Threat Hunter: Чем занимаются новые специалисты по информационной безопасности?
В последние несколько лет одной из характеристик, которую чаще всего ищут профессионалы в поисках новых талантов для своих компаний, стала проактивность. Адам Грант, профессор Wharton School и один из самых влиятельных авторов в организационной психологии, определяет проактивность как «упреждающее действие, которое предпринимают сотрудники по отношению к себе или своему окружению».
Эта черта характера становится все более важной для корпоративной информационной безопасности. Недавний опрос ESG, проведенный среди специалистов по ИБ, показал, что 53% компаний и организаций сообщили о проблеме нехватки знаний и навыков по информационной безопасности у своих сотрудников. Причем в качестве одной из наиболее сложных проблем отмечена проблема поиска кандидатов, обладающих проактивным отношением к поиску и прогнозированию угроз, выходя за рамки традиционных подходов по реагированию на кибер-атаки. Как мы уже отмечали ранее, проактивность – это ключ к Threat Hunting (охоте за угрозами).
Почему все больше и больше компаний выбирают Threat Hunting ?
Традиционные средства информационной безопасности, такие как файерволы, системы обнаружения вторжений (IDS), песочницы или SIEM-решения, как правило, фокусируются на расследованиях по факту произошедшего инцидента. Конечно, эти средства по-прежнему актуальны, т.к. организациям все еще требуется реагировать на распространенные кибер-атаки.
Но необходимо учесть, что кибер-атаки становятся все более скрытыми и сложными, и случаются они все чаще и чаще. В наших прогнозах по информационной безопасности на этот год мы отмечали, что 62% компаний заявили, что они подвергались кибер-атакам, которые не использовали какие-либо вредоносные программы. Другие примеры, такие как атаки с использованием чат-ботов, вредоносные маркетинговые техники, а также другие атаки, основанные на искусственном интеллекте, доказывают, насколько сложными могут быть новые кибер-атаки. Компании хорошо знают об этом, а потому предпринимают соответствующие меры: сейчас порядка 43% компаний регулярно проводят охоту за угрозами (threat hunting) в рамках своей стратегии по предотвращению кибер-рисков, а 65% прогнозируют увеличение инвестиций в подобные инструменты в ближайшие годы (опрос SANS Threat Hunting Survey)
Каким должен быть специалист по Threat Hunting ?
Эти новые угрозы также вызвали серьезную эволюцию в профиле кибер-злоумышленников: хотя мы все еще можем встретить среди них многих любителей, тем не менее, теперь большинство из них представляют собой прекрасных профессионалов со специализированной подготовкой и огромными ресурсами, которые они получают от определенных компаний или даже ряда государств. Кибер-преступность теперь чрезвычайно прибыльный и перспективный бизнес. Поэтому жизненно важно, чтобы специалисты по информационной безопасности были на одном уровне (а лучше – выше) с кибер-преступниками. Это означает, что необходимо выходить за рамки традиционных техник и осуществлять активный поиск угроз в корпоративных сетях, используя подход, основанный на гипотезах и доказательствах. Как мы можем видеть, очевидно, что проактивность – это ключевой навык для хорошего охотника за угрозами. Но он не единственный. Ниже мы пройдемся по характеристикам, которыми должен обладать каждый профессионал по threat hunting:
Технические знания: перед началом любого процесса Threat Hunting, крайне важно иметь профессионалов, владеющих глубокими знаниями и опытом в сфере информационной безопасности. Они должны знать традиционные инструменты защиты конечных устройств (EPP), а также и новый подход: Endpoint Detection and Response (EDR), который предполагает использование в реальном времени инструментов мониторинга, которые крайне необходимы для качественного Threat Hunting.
Корпоративное и геополитическое видение: кибер-злоумышленники становятся все более профессиональными, и теперь они уже входят в состав определенных компаний или даже государственных структур. Следовательно, охотники за угрозами должны знать корпоративный и геополитический контекст, который может мотивировать подобные кибер-атаки. Технические знания имеют фундаментальное значение, но для того чтобы опережать кибер-атаки, необходимо теперь иметь еще и идеи, которые позволяют иметь более полное представление обо всех процессах, тенденциях, моделях развития атак и т.д.
Креативность: первый шаг в процессе Threat Hunting – это создание гипотез для поиска потенциальных угроз. Следовательно, охотник за угрозами должен придумать возможные сценарии с учетом многочисленных элементов и векторов атак, которые могут быть не столь очевидны для традиционных решений информационной безопасности.
Владение эмпирическим методом: после создания гипотез, следующим шагом в процессе Threat Hunting является их проверка, поиск доказательств и обнаружение закономерностей. Эти стадии похожи на те, которым следует ученый-исследователь. Таким образом, охотники за угрозами должны иметь полное понимание методов работы, основанных на анализе и доказывании. Охотники за угрозами не так уж сильно отличаются от ученых, которые делают великие открытия.
Сервис Threat Hunting от компании Panda Security
В компании Panda Security существует прекрасная команда профессионалов по Threat Hunting, стоящих за управляемым сервисом, который предлагается нашим клиентам для эффективного и оперативного реагирования на действия хакеров и инсайдеров. Наши решения, основанные на машинном обучении и искусственном интеллекте, способны автоматически классифицировать 99,98% угроз. А для борьбы с оставшимися 0,02% компаниям и организациям доступны наши охотники за угрозами. Наша команда Threat Hunting выполняет расследования для выявления основных причин угроз и разработки плана действий по борьбе с ними. Эти расследования основаны на моделях атак, которые автоматически обнаруживаются решением Panda Adaptive Defense, которое анализирует аномальные поведения пользователей и компьютеров. Таким образом, наши эксперты могут в реальном времени идентифицировать индикаторы атак (IoA) вредоносных программ (известных и неизвестных), а также атак, в рамках которых не используются вредоносные программы (так называемые malwareless attack).
Вы хотите узнать подробнее о наших охотниках за угрозами? 23 мая 2019 года в театре «Колизей» в Мадриде (Испания) мы будем проводить крупнейшее в Европе событие по информационной безопасности - PASS2019. На этом мероприятии мы обсудим новые тенденции развития атак, самые передовые решения в сфере информационной безопасности, а также обратим отдельное внимание на Threat Hunting. Узнайте, как можно выслеживать угрозы!
Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!