Исследование процесса threat hunting для быстрого реагирования на инциденты кибербезопасности | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 28 декабря, печатный экземпляр отправим 1 января.

Опубликовать статью в журнале

Автор:

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №9 (508) март 2024 г.

Дата публикации: 05.03.2024

Статья просмотрена: 22 раза

Библиографическое описание:

Абдиханиев, И. А. Исследование процесса threat hunting для быстрого реагирования на инциденты кибербезопасности / И. А. Абдиханиев. — Текст : непосредственный // Молодой ученый. — 2024. — № 9 (508). — С. 1-4. — URL: https://moluch.ru/archive/508/111627/ (дата обращения: 16.12.2024).



Инциденты в области кибербезопасности продолжают представлять значительную угрозу для организаций любого размера, и крайне важно внедрить эффективный процесс поиска угроз для оперативного обнаружения таких инцидентов и реагирования на них. Поиск угроз — это упреждающий подход, который включает в себя поиск индикаторов компрометации (IOC) и потенциальных угроз в сети и системах организации.

В этой статье рассматривается процесс поиска угроз и его роль в быстром реагировании на инциденты кибербезопасности. В исследовании подчеркивается важность упреждающего подхода к поиску угроз, включая использование передовых технологий анализа угроз и машинного обучения. В нем также рассматриваются ключевые этапы процесса поиска угроз, такие как планирование, сбор и анализ данных и реагирование на угрозы.

Кроме того, в документе оцениваются различные методы и методологии поиска угроз, включая анализ на основе сигнатур и поведения, а также преимущества и ограничения каждого подхода. В исследовании также рассматриваются проблемы, с которыми сталкиваются в процессе поиска угроз, такие как сложность современных ИТ-сред, нехватка квалифицированных специалистов по кибербезопасности и высокая стоимость передовых средств безопасности.

Вступление

В современную цифровую эпоху инциденты в области кибербезопасности представляют значительную угрозу для организаций всех размеров и отраслей. Злоумышленники постоянно ищут новые способы проникновения в систему безопасности и получения несанкционированного доступа к конфиденциальным данным. В ответ организации должны проявлять инициативу в обнаружении и устранении этих угроз, чтобы защитить свои сети, системы и данные. Поиск угроз — это новый процесс, который позволяет организациям осуществлять упреждающий поиск киберугроз, которые обходят существующие меры безопасности. Выявляя угрозы и устраняя их до того, как они смогут нанести ущерб, поиск угроз может помочь предотвратить кибератаки и защитить конфиденциальные данные. В этом документе будет рассмотрен процесс поиска угроз для быстрого реагирования на инциденты кибербезопасности, включая инструменты и методы, используемые для выявления и устранения угроз, а также преимущества и проблемы, связанные с таким подходом.

Сущность и цель поиска угроз

Поиск угроз — это превентивное, повторяющееся и ориентированное на человека выявление киберугроз, которые являются внутренними для ИТ-сети и обходят существующие меры безопасности.

Основная цель TH — сократить время, необходимое для поиска следов злоумышленников, которые уже скомпрометировали ИТ-среду. Выявив эти следы как можно скорее, можно свести к минимуму влияние нарушений на организацию. Пробелы в выявлении нарушений — важное понятие в контексте достижения этой цели.

Таким образом, всегда будет существовать разрыв между тем, что может обнаружить организация, и способностью квалифицированного злоумышленника избежать обнаружения. Возможности злоумышленника будут разными для каждого злоумышленника, и возможности обнаружения будут разными для каждой организации. Хотя у злоумышленников обычно есть возможность избежать обнаружения, в какой-то момент они могут запустить механизмы обнаружения, либо потому, что эти механизмы обнаружения эволюционировали, либо из-за человеческого фактора.

Хорошая программа TH направлена на отслеживание поведения злоумышленников и постоянное сокращение пробелов в выявлении нарушений. В частности, поиск угроз фокусируется на действиях, которые могут остаться незамеченными. TH фокусируется на событиях, которые выходят за рамки традиционных возможностей обнаружения, и может обнаруживать пропущенные или неверно истолкованные события, которые могут быть использованы для улучшения обнаружения и дальнейшего обучения аналитиков информационной безопасности.

Основная часть

Процесс поиска угроз включает в себя сбор и анализ данных из различных источников для выявления потенциальных угроз и уязвимостей. Затем эта информация используется для разработки плана реагирования на любые инциденты безопасности, которые могут возникнуть.

Процесс поиска угроз обычно включает в себя следующие этапы:

  1. Определите масштаб охоты: Первым шагом в процессе поиска угроз является определение масштаба охоты. Это включает в себя идентификацию систем, приложений и данных, которые наиболее важны для операций организации, и определение типов угроз, которые с наибольшей вероятностью повлияют на эти активы.
  2. Сбор данных: После определения области следующим шагом является сбор данных из различных источников, таких как сетевые журналы, системные журналы и журналы активности пользователей. Затем эти данные анализируются для выявления любых аномалий или закономерностей, которые могут указывать на потенциальную угрозу.
  3. Анализ данных: Данные, собранные на предыдущем шаге, анализируются с использованием различных инструментов и методов, таких как алгоритмы машинного обучения, для выявления потенциальных угроз. Это может включать в себя сопоставление данных из нескольких источников для выявления закономерностей, которые могут быть невидимы из одного источника данных.
  4. Определение потенциальных угроз: После анализа данных потенциальные угрозы идентифицируются и расставляются по приоритетам в зависимости от их серьезности и потенциального влияния на деятельность организации.
  5. Реагирование на угрозы: После выявления потенциальных угроз разрабатывается план реагирования на них. Это может потребовать принятия немедленных мер по смягчению угрозы, таких как блокирование доступа к сети или изоляция зараженных систем. Это может также включать разработку долгосрочной стратегии устранения первопричины угрозы и предотвращения будущих инцидентов.
  6. Извлекайте уроки из процесса: Наконец, оценивается процесс поиска угроз для определения областей, требующих улучшения. Это может включать в себя обзор источников данных и используемых инструментов, выявление новых источников данных, которые могут оказаться полезными, и доработку плана реагирования для устранения любых выявленных недостатков.

