תוֹכֶן
ש:
מהם היתרונות העיקריים של ציד איומים?
ת:
נתחיל להבין מהי ציד איומים: זהו תהליך של חיפוש - שורה אחר שורה ואירוע אחר אירוע - לאינדיקטורים לאיומים ספציפיים מאוד. זו לא שאלה של לחפש מה יכול להיות חריג. זה מעשה גילוי אינדיקטורים לדברים שאנחנו יודע להיות קורה. זה כמו לבדוק קרציות לאחר שטיילת ביער. אם יש לך סיבה טובה להאמין שיש קרציות ביער, תבדוק אם מישהו תפס טרמפ. היתרון בציד אחריהם הוא שאתה יכול למצוא ולהיפטר מהם לפני שהם נושכים אותך ומחלים אותך.
עם זאת, כמבשר לציד איומים, אתה צריך לקבל מושג מה אתה מחפש. זה דורש שלושה דברים: אנליטיקה, מודעות מצבית ואינטליגנציה. המידע הגולמי עשוי להגיע ממקורות רבים ושונים, והמומחים בצוות ציד איומים יכולים לנתח מידע זה ולהפיק ממנו משמעות. מה הפטפוט ברשת האפלה? האם מישהו מדבר על מיקוד לחברה או טכנולוגיה מסוימת? האם יש דיונים על מתודולוגיות מסחר חדשות או מנצלות?
אנליסטי האיומים בצוות ציד האיומים עשויים לאסוף כמויות גדולות של אינטליגנציה גולמית, וכאן המודעות המצבית עוזרת לזהות אילו סוגיות חשובות לארגונים ומשתמשים שונים. מידע שמזהה מצב התקפה נגד אולפן קולנוע, למשל, עשוי לדאוג פחות מיידי ליצרן רכב. הטכניקות המשמשות להתקפה על אולפן עשויות להיות קיימא כטכניקות לתקיפה של יצרן רכב, אך אם המודיעין מציע כי מוקד ההתקפה הוא מקומי לאולפני הקולנוע, אז צוותי ה- IT של יצרני הרכב צריכים להישאר מרוכזים איומים המכוונים אליהם. זה חוזר לטיול ההוא ביער: אם קרציות הן נושא ביער שבו אתה מטייל אך עקרבים אינם, אז אתה צריך לדאוג לקרציות ולא לעקרבים.
לאחר שמנתחי האיומים יזהו את איומי הדאגה, ציידי האיומים יכולים להתחיל בציד שלהם. יתכן שהם מחפשים עדויות לפגיעויות ספציפיות - נתב שהוגדר באופן לא תקין, למשל - או שהם עשויים לחפש שברי קוד ספציפיים או סקריפטים המוטמעים ברשת שלהם. ואם הם מוצאים את האלמנטים שעבורם הם צדים, הם יכולים לבצע את הפעולות המתאימות ולהגן על הארגון מפני התקפה.