Threat hunting: Nová forma obrany proti kybernetickým hrozbám.
Účinnú ochranu proti kybernetickým útokom nemožno obmedziť len na reakciu na varovania pred útokom, pretože bezpečnostné systémy analyzujú predovšetkým všeobecne známe hrozby. Medzitým kybernetickí zločinci neustále hľadajú spôsoby, ako získať prístup k podnikovým zdrojom. Ako sa teda môžu podniky účinne brániť proti kybernetickým zločincom? Odborníci zo spoločnosti Cisco zdôrazňujú, že v záujme zaistenia vysokej úrovne kybernetickej bezpečnosti treba aktívne hľadať nové hrozby a IT oddelenie by malo začať digitálny lov.
„Existujú dva druhy útokov, známe a neznáme. Všetci hovoria o tých známych, proti ktorým máme k dispozícii ochranu. Báť by sme sa však mali najmä tých neznámych, ktoré spôsobujú najväčšie škody. Proti nim je najlepšou obranou práve threat hunting,“ hovorí Milan Habrcetl, bezpečnostný expert zo spoločnosti Cisco.
Identifikácia nových foriem hrozieb je len jednou zo súčastí účinnej bezpečnostnej stratégie. Nemenej dôležité je neustále vyhľadávanie zraniteľností v ekosystéme kybernetickej ochrany. Obe tieto činnosti spadajú do relatívne novej disciplíny, nazvanej threat hunting. Podľa odborníkov zo spoločnosti Cisco vyžaduje implementácia tejto filozofie v podnikoch niekoľko krokov:
Krok 1: Vytvoriť zodpovedný tím – threat hunting je v skutočnosti ďalším kyberbezpečnostným projektom, takže je dôležité, aby bol v organizácii vytvorený tím, ktorý ho bude mať na starosti. Títo ľudia by mali mať zodpovedajúce odborné znalosti, ako i špecifické znalosti o koncových bodoch a sieťach v organizácii, schopnosť používať analytické systémy a v neposlednom rade i vrodenú zvedavosť a tvorivú myseľ.
Krok 2: Poskytnúť tímom možnosti nahliadnuť do IT zdrojov – threat hunting vyžaduje používanie vhodných nástrojov, ako sú systémy SIEM (Security Information and Event Management). Tím, zodpovedný za lov zraniteľností, musí mať prehľad o sieťovej prevádzke a zaznamenať všetky udalosti, vrátane informácií o IP adresách, URL a doménach. Medzi najúčinnejšie riešenia, ktoré sú zbraňami kybernetických tímov, patria Cisco Threat Response, AMP (Advanced Malware Protection) a Umbrella Investigate. Odborníci zo spoločnosti Cisco taktiež poukazujú na to, že veľmi dôležité je i sledovanie najnovších informácií o kybernetických hrozbách.
Krok 3: Určiť, kedy je najlepší čas na hľadanie hrozieb – hľadanie zraniteľností by sa malo vykonávať vo chvíli, keď sa v organizácii objavujú neobvyklé udalosti, ktoré môžu naznačovať, že došlo k útoku. Táto otázka by mala zaznieť v niekoľkých momentoch – ak sa organizácia v ostatnom čase stretla s extrémne veľkým množstvom stiahnutých dát, ak sa niektorý z používateľov pokúsil o neautorizovaný prístup do systémov, v prípade, keď administrátor odstránil dáta z protokolu udalostí a vo chvíli, keď bol spiaci systém náhle aktivovaný uprostred noci.
„Threat hunting považujú IT tímy za ďalšiu povinnosť. Špecialisti kybernetickej bezpečnosti sa snažia automatizovať procesy, kým threat hunting si vyžaduje nezávislú analýzu. V súčasnosti ale bohužiaľ len reakcia na varovania pred útokom nestačí. Aktívny Threat hunting prináša mnoho výhod a umožňuje organizáciám zostať krok pred kybernetickými zločincami. Threat hunting by preto nemal byť považovaný za ďalší vedľajší produkt, ale za trvalý prvok kyberbezpečnostnej stratégie. Je to niečo ako základná bezpečnostná hygiena. Kto si umýva ruky, výrazne znižuje riziko nákazy chorobou. Kto vymetá nečistoty zo systémov, taktiež znižuje riziko, že prípadný útok bude úspešný. Preto i keď na svojom love neodhalíte nič, spravili ste veľa pre zvýšenie bezpečnosti,“ hovorí Milan Habrcetl.
Ďalšie informácie o tom ako a prečo robiť threat hunting, nájdete v tejto správe.