Šta je to potraga za kibernetičkim pretnjama?
Potraga za kibernetičkim pretnjama je proces proaktivnog traženja nepoznatih ili neotkrivenih pretnji u mreži, krajnjim tačkama i podacima organizacije.
Kako funkcioniše potraga za kibernetičkim pretnjama
Potraga za kibernetičkim pretnjama koristi lovce na pretnje da preventivno traže potencijalne pretnje i napade unutar sistema ili mreže. To omogućava agilne, efikasne odgovore na sve složenije kibernetičke napadekojima upravljaju ljudi. Dok tradicionalne metode kibernetičke bezbednosti identifikuju kršenja bezbednosti nakon činjenice, potraga za kibernetičkim pretnjama funkcioniše pod pretpostavkom da je došlo do kršenja i može identifikovati, prilagoditi potencijalne pretnje i odgovoriti na njih odmah po otkrivanju.
Sofisticirani napadači mogu da probiju organizaciju i ostanu neotkriveni tokom dužeg vremenskog perioda – dana, sedmica ili još dužeg perioda. Dodavanje potrage za kibernetičkim pretnjama vašem postojećem profilu bezbednosnih alatki, kao što su otkrivanje krajnjih tačaka i odgovor (EDR) i bezbednosne informacije i upravljanje događajima (SIEM), može vam pomoći da sprečite i otklonite napade koje inače automatizovane bezbednosne alatke ne bi mogle da otkriju.
Automatizovana potraga za pretnjama
Lovci na kibernetičke pretnje mogu da automatizuju određene aspekte procesa korišćenjem mašinskog učenja, automatizacije i veštačke inteligencije. Korišćenje prednosti rešenja kao što su SIEM i EDR može pomoći lovcima na pretnje da pojednostave procedure potrage za pretnjama, otkrivanjem i reagovanjem na potencijalne pretnje. Lovci na pretnje mogu da kreiraju i automatizuju različite priručnike kako bi odgovorili na različite pretnje, olakšavajući na taj način opterećenje IT timovima kad god se pojave slični napadi.
Alatke i tehnike za potragu za kibernetičkim pretnjama
Lovci na pretnje imaju brojne alatke na raspolaganju, uključujući rešenja kao što su SIEM i XDR, koja su dizajnirana za zajednički rad.
- SIEM: Rešenje koje prikuplja podatke iz više izvora sa analizom u realnom vremenu, SIEM može da pruži lovcima na pretnje naznake o potencijalnim pretnjama.
- Prošireno otkrivanje i reagovanje (XDR): Lovci na pretnje mogu da koriste XDR, koji pruža informacije o pretnjama i automatizovani prekid napada kako bi postigli veću vidljivost pretnji.
- EDR: EDR, koji prati uređaje krajnjih korisnika, takođe pruža lovcima na pretnje moćnu alatku, dajući im uvid u potencijalne pretnje u svim krajnjim tačkama organizacije.
Tri tipa potrage za kibernetičkim pretnjama
Potraga za kibernetičkim pretnjama obično ima jedan od sledeća tri oblika:
Strukturirano: U strukturiranoj potrazi za pretnjama, lovci na pretnje traže sumnjive taktike, tehnike i procedure (TTP) koje sugerišu potencijalne pretnje. Umesto da pristupi podacima ili sistemu i traži kršenja, lovac na pretnje kreira hipotezu o metodi potencijalnog napadača i metodički radi na identifikaciji simptoma tog napada. Pošto je strukturirana potraga za pretnjama proaktivniji pristup, IT profesionalci koji koriste ovu taktiku često mogu brzo presresti ili zaustaviti napadače.
Nestrukturirano: U nestrukturiranoj potrazi za pretnjama, lovac na kibernetičke pretnje traži indikator ugrožavanja (IoC) i obavlja pretragu od ove početne tačke. Pošto lovac na pretnje može da se vrati i pretražuje istorijske podatke u potrazi za obrascima i znacima, nestrukturirani lovci ponekad mogu da identifikuju prethodno neotkrivene pretnje koje i dalje mogu da izlože organizaciju riziku.
