Threat Hunting в кибербезопасности

Threat Hunting в кибербезопасности

Выпуск 12(6686) от 20 июня 2019 г.
РУБРИКА: УПРАВЛЕНИЕ И БЕЗОПАСНОСТЬ

Threat Hunting (англ. «охота на угрозы») – ​это проактивный подход, используемый в сфере кибербезопасности для превентивного обнаружения аномалий и угроз до осуществления кибератаки.

Один из ключевых факторов обеспечения кибербезопасности – ​грамотное применение SIEM-систем, которые представляют собой основу центров управления безопасностью (security operation center, SOC). Ограничения SIEM-систем по производительности увеличивают уязвимость организаций перед наиболее передовыми кибератаками. В таких условиях целесообразно придерживаться проактивного подхода, когда сетевые потоки, пакеты и журналы проверяются на наличие аномалий и характерных для атак признаков.

Прежде всего необходимо определить поверхность атаки, выявив количество потенциально уязвимых объектов в компьютерной системе. Методы анализа больших данных позволяют выявить признаки угроз, отделив их от сетевого шума.

Threat Hunting начинается с построения сильной гипотезы – ​определения признаков, на которые необходимо ориентироваться при выявлении угроз. Для этого требуется произвести анализ прошлых кибератак, изучить существующие тактики, техники и процедуры (tactics, techniques and procedures, TTP), выявить возможные внешние угрозы, а также внутренние параметры информационной системы. При внедрении платформ для поиска угроз на основе больших данных возникает опасность появления ложноположительных результатов. Следует сконцентрироваться на выявлении отдельных признаков угроз, таких как аномальные туннели, сетевые маяки, изменение внутренних параметров информационной системы, загрузка больших объемов данных, исходящий трафик на C&C-серверы или сайты Darkweb, повышение привилегий, передача хеша, необычные DNS-запросы, используя полученные данные для корректировки первоначальной гипотезы.

Для среднего времени обнаружения угроз процессы Threat Hunting могут быть автоматизированы. После внедрения программ обнаружения угроз на основе сигналов трафика можно переходить к автоматизации сложных сценариев, для которых требуется применение моделей на основе машинного обучения и ИИ. При этом специалистам по информационной безопасности все равно придется проверять наличие признаков угроз вручную. Важны регулярность проведения кампаний по обнаружению угроз и постоянная корректировка первоначальной гипотезы.

 

Gupta Sandeep, Bhat Prashant. Threat Hunting: The Proactive Angle to Cyber Security. Data Quest, May 18, 2019: https://www.dqindia.com/threat-hunting-proactive-angle-cyber-security/


ЧИТАЙТЕ ТАКЖЕ