Мы неоднократно говорили о том, что когда дело доходит до защиты корпоративной информационной безопасности, компании не должны ограничивать себя действиями только при совершении кибер-атаки: они должны начинать действовать задолго до того, как эти потенциальные атаки смогут представлять реальную угрозу. Более того, им необходимо действовать проактивно, не ограничиваясь предотвращением известных угроз, но также изучать новые тактики, которые кибер-преступники намерены использовать, чтобы поставить под угрозу безопасность компании.
Вот почему Threat Hunting приобретает репутацию эффективного способа защиты корпоративной информационной безопасности, поскольку компании должны работать над своей защитой постоянно, не дожидаясь возникновения атак, а также совершенствовать свои способы обнаружения потенциальных угроз.
Свет и тень Threat Hunting
Впрочем, одно дело быть уверенным в необходимости обратиться к Threat Hunting, и совершенно другое дело сделать это качественно. Эта биполярность отмечена в недавно опубликованном компанией SANS отчете «2018 Threat Hunting Survey», где авторы попытались отразить то, как компании относятся к этой тенденции в последние годы.
Если говорить точнее, то 43% опрошенных и проанализированных компаний постоянно проводят подобного рода операции в рамках своей тактики по предотвращению кибер-рисков, в то время как 65% прогнозируют рост инвестиций в подобного рода инструменты в ближайшие два года.
Исследование подтверждает, насколько кибер-преступность перестроилась за последние несколько лет: когда компании столкнулись с новыми угрозами, которые могли привести к кибер-атакам, 49% заявили, что подавляющее количество этих угроз ранее были неизвестны.
Реагирование на хакеров и инсайдеров
Ключ к поиску угроз в рамках Threat Hunting лежит в его проактивности, т.к. он действует проактивно и итеративно для локализации новых угроз, разработке возможных моделей реагирования, а также нейтрализации этих угроз и препятствования тому, чтобы эти угрозы были способны обходить системы безопасности компании.
Однако не все компании работают в этом направлении. Согласно отчету SANS, 37,3% компаний действуют реактивно, когда угроза уже проникла в сеть компании, когда она уже видима, или когда компания уже имеет подозрение по поводу этой конкретной угрозы. Более того, отчет показывает, что существует две категории компаний, которые чаще используют Threat Hunting. Вторая из этих категорий – это компании, которые ранее уже испытывали опыт столкновения с атаками, который вынудил их усилить свою борьбу против кибер-преступников.
В любом случае, когда речь заходит о применении Threat Hunting, отчет показывает, что 90,3% компаний, с которыми были проведены консультации, используют стандартные инструменты, хотя существует все возрастающая доля компаний, которые работают с помощью кастомизированных настраиваемых решений (61,9%) или которые используют технологические решения, предоставленные компаниями-экспертами в области информационной безопасности (32,5%). В этом смысле эксперты по информационной безопасности Panda Security постоянно совершенствуют систему машинного обучения, позволяя сервису Threat Hunting & Investigation, включенному в состав комплексного решения Panda Adaptive Defense, предупреждать об аномальных активностях и поведении пользователей, приложений и устройств. Как результат такого мониторинга решение способно обнаруживать новые угрозы, которые могут появиться, и разрабатывать модели реагирования, позволяющие остановить их задолго до проникновения через «открытые двери» корпоративной ИТ-безопасности.
Действия человека имеют основополагающее значение
Существует другой фактор, который крайне важен в предвидении подобных атак: человеческий фактор. Сервис Threat Hunting & Investigation предназначен для обнаружения возможных угроз, которые в силу своей новизны способны преодолевать текущие решения информационной безопасности. Но этот фактор новизны имеет элемент, который необходимо принимать во внимание: Threat Hunter.
В отчете SANS подчеркивается, что эти типы действий “осуществляются людьми, и как таковые инструменты должны дополнять эти усилия, а не пытаться их заменить. Threat hunting не может быть полностью автоматизированным, но автоматизация должна значительно повысить эффективность охотников за угрозами”. Сервис Threat Hunters, предоставляемый компанией Panda Security, выявляет и оценивает известные и неизвестные вредоносные атаки, а также атаки без использования вредоносных программ, в реальном времени.
Более того, аномальные поведения в ИТ-системе не должно представлять угрозу. Простой пример: сайт электронной коммерции может столкнуться с гораздо большим количеством операций в определенные периоды года. Это означает, что работа охотников за угрозами также включает в себя применение здравого смысла, чтобы понимать, связано ли экспоненциальное увеличение числа операций с потенциальной угрозой или, наоборот, оно является нормальным ростом трафика и объема операций, которые могут наблюдаться, например, перед Рождеством.
Следовательно, работа охотников за угрозами (Threat Hunters) заключается в использовании технологии для мониторинга и анализа системной активности, обнаружения аномального поведения и тщательной проверки того, влечет ли эта аномалия реальный риск или является ложным срабатыванием. Цель Panda Security состоит в том, чтобы решения безопасности были способны автоматически классифицировать 99,98% угроз, оставляя всего лишь 0,02% из них для ручной обработки нашими аналитиками. Таким образом, мы можем сконцентрировать свои усилия на реально опасных атаках.
Когда мы говорим о защите корпоративной информационной безопасности, никакие усилия не являются огромными. В борьбе против кибер-преступников лучшее решение – это действие человека, технологические решения, сдерживание и проактивный поиск потенциальных угроз.