Lov na pretnje je bitna komponenta Vaše strategije kibernetičke bezbjednosti. Bilo da počinjete ili ste u naprednom stanju, ovaj će Vam članak pomoći da pojačate svoj program obavještavanja o pretnjama.
Šta je lov na pretnje?
Industrija kibernetičke bezbjednosti prelazi sa reaktivnog na proaktivni pristup. Umjesto da čekaju upozorenja o kibernetičkoj bezbjednosti, a zatim ih rešavaju, sigurnosne organizacije sada raspoređuju crvene timove da aktivno traže kršenja, pretnje i rizike, kako bi mogli biti izolovani. Ovo je takođe poznato kao “lov na pretnje”.
Zašto je potreban lov na pretnje?
Lov na pretnje dopunjuje postojeće sigurnosne kontrole prevencije i otkrivanja. Ove kontrole su neophodne za ublažavanje pretnji. Međutim, oni su optimizovani za nizak broj lažnih pozitivnih upozorenja. Hunt rešenja, s druge strane, optimizovana su za niske lažne negativne vrijednosti. To znači da su anomalije i odstupnici koji se smatraju lažnim pozitivnim rezultatima za rešenja za detekciju tragovi rešenja, koje treba istražiti. Ovo omogućava lov na pretnje kako bi se eliminisale postojeće praznine između rešenja za otkrivanje. Snažna sigurnosna strategija će koristiti obe vrste rešenja. Tal Darsan, menadžer sigurnosnih usluga u Cato Networks-u, dodaje: „Sve u svemu, lov na pretnje je ključan jer omogućava organizacijama da proaktivno identifikuju i riješe potencijalne sigurnosne pretnje prije nego što mogu uzrokovati značajnu štetu. Nedavne studije pokazuju da vrijeme zadržavanja pretnje u mreži organizacije dok haker ne postigne svoj konačni cilj, može trajati sedmicama ili čak mjesecima. Stoga, aktivni program za lov na pretnje može pomoći u otkrivanju i brzom odgovoru na kibernetičke pretnje koje drugi sigurnosni mehanizmi ili proizvodi propuštaju.”
Kako loviti pretnje?
Lovac na pretnje će započeti provođenjem dubinskog istraživanja mreže i njenih ranjivosti i rizika. Da bi to učinili, trebat će im širok raspon tehnoloških sigurnosnih vještina, uključujući analizu malicioznog softvera, analizu memorije, analizu mreže, analizu hosta i uvredljive vještine. Jednom kada njihovo istraživanje dovede do “potencijala”, oni će ga koristiti da ospore postojeće sigurnosne hipoteze i pokušaju da identifikuju kako se resurs ili sistem mogu probiti. Da bi dokazali ili pobili svoju hipotezu, vodit će iterativne kampanje lova.
Ako budu “uspješni” u probijanju, mogli bi pomoći organizaciji da razvije metode otkrivanja i popravi ranjivost. Lovci na pretnje takođe mogu automatizovati dio ili cijeli ovaj proces, tako da se može skalirati.
Tal Darsan dodaje “MDR (upravljano otkrivanje i odgovor) timovi igraju ključnu ulogu u postizanju efikasnog lova na pretnje pružanjem specijalizovane ekspertize i alata za praćenje i analizu potencijalnih sigurnosnih pretnji. Angažovanje MDR usluge pruža organizacijama stručnu podršku za kibernetičku bezbjednost, naprednu tehnologiju, 24/7 praćenje, brzu reakcija na incidente i ekonomičnost. Pružaoci MDR usluga imaju specijalizovanu ekspertizu i koriste napredne alate za otkrivanje i reagovanje na potencijalne pretnje u realnom vremenu.”
Gdje tražiti pretnje?
Dobar lovac na pretnje mora postati stručnjak za Open Source INTelligence (OSINT). Pretražujući na mreži, lovci na pretnje mogu pronaći komplete malicioznog softvera, liste kršenja, korisničke račune, Zero Days, TTP-ove i još mnogo toga.
Ove ranjivosti se mogu naći na clear web-u, odnosno javnom internetu koji svi koriste. Osim toga, mnogo vrijednih informacija se zapravo nalazi na deep web-u i dark web-u, koji su slojevi interneta ispod clear web-a. Kada ulazite u dark web, preporučuje se da pažljivo maskirate svoju ličnost, u suprotnom, Vi i Vaša kompanija možete biti ugroženi.
Preporučljivo je provesti najmanje pola sata sedmično na dark web-u. Međutim, budući da je tamo teško pronaći ranjivosti, većina onoga što identifikujete vjerovatno će biti iz deep i clear web-a.
Razmatranja za Vaš program za obavještavanje o pretnjama
Uspostavljanje obavještajnog programa o pretnjama je važan proces, koji se ne smije olako shvatiti. Stoga je neophodno temeljno istražiti i isplanirati program prije početka implementacije. Evo nekoliko razmatranja koje treba uzeti u obzir.