Situaciono: Lov na situacione pretnje daje prioritet određenim resursima ili podacima unutar digitalnog ekosistema. Ako organizacija proceni da su određeni zaposleni ili resursi najveći rizici, ona može da usmeri lovce na kibernetičke pretnje da koncentrišu napore ili spreče ili reše napade na ove ugrožene ljude, skupove podataka ili krajnje tačke.
Koraci i primena za potragu za pretnjama
Lovci na kibernetičke pretnje često prate ove osnovne korake prilikom istraživanja i opoziva pretnji i napada:
- Kreirajte teoriju ili hipotezu o potencijalnoj pretnji. Lovci na pretnje mogu početi tako što će identifikovati uobičajene TTP-ove napadača.
- Vrši istraživanja. Lovci na pretnje istražuju podatke, sisteme i aktivnosti organizacije – SIEM rešenje može biti korisna alatka – i prikupljaju i obrađuju relevantne informacije.
- Identifikujte okidač. Nalazi istraživanja i druge bezbednosne alatke mogu pomoći lovcima na pretnje da odrede početnu tačku za svoju istragu.
- Ispitajte pretnju. Lovci na pretnje koriste svoje istraživačke i bezbednosne alatke da utvrde da li je pretnja zlonamerna.
- Odgovaranje i saniranje. Lovci na pretnje preduzimaju mere da bi rešili pretnju.
Tipovi pretnji koje lovci mogu da otkriju
Potraga za kibernetičkim pretnjama ima kapacitet da identifikuje širok spektar različitih pretnji, uključujući sledeće:
- Malver i virusi: Zlonamerni softver ometa korišćenje normalnih uređaja dobijanjem neovlašćenog pristupa krajnjim uređajima. Phishing napadi, špijunski softver, adver, trojanci, crvi i ransomver su sve primeri malvera. Virusi, neki od najčešćih oblika zlonamernog softvera, dizajnirani su da ometaju normalan rad uređaja tako što snimaju, oštećuju ili brišu njegove podatke pre nego što se prošire na druge uređaje na mreži.
- Insajderske pretnje: Insajderske pretnje potiču od pojedinaca sa ovlašćenim pristupom mreži organizacije. Bilo da se radi o zlonamernim radnjama ili nenamernim ili nemarnim ponašanjem, ovi insajderi zloupotrebljavaju mreže, podatke, sisteme ili objekte organizacije i nanose im štetu.
- Napredne neprekidne pretnje: Sofisticirani akteri koji probiju mrežu organizacije i ostaju neotkriveni neko vreme predstavljaju napredne uporne pretnje. Ovi napadači su iskusni i često dobro opremljeni.
Napadi društvenog inženjeringa: Kibernetički napadači mogu koristiti manipulaciju i obmanu da navedu zaposlene u organizaciji da daju pristup ili osetljive informacije. Uobičajeni napadi društvenog inženjeringa uključuju phishing, mamce i zastrašujući softver.
Najbolje prakse za potragu za kibernetičke pretnje
Prilikom primene protokola za potragu za kibernetičkim pretnjama u organizaciji, imajte na umu sledeće najbolje prakse:
- Omogućite lovcima na pretnje potpunu vidljivost u vašoj organizaciji. Lovci na pretnje su najuspešniji kada razumeju širu sliku.
- Održavajte komplementarne bezbednosne alatke kao što su SIEM, XDR i EDR. Lovci na kibernetičke pretnje oslanjaju se na automatizacije i podatke koje pružaju ove alatke da bi brže identifikovali pretnje i sa većim kontekstom za brže rešavanje.
- Budite informisani o najnovijim pretnjama i taktikama. Napadači i njihove taktike se stalno razvijaju – uverite se da vaši lovci na pretnje imaju najnovije resurse o trenutnim trendovima.
