Cześć!
🔐 Wchodzić do branży cyberbezpieczeństwa? Chcesz się dowiedzieć... 
Dobrze trafiłeś! Zanim jednak przyjrzymy się definicji polowania na zagrożenia, wyjaśnijmy pewne nieporozumienia związane z tą koncepcją, wskazując, czym polowanie na zagrożenia nie jest. Po pierwsze, polowanie na zagrożenia nie jest tym samym, czym są informatyka wywiadowcza (CTI) lub reakcja na incydent (IR), chociaż może mieć z nimi silne powiązania. CTI może być dobrym punktem wyjścia do prowadzenia polowania. IR może być kolejnym krokiem, który organizacja wykonuje po udanym polowaniu. Polowanie na zagrożenia nie polega też na instalowaniu narzędzi wykrywających, choć może to być przydatne do poprawy ich zdolności do wykrywania incydentów i zagrożeń. Ponadto nie jest to poszukiwanie oznak świadczących o naruszeniu bezpieczeństwa w środowisku wewnątrz danej organizacji; zamiast tego będziesz poszukiwać zagadnień przeoczonych przez systemy detekcji, które zostały wypełnione takimi oznakami. Polowanie na zagrożenia nie jest też tożsame z monitoringiem ani losowym uruchamianiem zapytań w narzędziach monitorujących. Przede wszystkim jednak polowanie na zagrożenia nie jest zadaniem, które może być wykonywane tylko przez wybraną grupę ekspertów.
Oczywiście, wiedza specjalistyczna ma znaczenie, ale nie oznacza to, że tylko eksperci mogą to robić. Niektóre techniki polowania na zagrożenia wymagają lat, aby je opanować; niektóre są wspólne z reagowaniem na incydenty i triaże. Sama praktyka jest znana od lat, nim jeszcze nadano jej nazwę „polowania na zagrożenia”. Głównym warunkiem przeprowadzenia polowania jest wiedza, o co pytać i skąd czerpać odpowiedzi. Czym więc jest polowanie na zagrożenia?
W jednym z pierwszych opracowań firmy SANS na temat polowania na zagrożenia, napisanym przez Roberta M. Lee i Roba Lee w 2016 roku, The Who, What, Where, When, Why and How of Effective Threat Hunting (https://www.sans.org/reading-room/whitepapers/analyst/ membership/36785), autorzy zdefiniowali polowanie jako „skoncentrowane i iteracyjne podejście do wyszukiwania, identyfikowania i rozumienia przeciwników wewnątrz komputerowych sieci obrońcy”.
Rozwińmy nieco tę definicję 😉
Przede wszystkim musimy stwierdzić, że polowanie na zagrożenia jest działaniem sterowanym przez człowieka. Tak jak w przypadku informacji wywiadowczych o nadciągających zagrożeniach, mamy tutaj również do czynienia z proaktywnym podejściem do bezpieczeństwa, ponieważ chodzi o to, aby zrobić coś, zanim będzie za późno, czyli nie jest to działanie reaktywne. Polowanie na zagrożenia polega również na ciągłym poszukiwaniu oznak świadczących o naruszeniu bezpieczeństwa w środowisku wewnątrz danej organizacji. Jest to działanie iteracyjne, ponieważ zasila samo siebie, ale i inne działania związane z bezpieczeństwem. Ponadto polowanie na zagrożenia opiera się na założeniu, że doszło do włamania do systemu ➡️💻⬅️
W procesie polowania zakładamy, że przeciwnik jest już w naszym środowisku, a zadaniem łowcy jest jak najszybsze zidentyfikowanie takiego włamania w celu zminimalizowania szkód przez nie wywołanych. Proces ten wymaga od człowieka zdolności analitycznych, ponieważ to do niego należy znalezienie śladów wejścia intruza do systemu, który ominął automatyczny proces wykrywania i który może już funkcjonować w systemie. Podsumowując, celem łowcy zagrożeń jest skrócenie tak zwanego czasu przebywania. Jak skracać ten tak zwany czas przebywania? Jakich umiejętności potrzebuje łowca zagrożeń? Jakie są rodzaje polowań na zagrożenia oraz ich proces?
Odpowiedzi szukaj w najnowszej książce "Aktywne wykrywanie zagrożeń w systemach IT w praktyce. Wykorzystywanie analizy danych, frameworku ATT&CK oraz narzędzi open source"! 🦅🆕 
Więcej na temat CYBERBEZPIECZEŃSTWA 🔐⬇️
|
