Threat Hunting: Pięć kroków do udanego polowania
Faktem jest, że w najnowszym State of Ransomware 2022 raporcie, 59 procent badanych firm zauważyło wzrost odnotowało wzrost złożoności cyberataków. Ponad połowa jest świadoma, że cyberprzestępcy są bardziej przebiegli niż kiedykolwiek i są bardziej przebiegli niż kiedykolwiek i coraz częściej wykorzystują ukryte, wymyślone przez człowieka techniki w swoich atakach. W związku z tym zespoły ds. bezpieczeństwa bezpieczeństwa coraz częściej zwracają się w stronę proaktywnego cyberpolowania, aby powstrzymać te zaawansowanych zagrożeń.
Specjalnie dla tego tematu, Sophos opracował przewodnik "Getting Started With Threat Hunting guide". W nim eksperci ds. bezpieczeństwa w praktyczny sposób opisują, czym dokładnie jest threat hunting i dlaczego jest on dziś niezbędny. dokładnie czym jest threat hunting i dlaczego jest częścią holistycznej strategii bezpieczeństwa strategii bezpieczeństwa. Wyjaśnia również, jakie narzędzia i ramy zespoły bezpieczeństwa mogą wykorzystać, aby wyprzedzić najnowsze zagrożenia i najnowszych zagrożeń i szybko reagować na potencjalne ataki. potencjalne ataki.
Pięć podstawowych kroków przygotowujących do threat huntingu
Kluczowe dla threat huntingu są odpowiednie
podstawy. Dzięki zaledwie pięciu krokom zespoły IT i bezpieczeństwa mogą
mogą przygotować się do udanego polowania:
- Określenie poziomu dojrzałości obecnych operacji cyberbezpieczeństwa.
Zmapowanie wszystkich procesów do modelu cyberbezpieczeństwa, który wskazuje poziom rozwoju i progresywności (na przykład przy użyciu CMMC), jest dobrym sposobem na określenie potencjalnej wydajności dla skutecznego polowania na zagrożenia. Dodatkowo bada się również istniejącą infrastrukturę bezpieczeństwa i jej podatność na zagrożenia. podatność na zagrożenia.
- Taktyka polowania na zagrożenia
Po oszacowaniu poziomu dojrzałości, polowanie na zagrożenia może być można przeprowadzić - wewnętrznie, zlecając to wyspecjalizowanemu dostawcy usług IT lub w formie mieszanki obu wariantów.
- Identyfikacja luk technologicznych
Poprzez zbadanie i ocenę istniejących narzędzi można określić, jakie dodatkowe narzędzia są potrzebne do skanowania zagrożeń. Dwa kluczowe pytania powinny brzmieć następująco: Jak skuteczna jest technologia zapobiegania? Czy ma ona wspierające zagrożenia funkcje polowania na zagrożenia?
- Zidentyfikuj luki w umiejętnościach
Polowanie na zagrożenia wymaga specjalistycznych umiejętności. Jeśli Jeśli zespół IT lub zespół bezpieczeństwa nie ma odpowiedniego doświadczenia, powinien zostać przeszkolony w zakresie threat huntingu. należy wykształcić i przeszkolić w zakresie łowiectwa zagrożeń. Ewentualnie zewnętrzny specjalista może wypełnić luki w wiedzy.
- Plan awaryjny
Reakcja na zagrożenie cybernetyczne może być tylko tak dobra, jak jej plan oraz zdefiniowane w nim łańcuchy procesów i odpowiedzialności. obowiązki. Jest to niezbędne dla zapewnienia odpowiednich i kontrolowanych działań oraz zminimalizowania skutków ataku. wpływ ataku do minimum.
Szczegółowe informacje dotyczące skutecznego polowania na zagrożenia zostały opisane w białej księdze Sophos Getting Started With Threat Hunting.
Oryginalny wpis na blogu autorstwa Jörga Schindlera - Senior PR Manager w Sophos