Skuteczna ochrona przed cyberatakami nie może sprowadzać się jedynie do odpowiadania na alerty, gdyż systemy cybersec analizują głównie zagrożenia, którą są powszechnie znane. Tymczasem cyberprzestępcy bezustannie szukają sposobów, aby uzyskać dostęp do zasobów firmowych. Eksperci Cisco podkreślają, że chcąc zapewnić wysoki poziom cyberbezpieczeństwa należy aktywnie poszukiwać nowych zagrożeń i wyruszyć na cyfrowe łowy.
Warszawa, 10 października 2019 r. – Identyfikacja nowych form zagrożeń to tylko część skutecznej strategii bezpieczeństwa. Równie istotne jest nieustanne wyszukiwanie słabych punktów w ekosystemie cybersec. Oba te działania mieszczą się w ramach stosunkowo nowej dyscypliny jaką jest threat hunting, czyli w wolnym tłumaczeniu polowanie na podatności. Zdaniem specjalistów Cisco wdrożenie tej filozofii w ramach organizacji wymaga kilku kroków:
Krok 1 – Stworzenie zespołu – threat hunting to de facto kolejny projekt z zakresu cyberbezpieczeństwa, dlatego ważne jest, aby w ramach organizacji powstał zespół, który będzie za niego odpowiedzialny. Osoby te powinny posiadać odpowiednią wiedzę, a także konkretny zestaw cech i umiejętności, takich jak znajomość punktów końcowych i sieci w organizacji, umiejętność korzystania z systemów analitycznych, wrodzona ciekawość, a także zdolność do kreatywnego myślenia.
Krok 2 – Zapewnienie wglądu w zasoby IT – threat hunting wymaga odpowiednich narzędzi, takich jak systemy SIEM (ang. Security Information and Event Management). Zespół odpowiedzialny za polowanie na podatności musi mieć wgląd w ruch sieciowy oraz rejestr wszystkich zdarzeń, w tym informacje o adresach IP, URL, domenach i hashah. Jednymi z najskuteczniejszych rozwiązań, które stanowią oręż zespołów cybersec są: Cisco Threat Response, AMP (Advanced Malware Protection) czy Umbrella Investigate. Eksperci Cisco podkreślają również, że niezwykle ważne jest także śledzenie najnowszych informacji dotyczących cyberzagrożeń.
Krok 3 – Określenia, kiedy najlepiej wyszukiwać zagrożenia – polowanie na podatności warto przeprowadzić w sytuacji, gdy w organizacji mają miejsce nietypowe zdarzenia, które mogą sugerować, że doszło do ataku. Należy zadać sobie pytanie, czy ostatnio nie doszło do pobrania wyjątkowo dużej liczby danych, czy któryś z użytkowników nie próbował uzyskać dostępu do systemów, do których nie ma uprawnień, czy administrator nie usunął danych z rejestru zdarzeń, czy uśpiony system nie aktywował się nagle w środku nocy?
„Threat hunting bywa traktowany przez zespoły IT jako dodatkowy obowiązek. Specjaliści ds. cyberbezpieczeństwa dążą do automatyzacji procesów, tymczasem threat hunting wymaga od nich samodzielnych analiz. Niestety, obecnie samo reagowanie na alerty nie wystarczy. Aktywne wyszukiwanie zagrożeń niesie ze sobą wiele korzyści i pozwala pozostać o krok przed cyberprzestępcami. Threat hunting nie powinien być traktowany jako dodatkowy, poboczny projekt, a stały element strategii cybersec” – mówi Ben Nahorney, analityk zagrożeń, Cisco.
Zniechęcić cyberprzestępcę
Skuteczny system bezpieczeństwa ma na celu nie tylko identyfikację i przeciwdziałanie zagrożeniom, ale również zniechęcenie do przeprowadzania cyberataku. Ekspert ds. cyberbezpieczeństwa David Blanco stworzył tzw. Piramidę bólu (ang. Pyramid of Pain), która pozwala określić z jakich narzędzi korzystają cyberprzestępcy. Każdy kolejny element piramidy, znajdujący się bliżej jej szczytu jest trudniejszy do wcielenia w życie, wymaga od cyberprzestępców więcej wysiłku i wiąże się z wyższym ryzykiem, że zostanią oni złapani. U jej podstawy znajdują się stosunkowo łatwe do zlokalizowania hashe zainfekowanych plików. Następnie są adresy IP komputerów z których korzystają cyberprzestępcy, nazwy domen zawierających złośliwe oprogramowanie, zainfekowane elementy sieci i aplikacje służące jako narzędzie do przeprowadzenia cyberataku. Na szczycie piramidy Blanco umieścił taktykę, technikę i procedury, które składają się na schematy działania cyberprzestępców. Specjalistom ds. cyberbezpieczeństwa niezwykle ciężko jest je odkryć, gdyż wymaga to porównywania różnych zbiorów danych i odkrywania niewidocznych na pierwszy rzut oka zależności. Idelanie zaprojektowany system bezpieczeństwa zakłada, że osoba, która chce go złamać będzie musiała poświęcić na to tyle czasu, że ostatecznie się zniechęci i zaniecha.
Więcej informacji w raporcie Hunting for hidden threats oraz we wpisie na blogu Bena Nahoreney.