Threat investigation je komplexný proces pozostávajúci z hľadania hrozieb a následnej analýzy zistených údajov. Môže Vám pomôcť načrtnúť celkový obraz o útoku a zaistiť, aby sa v budúcnosti podobné útoky neopakovali.
Threat hunting je proces proaktívneho vyhľadávania hrozieb, ktoré už ohrozili Vašu infraštruktúru. Tento proces by mal začať stanovením hypotézy – kto a ako nás kompromitoval. Bez vytvorenia hypotézy, je odhaľovanie hrozieb ako hľadanie ihly v kope sena. Hypotéza by mala byť zároveň vytvorená aj s využitím threat intelligence a podrobnej znalosti Vašej spoločnosti.
Napríklad ak vaše obchodné aktíva obsahujú výskumné údaje týkajúce sa COVID-19, môžete vyhľadať IOC (indikátory kompromitácie) patriace k APT29.
Proces vyšetrovania by nemal končiť samotným odhalením incidentu. Každý škodlivý súbor by mal byť podrobne analyzovaný, aby sa odhalil celý rozsah incidentu. Analýza škodlivého softvéru (malvéru) totiž dokáže odhaliť mnohé zo schopností škodlivého softvéru. Tým sa proces reakcie na incident zrýchli a je tak možné efektívnejšie predchádzať podobným hrozbám. Takúto analýzu je tiež možné použiť aj na odhalenie pôvodu útokov a motiváciu útočníkov.
V praxi existujú dva spôsoby, ako analyzovať malvér. Ide o dynamickú analýzu, ktorá sa vykonáva spustením vzorky zo sandboxu, pričom zmeny systému zaznamenávame pomocou automatizovaných nástrojov, alebo malvér vieme odstrániť manuálne. Statická analýza spočíva v analýze kódu škodlivého softvéru bez potreby jeho spustenia.
Malvér často využíva techniky zamerané na zabránenie analýzam. Častokrát dokáže detegovať rôzne reťazce patriace do sandboxu, aby zabránil dynamickej analýze, a môže tiež k sebe pripojiť debugger, aby zabránil odhaleniu. Zruční analytici škodlivého softvéru podobné techniky dokážu obísť a analyzovať tak aj tie najpokročilejšie vzorky škodlivého softvéru.
Informácie získané počas vyšetrovania môžu zlepšiť proces detekcie, zmierniť následky a tým pôsobiť preventívne do budúcna.
Online workshop Threat Investigation, ktorý je súčasťou špeciálneho formátu 3. ročníka QuBit Conference Belgrade 2020 – vás prevedie vyšetrovaním štyroch skutočných kybernetických útokov pomocou threat huntingu a analýzou škodlivých súborov na skutočných vzorkách.
QuBit Conference & QuBit Academy sú spoločné projekty spoločnosti QuBit Security s.r.o., ktoré združujú profesionálov v oblasti kybernetickej a informačnej bezpečnosti z rôznych odvetví a z rôznych kútov sveta. Primárnym cieľom je vytvoriť priestor pre komunitu, aby sa mohla vzdelávať, rozvíjať, zdieľať svoje poznatky a know-how a v neposlednom rade vytvárať a nadväzovať nové kontakty.