1. Razmišljanje
Kada gradite svoju strategiju lova na pretnje, prvi korak je identifikovati i zaštititi vlastite “dragulje”. Ono što se sastoji od kritičnih sredstava za misiju razlikuje se od organizacije do organizacije. Dakle, niko Vam ih ne može definisati.
Kada odlučite šta su, koristite Purple Team da testirate da li i kako im se može pristupiti i provaliti. Na taj način ćete moći vidjeti kako napadač razmišlja te kako biste mogli postaviti sigurnosne kontrole. Kontinuirano provjeravajte ove kontrole.
2. Odabir strategije za lov na pretnje
Postoji mnogo različitih strategija za lov na pretnje koje možete implementirati u svoju organizaciju. Važno je osigurati da Vaša strategija odgovara zahtjevima Vaše organizacije. Primjeri strategija uključuju:
- Izgradnja zida i potpuno blokiranje pristupa, kako bi se osiguralo da je sve što se odnosi na početni pristup i izvršenje blokirano
- Izgradnja minskog polja, kada se pretpostavi da je haker već unutar Vaše mreže
- Određivanje prioriteta gdje početi u skladu s MITER framework-om
3. Kada koristiti Threat Intelligence Automation?
Automatizacija podstiče efikasnost, produktivnost i smanjenje grešaka. Međutim, automatizacija nije neophodna za lov na pretnje. Ako se odlučite za automatizaciju, preporučuje se da osigurate:
- Osoblje za razvoj, održavanje i podršku alata i platforme
- Osnovno održavanje identifikacije i osiguranja “dragulja”. Poželjno je da automatizujete kada dođete na napredni nivou zrelosti
- Da se have procesi lako ponavljaju
- Pažljivo pratiti i optimizovati automatizaciju kako bi nastavila da daje relevantnu vrijednost
Model zrelosti za lov na pretnje
Kao i svaka druga implementirana poslovna strategija, postoje različiti nivoi zrelosti koje organizacije mogu dostići. Za lov na pretnje, različite faze uključuju:
- Faza 0 – Odgovaranje na sigurnosna upozorenja
- Faza 1 – Uključivanje indikatora obavještajnih podataka o pretnjama
- Faza 2 – Analiza podataka prema procedurama koje su kreirali drugi
- Faza 3 – Kreiranje novih procedura analize podataka
- Faza 4 – Automatizacija većine procedura analize podataka
Najbolji primjeri iz prakse za obavještavanje o pretnjama
Bilo da gradite svoj program od nule ili poboljšavate postojeći, evo najboljih primjera iz prakse koji Vam mogu pomoći da poboljšate svoje aktivnosti u potrazi za pretnjama:
1. Definišite šta je važno
Odredite bitnu imovinu u Vašem prostoru pretnji. Imajte na umu razmišljanje o “dragulju” koje preporučuje kreiranje inventara Vaše imovine kritične za misiju, provjera okruženja rizika, tj. kako se isto može probiti, a zatim i zaštititi.
2. Automatizujte
Automatizujte sve procese koje možete, ako možete. Ako ne možete, i to je u redu. Moći ćete kada proces i okruženje bude zrelije.
3. Izgradite svoju mrežu
Zaštita od kibernetičkog napada je veoma teška. Nikada ne možete pogriješiti, dok napadači moraju biti uspješni samo jednom. Povrh svega, ne poštuju se nikakvih pravila. Zato je važno izgraditi svoju mrežu i dobiti i pružiti informacije od drugih igrača i aktera u industriji. Ova mreža bi trebala uključivati kolege iz drugih kompanija, influensere, online grupe i forume, zaposlene u Vašoj kompaniji iz drugih odjela, rukovodstvo i Vaše dobavljače.
4. Razmišljajte kao haker i ponašajte se kao pretnja
Lov na pretnje znači prelazak sa reaktivnog na proaktivan način razmišljanja. Ovo razmišljanje možete potaknuti gledanjem podataka o pretnjama, praćenjem grupa, isprobavanjem alata i korištenjem Purple Team-a za testiranje. Iako ovo može izgledati kontraintuitivno, imajte na umu da je ovo jedan od najboljih načina zaštite Vaše organizacije. Zapamtite, ili vi ili napadač.
Vrste lova na pretnje
1. Struktuisan
Sigurnosni lov se izvodi na osnovu indikatora napada (IoA), kao i taktika, tehnika i procedura (TTP) koje koriste napadači.
2. Nestruktuisan
Ovdje se lov na pretnje izvodi na osnovu okidača i indikatora kompromisa (IoC), lovci na pretnje koriste nestruktuisani lov za traženje bilo kakvih anomalija ili obrazaca u cijelom sistemu.
3. Situacioni
Ovdje se situacijske hipoteze osmišljavaju na osnovu okolnosti, kao što su ranjivosti otkrivene tokom procjene mrežnog rizika. Entitetski orijentisani kontakti se koriste iz podataka o napadima prikupljenih od strane gomile koji se sastoje od najnovijih TTP-ova trenutnih pretnji kibernetičke bezbjednosti. Lovac na pretnje tada može tražiti ova specifična ponašanja unutar sistema za testiranje.