Trace Id is missing
Перейти к основному контенту
Microsoft Security

Что такое охота на киберугрозы?

Охота на киберугрозы — это процесс упреждающего поиска неизвестных или необнаруженных угроз в сети, конечных точках и данных организации.

Как работает охота на киберугрозы

Охота на киберугрозы пользуется услугами охотников на угрозы для упреждающего поиска потенциальных угроз и атак внутри системы или сети. Это позволяет гибко и эффективно реагировать на все более сложные кибератаки, управляемые человеком. В то время как традиционные методы кибербезопасности выявляют нарушения безопасности постфактум, поиск киберугроз осуществляется исходя из предположения, что нарушение произошло, и может идентифицировать, адаптировать и реагировать на потенциальные угрозы сразу же после их обнаружения.

Опытные злоумышленники могут проникнуть в организацию и оставаться незамеченными в течение длительного периода времени — дней, недель или даже дольше. Добавление охоты на киберугрозы в существующий профиль средств безопасности, таких как обнаружение и нейтрализация атак на конечные точки (EDR) и управление информационной безопасностью и событиями безопасности (SIEM), может помочь предотвратить и устранить атаки, которые в противном случае могли бы остаться незамеченными автоматическими средствами безопасности.

Автоматическая охота на угрозы

Охотники на киберугрозы могут автоматизировать определенные аспекты процесса, используя машинное обучение, службу автоматизации и ИИ. С помощью таких решений, как SIEM и EDR, можно помочь охотникам на угрозы оптимизировать процедуры поиска путем мониторинга, обнаружения и реагирования на потенциальные угрозы. Охотники на угрозы могут создавать и автоматизировать различные сценарии реагирования на различные угрозы, тем самым облегчая нагрузку на ИТ-группы при возникновении подобных атак.

Инструменты и методы охоты на киберугрозы

В распоряжении охотников на угрозы есть множество инструментов, включая такие решения, как SIEM и XDR, предназначенные для совместной работы.

  • SIEM: Решение, собирающее данные из нескольких источников с анализом в реальном времени, SIEM может предоставить охотникам на угрозы подсказки о потенциальных угрозах.
  • Extended Detection and Response (XDR): Охотники на угрозы могут использовать XDR для обеспечения аналитики угроз и автоматическое прерывание атак, чтобы добиться большей видимости угроз.
  • EDR: Средство EDR, отслеживающее устройства конечных пользователей, также предоставляет охотникам на угрозы мощный инструмент, позволяющий им получить представление о потенциальных угрозах на всех конечных точках организации.

Три типа охоты на киберугрозы

Охота на киберугрозы обычно принимает одну из следующих трех форм:

Структурировано: В структурированной охоте на угрозы охотники ищут подозрительные тактики, методы и процедуры (TTP), предполагающие наличие потенциальных угроз. Вместо того, чтобы обращаться к данным или системе и искать злоумышленников, охотник на угрозы создает гипотезу о методе потенциального злоумышленника и методично работает над выявлением симптомов этой атаки. Поскольку структурированная охота является более активным подходом, ИТ-специалисты, использующие эту тактику, часто могут быстро перехватить или остановить злоумышленников.

Неструктурированная: При неструктурированной охоте охотник на киберугрозы ищет индикатор компрометации (IoC) и проводит поиск с этой отправной точки. Поскольку охотник на угрозы может вернуться назад и поискать в исторических данных закономерности и подсказки, неструктурированная охота иногда может выявить ранее необнаруженные угрозы, все еще способные подвергать организацию риску.

Ситуационная: Ситуационная охота на угрозы отдает приоритет конкретным ресурсам или данным в цифровой экосистеме. Если по оценке организации конкретные сотрудники или ресурсы представляют наибольший риск, она может поручить охотникам на киберугрозы сосредоточить усилия или предотвратить или устранить атаки на этих уязвимых людей, наборы данных или конечные точки.

Этапы и реализация охоты на угрозы

Охотники на киберугрозы часто следуют этим основным шагам при исследовании и устранении угроз и атак:

  1. Создайте теорию или гипотезу о потенциальной угрозе. Охотники на угрозы могут начать с определения общих TTP злоумышленников.
  2. Проведение исследований. Охотники на угрозы исследуют данные, системы и деятельность организации (решение SIEM может быть полезным инструментом), а также собирают и обрабатывают соответствующие сведения.
  3. Определение триггера. Результаты исследований и другие средства безопасности могут помочь охотникам на угрозы определить отправную точку для своего исследования.
  4. Исследование угрозы. Охотники на угрозами используют свои средства исследования и безопасности для определения вредоносности угроз.
  5. Реагирование и исправление. Охотники на угрозы выполняют действия по устранению угрозы.

