Î:
Care sunt avantajele cheie ale vânătorii de amenințări?
A:Să începem prin a înțelege care este vânătoarea amenințărilor: este un proces de a căuta - linie după linie și eveniment după eveniment - pentru indicatorii amenințărilor foarte specifice. Nu este vorba de a căuta ce poate fi o anomalie. Este actul de a detecta indicatori ai lucrurilor despre care știm că se întâmplă. Este ca și cum ai verifica căpușele după ce ai mers prin pădure. Dacă aveți motive întemeiate să credeți că există căpușe în pădure, verificați dacă au existat vreo plimbare. Beneficiul vânătorii pentru ei este că îi poți găsi și scăpa de ei înainte să te muște și să te îmbolnăvească.
Acestea fiind spuse, ca precursor al vânătorii de amenințări, trebuie să aveți o idee despre ceea ce căutați. Asta necesită trei lucruri: analitică, conștientizare situațională și inteligență. Informațiile brute pot proveni din mai multe surse diferite, iar experții unei echipe de vânătoare a amenințărilor pot analiza aceste informații și pot obține semnificații din acestea. Care este chatul de pe web-ul întunecat? Vorbește cineva despre vizarea unei anumite companii sau tehnologii? Există discuții despre metodologii noi de tradecraft sau exploatare?
Analiștii amenințării din echipa de vânătoare a amenințărilor pot aduna cantități mari de informații brute și de aceea conștientizarea situațională ajută la identificarea problemelor relevante pentru diferite organizații și utilizatori. Informațiile care identifică un mod de atac împotriva unui studio de film, de exemplu, pot fi de o preocupare mai puțin imediată pentru un producător de automobile. Tehnicile utilizate într-un atac la un studio ar putea fi viabile ca și tehnici pentru atacarea unui producător de automobile, dar dacă informațiile sugerează că focalizarea atacului este locală pentru studiourile de film, atunci echipele IT ale producătorilor de automobile ar trebui să rămână concentrate pe amenințări care vizează ei. Se revine la acea plimbare în pădure: dacă căpușele sunt o problemă în pădurea în care faci drumeție, dar scorpionii nu sunt, atunci trebuie să te preocupe căpușele, nu scorpionii.
Odată ce analiștii amenințării identifică amenințările de îngrijorare, vânătorii de amenințări își pot începe vânătoarea. Este posibil să caute dovezi de vulnerabilități specifice - un router configurat necorespunzător, de exemplu - sau pot căuta fragmente de cod specifice sau scripturi încorporate în rețeaua lor. Și dacă găsesc elementele pentru care vânează, pot întreprinde acțiunile adecvate și pot proteja întreprinderea de atac.
