Q:
Was sind die Hauptvorteile der Bedrohungssuche?
EIN:Beginnen wir damit, zu verstehen, was Bedrohungsjagd ist: Es wird Zeile für Zeile und Ereignis für Ereignis nach Indikatoren für sehr spezifische Bedrohungen gesucht. Es geht nicht darum, nach einer Anomalie zu suchen. Es ist der Akt des Erkennens von Indikatoren für Dinge, von denen wir wissen, dass sie geschehen. Es ist, als ob Sie nach Zecken Ausschau halten, nachdem Sie durch den Wald gelaufen sind. Wenn Sie guten Grund zu der Annahme haben, dass es im Wald Zecken gibt, überprüfen Sie, ob eine Mitfahrgelegenheit zustande gekommen ist. Der Vorteil der Jagd auf sie ist, dass Sie sie finden und loswerden können, bevor sie Sie beißen und krank machen.
Das heißt, als Vorläufer der Bedrohungsjagd müssen Sie eine Vorstellung davon haben, wonach Sie suchen. Das erfordert drei Dinge: Analytik, Situationsbewusstsein und Intelligenz. Die Rohdaten können aus vielen verschiedenen Quellen stammen, und die Experten eines Bedrohungsjagdteams können diese Informationen analysieren und daraus eine Bedeutung ableiten. Was ist das Geschwätz im dunklen Netz? Spricht jemand über die Ausrichtung auf ein bestimmtes Unternehmen oder eine bestimmte Technologie? Gibt es Diskussionen über neue Tradecraft- oder Exploit-Methoden?
Die Bedrohungsanalysten des Bedrohungsjagdteams sammeln möglicherweise große Mengen an Rohdaten. In diesem Fall hilft das Situationsbewusstsein dabei, zu ermitteln, welche Probleme für verschiedene Organisationen und Benutzer von Belang sind. Informationen, die beispielsweise einen Angriffsmodus gegen ein Filmstudio identifizieren, können für einen Automobilhersteller weniger unmittelbar von Belang sein. Die Techniken, die bei einem Angriff auf ein Studio zum Einsatz kommen, sind möglicherweise als Angriffstechniken für einen Automobilhersteller geeignet. Wenn jedoch nach den Erkenntnissen der Fokus des Angriffs auf Filmstudios liegt, sollten sich die IT-Teams der Automobilhersteller weiterhin auf das konzentrieren Bedrohungen, die auf sie gerichtet sind. Es kehrt zu diesem Waldspaziergang zurück: Wenn Zecken ein Problem in den Wäldern darstellen, in denen Sie wandern, Skorpione jedoch nicht, müssen Sie sich um Zecken und nicht um Skorpione sorgen.
Sobald die Bedrohungsanalysten die bedenklichen Bedrohungen identifiziert haben, können die Bedrohungsjäger mit der Suche beginnen. Möglicherweise suchen sie nach Hinweisen auf bestimmte Sicherheitslücken - beispielsweise einen nicht ordnungsgemäß konfigurierten Router - oder nach bestimmten Codefragmenten oder Skripten, die in ihr Netzwerk eingebettet sind. Und wenn sie die Elemente finden, für die sie jagen, können sie die geeigneten Maßnahmen ergreifen und das Unternehmen vor Angriffen schützen.