Типы угроз, которые могут обнаружить охотники

Охота на киберугрозы позволяет выявлять широкий спектр различных угроз, включая следующие:

  • Вредоносные программы и вирусы: Вредоносная программа препятствует использованию обычных устройств, получая несанкционированный доступ к устройствам конечных точек. Фишинговые атаки, программы-шпионы, программы для показа рекламы, трояны, черви и программы-шантажисты — это все примеры вредоносных программ. Вирусы, некоторые из наиболее распространенных форм вредоносных программ, созданы для того, чтобы мешать нормальной работе устройства, записывая, повреждая или удаляя данные перед распространением на другие устройства в сети.
  • Внутренние угрозы: Внутренние угрозы исходят от лиц с авторизованным доступом к сети организации. Будь то злонамеренные действия, непреднамеренное или небрежное поведение, эти инсайдеры используют ненадлежащим образом или наносят вред сетям, данным, системам или объектам организации.
  • Расширенные постоянные угрозы: Опытные злоумышленники, взламывающие сеть организации и остающиеся незамеченными в течение определенного периода времени, представляют собой сложные постоянные угрозы. Эти злоумышленники высоко квалифицированы и часто хорошо обеспечены ресурсами.
    Атаки с использованием социотехники: Киберзлоумышленники могут использовать манипуляции и обман, чтобы ввести в заблуждение сотрудников организации и вынудить их раскрыть доступ или конфиденциальную информацию. Распространенные атаки социальной инженерии включают фишинг, травлю и программы-страшилки.

 

Лучшие методики охоты на киберугрозы

При реализации протокола охоты на киберугрозы в организации учитывайте следующие рекомендации:

  • Предоставьте охотникам на угрозы полные сведения о своей организации. Охотники на угрозы наиболее успешны, представляя общую картину.
  • Поддерживайте дополнительные средства безопасности, такие как SIEM, XDR и EDR. Охотники на киберугрозы полагаются на программы автоматизации и данные, предоставляемые этими средствами, для более быстрого выявления угроз и более широкого контекста для более быстрого устранения.
  • Будьте в курсе последних возникающих угроз и тактик. Злоумышленники и их тактика постоянно меняются — убедитесь, что у ваших охотников на угрозы есть самые свежие ресурсы о текущих трендах.
  • Обучение сотрудников выявлять подозрительное поведение и сообщать о нем. Уменьшите вероятность внутренних угроз, информируя своих сотрудников.
  • Реализуйте управление уязвимостями, чтобы снизить общую подверженность рискам в организации.

Почему охота на угрозы важна для организаций

Поскольку злоумышленники становятся все более изощренными в своих методах атак, организациям крайне важно инвестировать в упреждающую охоту на киберугрозы. В дополнение к более пассивным формам защиты от угроз, охота на киберугрозы закрывает бреши в безопасности, позволяя организациям устранять угрозы, которые в противном случае остались бы незамеченными. Усиление угроз со стороны опытных злоумышленников означает, что организациям необходимо усилить свою защиту, чтобы сохранить уверенность в своей способности обрабатывать конфиденциальные данные и сократить расходы, связанные с нарушениями безопасности.

Такие продукты, как Microsoft Sentinel, могут помочь опережать угрозы за счет сбора, хранения и доступа к историческим данным в масштабе облака, оптимизации исследований и автоматизации общих задач. Эти решения могут предоставить охотникам на киберугрозы мощные инструменты, которые помогут защитить организацию.

Подробнее о Microsoft Security

Microsoft Sentinel

Интеллектуальная аналитика безопасности помогает обнаруживать и устранять угрозы на всех уровнях корпоративной среды.

Подробнее

Эксперты Microsoft Defender по охоте на угрозы

Используйте упреждающую охоту на угрозы не только для конечных точек.

Подробнее

Аналитика угроз Microsoft Defender

Защитите свою организацию от злоумышленников, вооруженных современными средствами атаки, такими как программы-шантажисты.

Подробнее

Системы SIEM и XDR

Обнаруживайте, исследуйте и реагируйте на угрозы во всем своем цифровом имуществе.

Подробнее

Вопросы и ответы

  • Примером охоты на киберугрозы является поиск на основе гипотез, при котором охотник на угрозы определяет предполагаемые тактики, методы и процедуры, которые может использовать злоумышленник, а затем ищет доказательства их использования в сети организации.

  • Обнаружение угроз — это активный, часто автоматизированный подход к обеспечению кибербезопасности, тогда как поиск угроз — это упреждающий, неавтоматизированный подход.

  • центр информационной безопасности (SOC) — это централизованная функция или группа, работающая на месте или на стороне, отвечающая за улучшение состояния кибербезопасности организации, а также за предотвращение, обнаружение и реагирование на угрозы. Охота на киберугрозы — одна из тактик, которую SOC используют для выявления и устранения угроз.

  • Средства охоты на киберугрозы — это программные ресурсы, доступные ИТ-группам и охотникам на угрозы, которые помогают обнаруживать и устранять угрозы. К примерам средств охоты на угрозы относятся антивирусные программы и брандмауэр, программное обеспечение EDR, инструменты SIEM и аналитика данных.

  • Основная цель охоты на киберугрозы — активное обнаружение и устранение сложных угроз и атак до того, как они нанесут вред организации.

  • Аналитика киберугроз — это сведения и данные, которые программное обеспечение кибербезопасности собирает, часто автоматически, в рамках своих протоколов безопасности для лучшей защиты от кибератак. Охота на угрозы включает в себя сбор сведений, полученных в результате анализа угроз, и их использование для обоснования гипотез и действий по поиску и устранению угроз.

Следите за новостями Майкрософт