Стандартные системы информационной безопасности защищают компании от большей части известных угроз. Однако остается небольшой, но крайне опасный процент новых, не исследованных на данный момент угроз, при столкновении с которыми компания может понести существенные убытки. Для поиска таких угроз и быстрого реагирования на них служат технологии Threat Hunting.
Борьба с киберугрозами похожа на игру в догонялки: злоумышленники изобретают все более хитроумные способы проникнуть в корпоративные системы, а сотрудники служб информационной безопасности пытаются им помешать. Стандартные антивирусы, межсетевые экраны, системы защиты от утечек способны бороться с известными, уже детектированными и занесенными в соответствующие базы угрозами. Однако наиболее продвинутые атаки предотвратить зачастую не выходит: они осуществляются с помощью внезапно возникших, как чертик из табакерки, техник и тактик. Именно на поиск подобных угроз и скорейшую их ликвидацию направлены технологии Threat Hunting.
Можно описать Threat Hunting как проактивный поиск угроз информационной безопасности, которые еще не успели нанести вред компании, но потенциально могут. Специалисты называют Threat Hunting технологиями информационной разведки: за счет сбора и продвинутого анализа данных они помогают находить новые угрозы, обнаруживать уязвимости в собственных системах, ликвидировать их с максимально возможной скоростью.
«В современном мире недостаточно просто блокировать те угрозы, с которыми вы уже столкнулись, — нужно искать и новые, пока неизвестные схемы атак», — говорит менеджер по развитию направления Threat Intelligence «Лаборатории Касперского» Александр Мазикин.
Но каким образом компания может защищаться от того, с чем еще не столкнулась (или еще не знает, что столкнулась)? В «Лаборатории Касперского» предлагают делать это с помощью анализа актуальных действий злоумышленников и атак, совершаемых на другие компании.
«В рамках подписки на сервисы Threat Intelligence поставляются отчеты с описаниями действий злоумышленников: техники, тактики и процедуры, которые они уже использовали в прошлом и которые они будут, скорее всего, переиспользовать. С помощью этих данных можно выявить какие-либо аномалии в рамках сети, сравнить информацию с тем, что вы получили извне, и с вашими историческими данными, а потом попытаться выяснить, происходит ли у вас в организации то же самое, что уже происходило в других организациях на рынке», — пояснил Александр Мазикин.
Благодаря этим действиям специалистам по информационной безопасности удается предотвратить атаку или сократить время «присутствия» злоумышленников в инфраструктуре заказчика с нескольких месяцев до нескольких недель или даже дней. А время играет очень важную роль: такое ускорение позволяет существенно минимизировать ущерб от проникновения в систему.
В следующем материале читайте о том, как с помощью информационной разведки удалось остановить многоступенчатую атаку, которая могла бы обойтись компании в миллионы долларов.