- Obučite zaposlene da identifikuju i prijave sumnjivo ponašanje. Smanjite mogućnost insajderskih pretnji tako što ćete informisati svoje ljude.
- Primenite upravljanje ranjivostima da biste smanjili ukupnu izloženost riziku vaše organizacije.
Zašto je potraga za pretnjama važna za organizacije
Kako zlonamerni akteri postaju sve sofisticiraniji u svojim metodama napada, od vitalnog je značaja za organizacije da ulažu u proaktivnu potragu za kibernetičkim pretnjama. Komplementarno pasivnijim oblicima zaštite od pretnji, potraga za kibernetičkim pretnjama zatvara bezbednosne praznine, omogućavajući organizacijama da otklone pretnje koje bi inače ostale neotkrivene. Intenziviranje pretnji od složenih napadača znači da organizacije moraju da ojačaju svoju odbranu kako bi zadržale poverenje u svoju sposobnost da rukuju osetljivim podacima i smanjile troškove povezane sa kršenjem bezbednosti.
Proizvodi kao što je Microsoft Sentinel mogu vam pomoći da budete korak ispred pretnji prikupljanjem i skladištenjem istorijskih podataka i pristupu njima na nivou oblaka, pojednostavljujući istrage i automatizujući uobičajene zadatke. Ova rešenja mogu da obezbede lovcima na kibernetičke pretnje moćne alatke za zaštitu vaše organizacije.
Saznajte više o Microsoft bezbednosti
Microsoft Sentinel
Pregledajte i zaustavite pretnje u celom preduzeću pomoću analitike inteligentne bezbednosti.
Microsoft Defender stručnjaci za otkrivanje pretnji
Proširite proaktivno traženje pretnji koje se proteže izvan krajnje tačke.
Informacije o pretnjama za Microsoft Defender
Doprinesite zaštiti organizacije od savremenih napadača i pretnji kao što je ransomver.
SIEM i XDR
Otkrijte, istražite pretnje i odgovorite na njih širom vašeg digitalnog imanja.
Najčešća pitanja
-
Primer potrage za kibernetičkim pretnjama je potraga zasnovana na hipotezi u kojoj lovci na pretnje identifikuju sumnjive taktike, tehnike i procedure koje napadač može da koristi, a zatim traži dokaz o njima u okviru mreže organizacije.
-
Otkrivanje pretnji je aktivan, često automatizovan pristup kibernetičkoj bezbednosti, dok je potraga za pretnjama proaktivan, neautomatizovan pristup.
-
Bezbednosni operativni centar (SOC) je centralizovana funkcija ili tim, bilo na licu mesta ili sa spoljnim angažovanjem, odgovoran za poboljšanje položaja kibernetičke bezbednosti organizacije i sprečavanje, otkrivanje i reagovanje na pretnje. Potraga za kibernetičkim pretnjama je jedna od taktika koje SOC koristite za identifikaciju i otklanjanje pretnji.
-
Alatke za potragu za kibernetičkim pretnjama su softverski resursi dostupni IT timovima i lovcima na pretnje kako bi pomogle u otkrivanju i otklanjanju pretnji. Primeri alatki za potragu za pretnjama uključuju stvari kao što su antivirusna zaštita i zaštita zaštitnog zida, EDR softver, SIEM alatke i analitika podataka.
-
Glavna svrha potrage za kibernetičkim pretnjama jeste da proaktivno otkrije i otklonite sofisticirane pretnje i napade pre nego što oštete organizaciju.
-
Obaveštavanje o kibernetičkim pretnjama Informacije o kibernetičkim pretnjama su informacije i podaci koje softver za kibernetičku bezbednost prikuplja, često automatski, kao deo svojih bezbednosnih protokola radi bolje zaštite od kibernetičkih napada. Potraga za pretnjama podrazumeva uzimanje informacija prikupljenih iz obaveštajnih podataka o pretnjama i njihovo korišćenje za informisanje hipoteza i radnji za traženje i otklanjanje pretnji.
Pratite Microsoft bezbednost