Čo je vyhľadávanie kybernetických hrozieb?
Vyhľadávanie kybernetických hrozieb je proces aktívneho vyhľadávania neznámych alebo nezistených hrozieb v sieti, koncových bodoch a údajoch organizácie.
Ako funguje vyhľadávanie kybernetických hrozieb
Pri vyhľadávaní kybernetických hrozieb sa využívajú lovci hrozieb na preventívne vyhľadávanie potenciálnych hrozieb a útokov v systéme alebo sieti. To umožňuje agilné a efektívne reakcie na čoraz zložitejšie kybernetické útoky riadené ľuďmi. Zatiaľ čo tradičné metódy kybernetickej bezpečnosti identifikujú narušenia bezpečnosti až po ich zistení, vyhľadávanie kybernetických hrozieb vychádza z predpokladu, že k narušeniu došlo, a dokáže identifikovať, prispôsobiť sa a reagovať na potenciálne hrozby okamžite po ich zistení.
Sofistikovaní útočníci môžu narušiť organizáciu a zostať nezistení dlhší čas – dni, týždne alebo dokonca dlhšie. Pridanie vyhľadávania kybernetických hrozieb k existujúcemu profilu nástrojov zabezpečenia, ako sú napríklad detekcia a reakcia na koncové body (EDR) a správa bezpečnostných informácií a udalostí (SIEM), vám môže pomôcť predchádzať a odstraňovať útoky, ktoré by inak automatické nástroje zabezpečenia nezistili.
Automatizované vyhľadávanie hrozieb
Lovci kybernetických hrozieb môžu automatizovať niektoré aspekty procesu pomocou strojového učenia, automatizácie a umelej inteligencie. Využívanie riešení, ako sú SIEM a EDR, môže pomôcť lovcom hrozieb zefektívniť postupy monitorovania, zisťovania a reakcie na potenciálne hrozby. Lovci hrozieb môžu vytvárať a automatizovať rôzne manuály na reakciu na rôzne hrozby, čím sa uľahčí záťaž IT tímov vždy, keď sa objavia podobné útoky.
Nástroje a techniky na vyhľadávanie kybernetických hrozieb
Lovci hrozieb majú k dispozícii množstvo nástrojov vrátane riešení ako SIEM a XDR, ktoré sú navrhnuté tak, aby spolupracovali.
- SIEM: Riešenie SIEM, ktoré zhromažďuje údaje z viacerých zdrojov s analýzou v reálnom čase, môže poskytnúť lovcom hrozieb informácie o potenciálnych hrozbách.
- Rozšírená detekcia a reakcia (XDR): Lovci hrozieb môžu na dosiahnutie väčšieho prehľadu o hrozbách používať nástroj XDR, ktorý poskytuje analýzu hrozieb a automatizované prerušenie útokov.
- EDR: Systém EDR, ktorý monitoruje zariadenia koncových používateľov, poskytuje výkonný nástroj aj lovcom hrozieb, ktorí majú prehľad o potenciálnych hrozbách vo všetkých koncových bodoch organizácie.
Tri typy vyhľadávania kybernetických hrozieb
Vyhľadávanie kybernetických hrozieb má zvyčajne jednu z týchto troch foriem:
Štruktúrované: V rámci štruktúrovaného lovu hľadajú lovci hrozieb podozrivé taktiky, techniky a postupy (TTP), ktoré naznačujú potenciálne hrozby. Namiesto toho, aby lovec hrozieb pristupoval k údajom alebo systému a hľadal narušiteľov, vytvorí hypotézu o metóde potenciálneho útočníka a metodicky pracuje na identifikácii príznakov tohto útoku. Keďže štruktúrované vyhľadávanie je proaktívnejší prístup, IT profesionáli, ktorí používajú túto taktiku, môžu často rýchlo zachytiť alebo zastaviť útočníkov.
Neštruktúrované: Pri neštruktúrovanom vyhľadávaní lovec kybernetických hrozieb hľadá indikátor ohrozenia (IoC) a od tohto počiatočného bodu začne vyhľadávanie. Keďže lovec hrozieb sa môže vrátiť späť a vyhľadávať historické údaje a hľadať vzory a stopy, neštruktúrované vyhľadávanie môže niekedy identifikovať predtým nezistené hrozby, ktoré môžu organizáciu stále ohrozovať.
