Otkrivanje hakera prije nego što oni Vas hakuju ključno je za jačanje Vaše kibernetičke odbrane. To učiniti efikasno i efektivno nije mali zadatak, ali uz malo ulaganje vremena, možete savladati lov na pretnje i uštediti svojoj organizaciji milione dolara.
Uzmite u obzir ovu zapanjujuću statistiku. Cybersecurity Ventures procjenjuje da će kibernetički kriminal nanijeti štetu od 10,5 biliona dolara globalnoj ekonomiji do 2025. godine. Mjereći ovaj iznos kao država, cijena kibernetičkog kriminala jednaka je trećoj ekonomiji svijeta nakon SAD-a i Kine. Ali sa efikasnim lovom na pretnje, možete spriječiti hakere da izazovu pustoš u Vašoj organizaciji.
Šta je lov na pretnje?
Lov na kibernetičke pretnje je prikupljanje dokaza da se pretnja materijalizuje. To je kontinuisani proces koji Vam pomaže da pronađete pretnje koje predstavljaju najznačajniji rizik za Vašu organizaciju i osnažuje Vaš tim da ih zaustavi prije pokretanja napada.
Lov na pretnje u šest etapa
Tokom lova, važno je pažljivo planiranje i pažnja posvećena detaljima, kao i osiguranje da svi članovi tima slijede isti plan. Da biste održali efikasnost, dokumentujte svaki korak kako bi drugi u Vašem timu mogli lako ponoviti isti proces.
1 — Organizacija lova
Pobrinite se da je Vaš tim pripremljen i organizovan popisom Vaše kritične imovine, uključujući krajnje tačke, servere, aplikacije i usluge. Ovaj korak Vam pomaže da shvatite šta pokušavate zaštititi i pretnjama kojima su oni najskloniji. Zatim odredite lokaciju svakog sredstva, ko ima pristup i kako se obezbjeđivanje pristupa odvija.
Konačno, definišite svoje prioritetne zahtjeve za obavještajnim podacima (PIR) postavljanjem pitanja o potencijalnim pretnjama na osnovu okruženja i infrastrukture Vaše organizacije. Na primjer, ako imate udaljenu ili hibridnu radnu snagu, takva pitanja mogu uključivati:
- Na koje pretnje su udaljeni uređaji najranjiviji?
- Kakvu vrstu dokaza bi te pretnje ostavile za sobom?
- Kako ćemo utvrditi da li je zaposleni ugrožen?
2 — Planirajte lov
U ovoj fazi ćete podesiti potrebne parametre kroz sledeće korake:
- Navest svrhu, uključujući zašto je lov neophodan i na koje pretnje bi se trebali usredotočiti, kako je utvrđeno Vašim PIR-ovima. Na primjer, udaljena radna snaga može biti sklonija phishing napadima prema BYOD modelu.
- Definišite opseg, identifikujte svoje pretpostavke i iznesite svoju hipotezu na osnovu onoga što znate. Možete suziti svoj opseg tako što ćete razumiti koji će se dokazi pojaviti ako se pretnja koju tražite pokrene.
- Shvatite svoja ograničenja, kao što su skupovi podataka kojima možete pristupiti, koje resurse morate analizirati i koliko vremena imate.
- Postavite vremenski okvir sa realnim rokom.
- Odredite koja okruženja želite isključiti i potražite ugovorne odnose koji vas mogu spriječiti da lovite u određenim okruženjima.
- Shvatite zakonska i regulatorna ograničenja koja morate slijediti. Ne možete prekršiti zakon, čak ni kada lovite loše momke.
3 — Koristite prave alate za posao
Postoji mnogo alata za lov na pretnje, ovisno o inventaru imovine i hipotezi. Na primjer, ako tražite potencijalni kompromis, SIEM i alati za istragu mogu Vam pomoći da pregledate log-ove i utvrdite ima li curenja. Slijedi primjer liste opcija koje mogu značajno poboljšati efikasnost lova na pretnje:
- Obavještajni podaci o pretnjama, konkretno, automatizovani izvori i istražni portali koji preuzimaju obavještajne podatke o pretnjama s deep i dark web-a
- Pretraživači i web spider-i
- Informacije od dobavljača kibernetičke bezbjednosti i antivirusnih programa
- Vladini resursi
- Javni mediji, blogovi o kibernetičkoj bezbjednosti, internet stranice s vijestima i časopisi
- SIEM, SOAR, istraživački alati i OSINT alati
4 — Izvršite lov
Kada provodite lov, najbolje je da bude jednostavan. Pratite svoj plan tačku po tačku kako biste ostali na pravom putu i izbjegli stranputice i ometanja. Izvođenje se odvija u četiri faze:
- Prikupljanje – Ovo je najintenzivniji dio lova na pretnje, posebno ako koristite ručne metode za prikupljanje informacija o pretnjama.
- Proces – Kompajlirajte podatke i obradite ih u organizovanom i čitljivom formatu kako bi ih drugi analitičari pretnji razumjeli.
- Analizirajte – Odredite šta otkrivaju Vaši nalazi.
- Zaključak – Ako pronađete pretnju, imate li podatke koji potvrđuju njenu ozbiljnost?
5 — Zaključite i ocijenite lov
Procjena Vašeg rada prije nego što započnete sljedeći lov je imperativ da Vam pomogne da se poboljšate. U nastavku su neka pitanja koja treba razmotriti u ovoj fazi:
- Da li je odabrana hipoteza bila prikladna za lov?
- Da li je opseg bio dovoljno uzak?
- Jeste li prikupili korisne obavještajne podatke ili bi se neki procesi mogli obaviti drugačije?
- Da li ste imali pravi alat?
- Jesu li svi slijedili plan i proces?
- Da li se rukovodstvo osjećalo ovlaštenim da usput odgovori na pitanja i da li je imalo pristup svim potrebnim informacijama?
6 — Izvještavaj i postupaj prema svojim nalazima
Završavajući lov, možete vidjeti da li Vaši podaci podržavaju Vašu hipotezu, a ako je tako, obavijestit ćete timove za kibernetičku bezbjednost i odgovor na incidente. Ako nema dokaza o konkretnom problemu, morat ćete procijeniti resurse i osigurati da nema praznina u analizi podataka. Na primjer, možete shvatiti da ste pregledali svoje zapise radi kompromisa, ali niste provjerili ima li procurjelih podataka na dark web-u.
Podignite lov na prijetnje na novi nivo uz CTI
CTI može biti efikasna komponenta Vašeg programa za otkrivanje pretnji, posebno kada su obavještajni podaci o pretnjama sveobuhvatni i uključuju poslovni kontekst i relevantnost za Vašu organizaciju. Cybersixgill uklanja barijeru pristupa najvrednijim izvorima CTI-a i pruža istražne mogućnosti deep dive-a kako bi pomogao Vašem timu da pronađe potencijalne kibernetičke pretnje najvišeg prioriteta.
Njihov istraživački portal Vam omogućava da sastavite, upravljate i nadgledate svoj kompletan inventar imovine na deep, dark i clean web-u. Ova obavještajna informacija Vam pomaže da identifikujete potencijalne rizike i izloženost, shvatite potencijalne putanje napada i TTP-ove hakera kako biste proaktivno razotkrili i spriječili nove kibernetičke napade prije nego što se dese.
Izvor: The Hacker News