Этот специалист по информационной безопасности также носит имя (не очень крутое) аналитика угроз кибербезопасности. Обычно работая от поставщика услуг управляемой безопасности (MSSP) или собственного центра операций безопасности (SOC), они используют как ручные, так и программные методы для обнаружения возможных текущих угроз / инцидентов, которые уже ускользнули от систем безопасности.

Это ни в коем случае не простая задача, и она потребует высококвалифицированного специалиста - не только с точки зрения кибербезопасности, но также и в знаниях бизнеса и деятельности предприятия. Например, обнаружение отклонения в поведении сети может быть таким же простым, как обнаружение увеличенного объема трафика в страну, с которой компания не имеет никакого отношения к бизнесу. К сожалению, не каждая атака использует этот тупой подход.

Расширенные угрозы могут быть довольно тонкими; на самом деле они обычно есть! Например, многие методы эксфильтрации данных используют шифрование или скрытый канал, такой как туннелирование DNS. В этом случае данные кодируются в DNS-запросах и ответах, и на первый взгляд они будут выглядеть почти так же, как и при обычном соединении. Тем не менее, хороший охотник быстро заметит аномалии, такие как размер запроса и ответа или объем трафика DNS на IP-адрес или домен.

Какие инструменты нужны охотнику за угрозами?

Как упоминалось ранее, охота на киберугрозу - задача не из легких, и даже опытный охотник, скорее всего, потерпит неудачу без соответствующих инструментов. Некоторые важные предметы включают в себя:

• Данные : охотнику понадобится доступ к журналам любого значимого устройства в вашей сети: сюда входят серверы, сетевые устройства (например, брандмауэры, коммутаторы, маршрутизаторы), базы данных и конечные точки. Если это звучит как много данных, это потому, что это так! Очень важным моментом является наличие централизованного местоположения для сбора этих данных для анализа, включая критические этапы, такие как сбор данных, корреляция и нормализация из нескольких различных точек данных, которые мы только что упомянули. В этом случае хорошее решение SIEM - лучший друг охотника.
• Исходные данные : Если охотник должен обнаруживать отклонения от нормы, наличие базового уровня поведения трафика в сети может иметь огромное значение. В более широком смысле, базовая линия будет определять, какие события ожидаются и разрешаются, что упрощает выявление аномалий, которые необходимо исследовать.
• Аналитика угроз : киберпреступники часто сотрудничают друг с другом, обмениваясь информацией, кодами и вредоносными артефактами. По мере того как происходит все больше и больше атак с подобными методами, это увеличивает вероятность того, что группа или компания заметят это раньше. Информация об угрозах (также называемая разведывательной информацией о киберугрозах) - это процесс получения из множества источников действенных знаний об угрозах окружающей среде.

Охотник с информацией о новой атаке может быть в состоянии быстро обнаружить IOC (индикаторы компромисса) или IOA (индикаторы атак) в сети и воздействовать на эту информацию.