Situačné: Situačné vyhľadávanie hrozieb uprednostňuje konkrétne zdroje alebo údaje v rámci digitálneho ekosystému. Ak organizácia vyhodnotí, že určití zamestnanci alebo aktíva predstavujú najvyššie riziko, môže nasmerovať lovcov kybernetických hrozieb, aby sústredili úsilie na prevenciu alebo nápravu útokov na tieto zraniteľné osoby, súbory údajov alebo koncové body.
Kroky a implementácia vyhľadávania hrozieb
Lovci kybernetických hrozieb pri vyšetrovaní a odstraňovaní hrozieb a útokov často postupujú podľa týchto základných krokov:
- Vytvorte teóriu alebo hypotézu o potenciálnej hrozbe. Lovci hrozieb môžu začať identifikáciou bežných TTP útočníka.
- Vykonajte výskum. Lovci hrozieb skúmajú údaje, systémy a aktivity organizácie – užitočným nástrojom môže byť riešenie SIEM – a zhromažďujú a spracúvajú relevantné informácie.
- Identifikujte spúšťač. Výsledky výskumu a ďalšie bezpečnostné nástroje môžu pomôcť lovcom hrozieb rozlíšiť východiskový bod pre ich vyšetrovanie.
- Preskúmajte hrozbu. Lovci hrozieb používajú svoj výskum a nástroje zabezpečenia na určenie, či je hrozba škodlivá.
- Reagujte a napravte ju. Lovci hrozieb podniknú kroky na vyriešenie hrozby.
Typy hrozieb, ktoré môžu lovci zistiť
Vyhľadávanie kybernetických hrozieb dokáže identifikovať širokú škálu rôznych hrozieb vrátane nasledujúcich:
- Škodlivý softvér a vírusy: Škodlivý softvérŠkodlivý softvér bráni používaniu bežných zariadení tým, že získava neoprávnený prístup ku koncovým zariadeniam. Phishingové útoky, spyware, adware, trójske kone, červy a ransomware sú všetko príklady škodlivého softvéru. Vírusy, niektoré z najbežnejších foriem škodlivého softvéru, sú navrhnuté tak, aby zasahovali do bežnej prevádzky zariadenia tým, že zaznamenávajú, poškodzujú alebo odstraňujú jeho údaje predtým, ako sa rozšíria do iných zariadení v sieti.
- Hrozby zvnútra: Hrozby zvnútra pochádzajú od osôb s oprávneným prístupom do siete organizácie. Títo insideri zneužívajú alebo poškodzujú siete, údaje, systémy alebo zariadenia organizácie, či už prostredníctvom škodlivých akcií, alebo neúmyselného či nedbanlivého správania.
- Rozšírené trvalé hrozby: Sofistikovaní účastníci, ktorí narúšajú sieť organizácie a zostávajú určitý čas nezistení, predstavujú pokročilé pretrvávajúce hrozby. Títo útočníci sú skúsení a často dobre vybavení.
Útoky sociálnym inžinierstvom: Kybernetickí útočníci môžu použiť manipuláciu a podvod, aby oklamali zamestnancov organizácie a prinútili ich poskytnúť prístup alebo citlivé informácie. Medzi bežné útoky sociálneho inžinierstva patria phishingové útoky, návnady a scareware.
Osvedčené postupy na vyhľadávanie kybernetických hrozieb
Pri implementácii protokolu na vyhľadávanie kybernetických hrozieb vo vašej organizácii majte na pamäti nasledujúce osvedčené postupy:
- Poskytnite lovcom hrozieb úplný prehľad o svojej organizácii. Lovci hrozieb sú najúspešnejší, keď chápu celkový obraz.
- Udržiavajte doplnkové nástroje zabezpečenia ako SIEM, XDR a EDR. Lovci kybernetických hrozieb sa spoliehajú na automatizáciu a údaje poskytované týmito nástrojmi, aby mohli rýchlejšie identifikovať hrozby s väčším kontextom na rýchlejšie riešenie.
- Buďte informovaní o najnovších nových hrozbách a taktikách. Útočníci a ich taktiky sa neustále vyvíjajú – uistite sa, že vaši lovci hrozieb majú najnovšie zdroje o aktuálnych trendoch.
