P:
Koje su ključne prednosti lova na prijetnje?
A:Započnimo s razumijevanjem što je lov na prijetnje: To je proces traženja - red po red i događaj po događaj - za pokazatelje vrlo specifičnih prijetnji. Nije pitanje traženja onoga što bi moglo biti anomalija. To je čin otkrivanja pokazatelja stvari za koje znamo da se događaju. To je poput provjere krpelja nakon što ste prošetali šumom. Ako imate dobar razlog za vjerovanje da u šumi ima krpelja, provjerite jesu li se neki vozikali. Prednost lova na njih je u tome što ih možete pronaći i riješiti se prije nego vas ugrizu i razbole.
To je rečeno da, kao prethodnica prijetnji prijetnjama, morate imati ideju što tražite. Za to su potrebne tri stvari: analitika, situacijska svijest i inteligencija. Sirovi podaci mogu potjecati iz različitih izvora, a stručnjaci tima za lov na prijetnje mogu analizirati te informacije i iz njih izvući značenje. Što je ćaskanje na tamnom webu? Govori li netko o ciljanju na određenu tvrtku ili tehnologiju? Postoje li rasprave o novim trgovačkim letjelicama ili eksploatacijskim metodologijama?
Analitičari prijetnji u timu za lov na prijetnje mogu prikupiti velike količine sirove informacije i tu situacijska svijest pomaže identificirati koja su pitanja najvažnija za različite organizacije i korisnike. Na primjer, informacije koje identificiraju način napada na filmski studio mogu se manje brinuti za proizvođača automobila. Tehnike korištene u napadu na studio mogu biti izvedive kao tehnike napada na automobilskog proizvođača, ali ako inteligencija sugerira da je žarište napada lokalno na filmskim studijima, tada bi IT timovi automobilskih proizvođača trebali ostati usredotočeni na prijetnje koje su usmjerene prema njima. Vraća se na šetnju šumom: Ako krpelj predstavlja problem u šumi u kojoj planinarite, a škorpioni nisu, onda morate biti zabrinuti zbog krpelja, a ne od škorpiona.
Jednom kada analitičari prijetnji utvrde prijetnje koje zabrinjavaju, lovci na prijetnje mogu započeti svoj lov. Oni možda traže dokaze o specifičnim ranjivostima - na primjer, nepravilno konfigurirani usmjerivač - ili mogu tražiti određene fragmente koda ili skripte ugrađene u njihovu mrežu. A ako pronađu elemente na koje love, mogu poduzeti odgovarajuće radnje i zaštititi poduzeće od napada.
