В последние несколько лет одной из характеристик, которую чаще всего ищут профессионалы в поисках новых талантов для своих компаний, стала проактивность. Адам Грант, профессор Wharton School и один из самых влиятельных авторов в организационной психологии, определяет проактивность как «упреждающее действие, которое предпринимают сотрудники по отношению к себе или своему окружению».

Эта черта характера становится все более важной для корпоративной информационной безопасности. Недавний опрос ESG, проведенный среди специалистов по ИБ, показал, что 53% компаний и организаций сообщили о проблеме нехватки знаний и навыков по информационной безопасности у своих сотрудников. Причем в качестве одной из наиболее сложных проблем отмечена проблема поиска кандидатов, обладающих проактивным отношением к поиску и прогнозированию угроз, выходя за рамки традиционных подходов по реагированию на кибер-атаки. Как мы уже отмечали ранее, проактивность – это ключ к Threat Hunting (охоте за угрозами).

Почему все больше и больше компаний выбирают Threat Hunting?

Традиционные средства информационной безопасности, такие как файерволы, системы обнаружения вторжений (IDS), песочницы или SIEM-решения, как правило, фокусируются на расследованиях по факту произошедшего инцидента. Конечно, эти средства по-прежнему актуальны, т.к. организациям все еще требуется реагировать на распространенные кибер-атаки.

Но необходимо учесть, что кибер-атаки становятся все более скрытыми и сложными, и случаются они все чаще и чаще. В наших прогнозах по информационной безопасности на этот год мы отмечали, что 62% компаний заявили, что они подвергались кибер-атакам, которые не использовали какие-либо вредоносные программы. Другие примеры, такие как атаки с использованием чат-ботов, вредоносные маркетинговые техники, а также другие атаки, основанные на искусственном интеллекте, доказывают, насколько сложными могут быть новые кибер-атаки. Компании хорошо знают об этом, а потому предпринимают соответствующие меры: сейчас порядка 43% компаний регулярно проводят охоту за угрозами (threat hunting) в рамках своей стратегии по предотвращению кибер-рисков, а 65% прогнозируют увеличение инвестиций в подобные инструменты в ближайшие годы (опрос SANS Threat Hunting Survey)

Каким должен быть специалист по Threat Hunting?

Эти новые угрозы также вызвали серьезную эволюцию в профиле кибер-злоумышленников: хотя мы все еще можем встретить среди них многих любителей, тем не менее, теперь большинство из них представляют собой прекрасных профессионалов со специализированной подготовкой и огромными ресурсами, которые они получают от определенных компаний или даже ряда государств. Кибер-преступность теперь чрезвычайно прибыльный и перспективный бизнес. Поэтому жизненно важно, чтобы специалисты по информационной безопасности были на одном уровне (а лучше – выше) с кибер-преступниками. Это означает, что необходимо выходить за рамки традиционных техник и осуществлять активный поиск угроз в корпоративных сетях, используя подход, основанный на гипотезах и доказательствах. Как мы можем видеть, очевидно, что проактивность – это ключевой навык для хорошего охотника за угрозами. Но он не единственный. Ниже мы пройдемся по характеристикам, которыми должен обладать каждый профессионал по threat hunting:

  • Технические знания: перед началом любого процесса Threat Hunting, крайне важно иметь профессионалов, владеющих глубокими знаниями и опытом в сфере информационной безопасности. Они должны знать традиционные инструменты защиты конечных устройств (EPP), а также и новый подход: Endpoint Detection and Response (EDR), который предполагает использование в реальном времени инструментов мониторинга, которые крайне необходимы для качественного Threat Hunting.
  • Корпоративное и геополитическое видение: кибер-злоумышленники становятся все более профессиональными, и теперь они уже входят в состав определенных компаний или даже государственных структур. Следовательно, охотники за угрозами должны знать корпоративный и геополитический контекст, который может мотивировать подобные кибер-атаки. Технические знания имеют фундаментальное значение, но для того чтобы опережать кибер-атаки, необходимо теперь иметь еще и идеи, которые позволяют иметь более полное представление обо всех процессах, тенденциях, моделях развития атак и т.д.
  • Креативность: первый шаг в процессе Threat Hunting – это создание гипотез для поиска потенциальных угроз. Следовательно, охотник за угрозами должен придумать возможные сценарии с учетом многочисленных элементов и векторов атак, которые могут быть не столь очевидны для традиционных решений информационной безопасности.
  • Владение эмпирическим методом: после создания гипотез, следующим шагом в процессе Threat Hunting является их проверка, поиск доказательств и обнаружение закономерностей. Эти стадии похожи на те, которым следует ученый-исследователь. Таким образом, охотники за угрозами должны иметь полное понимание методов работы, основанных на анализе и доказывании. Охотники за угрозами не так уж сильно отличаются от ученых, которые делают великие открытия.

Сервис Threat Hunting от компании Panda Security

В компании Panda Security существует прекрасная команда профессионалов по Threat Hunting, стоящих за управляемым сервисом, который предлагается нашим клиентам для эффективного и оперативного реагирования на действия хакеров и инсайдеров. Наши решения, основанные на машинном обучении и искусственном интеллекте, способны автоматически классифицировать 99,98% угроз. А для борьбы с оставшимися 0,02% компаниям и организациям доступны наши охотники за угрозами. Наша команда Threat Hunting выполняет расследования для выявления основных причин угроз и разработки плана действий по борьбе с ними. Эти расследования основаны на моделях атак, которые автоматически обнаруживаются решением Panda Adaptive Defense, которое анализирует аномальные поведения пользователей и компьютеров. Таким образом, наши эксперты могут в реальном времени идентифицировать индикаторы атак (IoA) вредоносных программ (известных и неизвестных), а также атак, в рамках которых не используются вредоносные программы (так называемые malwareless attack).

Вы хотите узнать подробнее о наших охотниках за угрозами? 23 мая 2019 года в театре «Колизей» в Мадриде (Испания) мы будем проводить крупнейшее в Европе событие по информационной безопасности - PASS2019. На этом мероприятии мы обсудим новые тенденции развития атак, самые передовые решения в сфере информационной безопасности, а также обратим отдельное внимание на Threat Hunting. Узнайте, как можно выслеживать угрозы!

Зарегистрироваться на #PASS2019