- Trénujte zamestnancov, aby identifikovali a nahlasovali podozrivé správanie. Znížte možnosť hrozieb zvnútra tým, že budete informovať svojich ľudí.
- Implementujte správu rizík, aby ste znížili celkové vystavenie organizácie rizikám.
Prečo je vyhľadávanie hrozieb pre organizácie dôležité
Vzhľadom na to, že škodlivé subjekty používajú čoraz sofistikovanejšie metódy útokov, je pre organizácie nevyhnutné investovať do proaktívneho vyhľadávania kybernetických hrozieb. Lov kybernetických hrozieb dopĺňa pasívnejšie formy ochrany pred hrozbami a odstraňuje medzery v zabezpečení, čím umožňuje organizáciám odstrániť hrozby, ktoré by inak zostali nezistené. Zintenzívňujúce sa hrozby zo strany komplexných útočníkov znamenajú, že organizácie musia posilniť svoju obranu, aby si udržali dôveru v schopnosť narábať s citlivými údajmi a znížiť náklady spojené s narušením zabezpečenia.
Produkty ako Microsoft Sentinel vám pomôžu udržať si náskok pred hrozbami zhromažďovaním, ukladaním a sprístupňovaním historických údajov v cloudovom rozsahu, zefektívnením vyšetrovania a automatizáciou bežných úloh. Tieto riešenia môžu poskytnúť lovcom kybernetických hrozieb výkonné nástroje, ktoré pomôžu udržať vašu organizáciu chránenú.
Ďalšie informácie o zabezpečení od spoločnosti Microsoft
Microsoft Sentinel
Zistite a zastavte bezpečnostné hrozby v celom podniku pomocou inteligentnej analýzy zabezpečenia.
Microsoft Defender Experti na vyhľadávanie hrozieb
Rozšírte proaktívne vyhľadávanie hrozieb až za hranice koncového bodu.
Microsoft Defender Analýza hrozieb
Pomôžte chrániť svoju organizáciu pred modernými útočníkmi a hrozbami, ako napríklad ransomwarom.
SIEM a XDR
Zisťujte, vyšetrujte a reagujte na hrozby v rámci celého digitálneho priestoru.
Najčastejšie otázky
-
Príkladom lovu kybernetických hrozieb je lov založený na hypotézach, pri ktorom lovec hrozieb identifikuje predpokladané taktiky, techniky a postupy, ktoré by útočník mohol používať, a potom hľadá dôkazy o nich v sieti organizácie.
-
Detekcia hrozieb je aktívny, často automatizovaný prístup ku kybernetickej bezpečnosti, zatiaľ čo vyhľadávanie hrozieb je proaktívny, neautomatizovaný prístup.
-
Centrum bezpečnostných operácií (SOC) je centralizovaná funkcia alebo tím, buď na mieste, alebo externe, ktorý je zodpovedný za zlepšovanie kybernetickej bezpečnosti organizácie a za prevenciu, zisťovanie a reakciu na hrozby. Vyhľadávanie kybernetických hrozieb je jednou z taktík, ktoré SOC používajú na identifikáciu a nápravu hrozieb.
-
Nástroje na vyhľadávanie kybernetických hrozieb sú softvérové prostriedky, ktoré sú k dispozícii tímom IT a lovcom hrozieb a ktoré pomáhajú zisťovať a odstraňovať hrozby. Medzi nástroje na vyhľadávanie hrozieb patria napríklad antivírusová ochrana a ochrana brány firewall, softvér EDR, nástroje SIEM a analýza údajov.
-
Hlavným cieľom vyhľadávania kybernetických hrozieb je aktívne zisťovať a odstraňovať sofistikované hrozby a útoky skôr, ako poškodia organizáciu.
-
Analytické nástroje pre kybernetické hrozby sú informácie a údaje, ktoré softvér kybernetickej bezpečnosti zhromažďuje, často automaticky, ako súčasť svojich bezpečnostných protokolov na lepšiu ochranu pred kybernetickými útokmi. Vyhľadávanie hrozieb zahŕňa využívanie informácií získaných zo spravodajských informácií o hrozbách a ich použitie na vytváranie hypotéz a opatrení na vyhľadávanie a odstraňovanie hrozieb.
Sledujte Microsoft