Компании все лучше осознают важность создания потенциалов обнаружения и охоты на угрозы, которые помогают им защищать будущее своего бизнеса от рисков.
Популярность сервисов Threat Hunting является следствием обнаружения все более устойчивых атак, которые способны длиться все дольше и дольше. Кроме того, кибер-преступники также обладают все большим арсеналом техник, которые помогают им обходить традиционные средства защиты, а значит, и системы обнаружения атак. Поэтому в наше время крайне важно пытаться определить кибер-атаки, чтобы максимально сузить их «окно возможностей».
Впрочем, для достижения этой цели предприятиям и организациям не хватает бюджета, технологий, процессов, и, прежде всего, команды экспертов, которая способна сделать это с нуля. Поэтому для большинства компаний не представляется возможным создавать и совершенствовать свою защиту с такой же скоростью, как развивается сфера кибер-преступлений.
В этой экосистеме Threat Hunting (по сути – охота за угрозами) выделяется как одна из наиболее важных тенденций в сфере корпоративной информационной безопасности за последние годы. Но для понимания того, почему Threat Hunting настолько необходим в наши дни, важно четко понимать, что это такое.
Что такое Threat hunting? Данная концепция может быть определена как «… процесс проактивного и итеративного поиска в сетях с целью обнаружения и изоляции сложных угроз, которые обходят существующие решения безопасности»
Что его отличает? Проактивность – вот что действительно отличает Threat Hunting от традиционных средств управления угрозами, таких как файерволы, системы обнаружения вторжений (IDS), «песочницы» и SIEM-системы. Все эти меры подразумевают расследование уже после того, как стало известно о потенциальной атаке или инциденте безопасности. Т.е., все они являются реактивными, а не проактивными мерами.
Более того, проактивность чрезвычайно важна в решениях безопасности с опциями расширенной защиты. Изменение фокуса с EPP (Endpoint Protection - защита конечных устройств) на EDR (Endpoint detection and response – Обнаружение атак на конечные устройства и реагирование на них) означает, что в последнем существует телеметрия в реальном времени, которая крайне важна для выполнения охоты за угрозами (threat hunting).
Узнайте все подробности и преимущества, которые Threat Hunting может принести вашей компании на вебинаре, который проводил Диого Пата, Менеджер по предпродажной поддержке в штаб-квартире Panda Security.
Функции Threat Hunting
Самая важная функция Threat Hunting – это, как мы уже обсуждали, его подход: здесь речь идет о проактивном подходе к угрозам. Это означает, что охота за угрозами не является реагированием на инциденты, хотя она связана с ними, т.к. по результатам расследования и его выводам можно определить новые индикаторы атак и компрометации. Средства Threat Hunting направлены на охват тех сфер, которые не охвачены более традиционными инструментами.
Однако, хоть это и может так показаться, но охота за угрозами не заменяет другие стратегии, такие как обнаружение угроз.
Как работает Threat Hunting?
Threat Hunting в Panda Adaptive Defense обнаруживает новые шаблоны атак, используя автоматическую идентификацию аномалий в поведении каждого пользователя, процесса и машины.
Затем охотники за угрозами выполняют свои расследования, которые разгадывают основную причину инцидента, получают немедленный ответ и следуют плану действий для успешного сокращения поверхности атаки.
Более того, каждый новый шаблон атаки также становится новым штампом поведения для системы обнаружения угроз, который может быть использован для предотвращения будущих атак до того, как они могут нанести ущерб, таким образом, создавая цикл обучения и обнаружения.
Положит ли это конец кибер-преступности? На самом деле, нет. Но совершение кибер-преступлений станет настолько сложным и дорогим мероприятием, что атаки сами по себе станут менее прибыльными вплоть до того, что злоумышленники (их часть) переключатся на достижение других целей. В любом случае, охота за угрозами (threat hunting) будет способствовать тому, чтобы ваш бизнес процветал и выходил на новые высоты.
