalmazása a szervezet rendszerének biztonsági helyzetén és a sebezhetőségek ismeretén alapul.
Ez a hipotézis a fenyegetésvadászatnak támpontot és alapot ad, amelyre az egész gyakorlat stratégiáit lefektethetjük.
#2. Adatgyűjtés és elemzés
A hipotézis megfogalmazása után a következő lépés az adatok és a fenyegetettség intelligencia összegyűjtése a hálózati naplókból, a fenyegetésintelligencia jelentésekből a korábbi támadási adatokig, a hipotézis bizonyítása vagy elutasítása céljából. Az adatgyűjtéshez és elemzéshez speciális eszközök használhatók.
#3. Azonosítsa a triggereket
A kiváltó okok olyan gyanús esetek, amelyek további és alapos vizsgálatot igényelnek. Az adatgyűjtésből és elemzésből származó információk igazolhatják a kiinduló hipotézist, például jogosulatlan szereplők létezését a hálózatban.
Az összegyűjtött adatok elemzése során egy rendszerben gyanús viselkedések derülhetnek fel. Ezek a gyanús tevékenységek olyan kiváltó okok, amelyeket tovább kell vizsgálni.
#4. Vizsgálat
Miután a rendszerben feltárták a kiváltó okokat, kivizsgálják őket, hogy megértsék a fennálló kockázat teljes természetét, az incidens történésének módját, a támadók indítékait és a támadás lehetséges hatását. Ennek a vizsgálati szakasznak az eredménye tájékoztat azokról az intézkedésekről, amelyeket a feltárt kockázatok megoldására tesznek.
#5. Felbontás
A fenyegetés teljes kivizsgálása és megértése után stratégiákat alkalmaznak a kockázat megoldására, a jövőbeli támadások megelőzésére és a meglévő rendszerek biztonságának javítására, hogy kiküszöböljék az újonnan feltárt sebezhetőségeket vagy technikákat, amelyeket a támadók kihasználhatnak.
Az összes lépés befejezése után a gyakorlatot megismételjük, hogy több sebezhetőséget keressünk, és jobban védjük a rendszereket.
Kihívások a fenyegetésvadászatban
A fenyegetésvadászat során felmerülő legfontosabb kihívások közül néhány:
Szakképzett személyzet hiánya
A fenyegetésvadászat embervezérelt biztonsági tevékenység, így hatékonysága erősen függ a tevékenységet végző fenyegetésvadászok képességeitől és tapasztalataitól.
Nagyobb tapasztalattal és készségekkel a fenyegetésvadászok képesek lesznek azonosítani a sebezhetőségeket vagy fenyegetéseket, amelyek a hagyományos biztonsági rendszereket vagy más biztonsági személyzetet csúsztatják. A szakértő fenyegetésvadászok megszerzése és megtartása egyszerre költséges és kihívást jelent a szervezetek számára.
Nehézségek az ismeretlen fenyegetések azonosításában
A fenyegetésvadászatot nagyon nehéz lefolytatni, mert megköveteli a hagyományos biztonsági rendszereket elkerülő fenyegetések azonosítását. Ezért ezeknek a fenyegetéseknek nincs ismert aláírása vagy mintája a könnyű azonosítás érdekében, ami nagyon megnehezíti az egészet.
Átfogó adatok gyűjtése
A fenyegetésvadászat nagymértékben támaszkodik a rendszerekről és a fenyegetésekről szóló nagy mennyiségű adat gyűjtésére, amely a hipotézisek tesztelését és a kiváltó okok vizsgálatát irányítja.
Ez az adatgyűjtés kihívást jelenthet, mivel fejlett, harmadik féltől származó eszközöket igényelhet, és fennáll annak a veszélye is, hogy a gyakorlat nem felel meg az adatvédelmi előírásoknak. Ezenkívül a szakértőknek nagy mennyiségű adattal kell dolgozniuk, ami kihívást jelenthet.
Legyen naprakész a fenyegetésekkel kapcsolatos hírszerzéssel
Ahhoz, hogy a fenyegetésvadászat sikeres és eredményes legyen, a gyakorlatot lebonyolító szakértőknek naprakész fenyegetési intelligenciával és a támadók által alkalmazott taktikák, technikák és eljárások ismeretével kell rendelkezniük.
A támadások során alkalmazott legújabb taktikákra, technikákra és eljárásokra vonatkozó információkhoz való hozzáférés nélkül az egész fenyegetésvadászat akadályozható és hatástalanná válhat.
Következtetés
A fenyegetésvadászat egy proaktív folyamat, amelyet a szervezeteknek meg kell fontolniuk rendszereik jobb biztonsága érdekében.
Mivel a támadók éjjel-nappal dolgoznak azon, hogy megtalálják a módokat a rendszer sérülékenységeinek kihasználására, a szervezetek számára előnyös, ha proaktívak legyenek, és keresik a sebezhetőségeket és az új fenyegetéseket, mielőtt a támadók megtalálják és a szervezetek kárára kihasználják.
Felfedezhet néhány ingyenes kriminalisztikai vizsgálati eszközt is az IT-biztonsági szakértők számára.