В целом, процесс поиска угроз является важнейшим компонентом любой эффективной стратегии кибербезопасности. Активно выявляя угрозы и устраняя их, организации могут свести к минимуму последствия инцидентов безопасности и снизить риск утечки данных и других кибератак.

Чтобы более подробно рассказать о процессе поиска угроз для быстрого реагирования на инциденты в области кибербезопасности, важно понять некоторые ключевые концепции и используемые методы:

  1. Анализ угроз: Анализ угроз является важнейшим компонентом процесса поиска угроз. Это включает в себя сбор и анализ данных из различных источников, включая аналитику с открытым исходным кодом, мониторинг dark web и собственные каналы анализа угроз. Эта информация используется для выявления возникающих угроз и уязвимостей, которые могут быть нацелены на организацию.
  2. Машинное обучение и искусственный интеллект: Алгоритмы машинного обучения и искусственный интеллект (ИИ) используются для анализа больших объемов данных и выявления закономерностей, которые могут указывать на потенциальные угрозы. Эти технологии могут быть использованы для автоматизации многих аспектов процесса поиска угроз, таких как анализ данных и обнаружение аномалий.
  3. Обнаружение и реагирование на конечные точки (EDR): Инструменты обнаружения и реагирования на конечные точки (EDR) предназначены для мониторинга конечных точек, таких как ноутбуки, настольные компьютеры и серверы, на наличие признаков потенциальных угроз. Эти инструменты собирают и анализируют данные о системной активности, такие как изменения файлов, сетевые подключения и выполнение процессов, для выявления подозрительного поведения.
  4. Анализ сетевого трафика (NTA): Инструменты анализа сетевого трафика (NTA) используются для мониторинга сетевого трафика на наличие признаков потенциальных угроз. Эти инструменты собирают и анализируют данные о сетевой активности, такие как перехват пакетов и данные о потоке, для выявления подозрительного поведения.
  5. Непрерывный мониторинг: Поиск угроз — это непрерывный процесс, который требует постоянного мониторинга систем и данных организации. Это может включать настройку оповещений для уведомления служб безопасности о потенциальных угрозах или использование автоматизированных инструментов для мониторинга систем на предмет подозрительной активности.

Порядок проведения охоты на угрозу

Согласно подходу ведущей американской компании в области кибербезопасности и аналитики больших данных — Sqrrl, в целом весь процесс TH можно свести к четырем основным этапам, которые повторяются циклически.

Этот подход называется «Цикл поиска» и предназначен для того, чтобы избежать потенциально неэффективных бизнес-процессов и создать формализованный процесс. Согласно подходу Sqrrl, целью TH должно быть преодоление цикла как можно быстрее и эффективнее. Чем эффективнее выполняются итерации, тем лучше у вас получается автоматизировать новые процессы и переходить к поиску новых угроз.

Этап 1 — Создание гипотезы

Процесс TH начинается с постановки вопросов о том, как злоумышленник может получить доступ к сети организации.

Затем эти вопросы необходимо разделить на конкретные и поддающиеся измерению гипотезы, которые определяют, какие угрозы могут присутствовать в сети и как их можно идентифицировать.

Гипотезы не могут быть сгенерированы с помощью инструментов, вместо этого они должны быть получены из наблюдений специалиста, основанных на анализе киберугроз, ситуационной осведомленности или знании предметной области.

Больше методов, а большее количество источников данных расширяет возможности для этого. Гипотезы, как правило, сосредоточены на выявлении конкретного источника угрозы, инструмента или техники.

Этап 2 — Исследование с использованием инструментов и методов

Как только наблюдения привели к разработке гипотез, они должны быть проверены с использованием всех соответствующих инструментов и методов, доступных специалистам. Видимость данных должна быть максимальной за счет расширения охвата сбора данных в централизованном хранилище, а типы собираемых данных должны включать репрезентативные журналы основных сетевых ресурсов организации, инфраструктуры и средств безопасности.

Этап 3 — Определение тактики, методов и процедур

Прохождение второго этапа с помощью инструментов позволяет выявить новые вредные паттерны поведения и TTP. Этот этап является одним из самых важных во всем цикле.

Пробел в выявлении нарушений возникает из-за способности злоумышленников обходить механизмы обнаружения. Поскольку возможности обнаружения продолжают развиваться и расширяться, киберпреступники будут находить новые способы обойти эти меры. Таким образом, со временем типы злоумышленников будут эволюционировать, чтобы гарантировать, что они смогут избежать обнаружения и действовать незамеченными в ИТ-среде.

Этап 4 — Расширение аналитики

Четвертый этап цикла формирует основу для информирования и обогащения автоматизированной аналитики. Ни при каких обстоятельствах нельзя пропускать угрозы, важно автоматизировать их с помощью аналитики, чтобы команда TH могла продолжать фокусироваться на следующих процедурах.

Это может быть сделано различными способами, включая разработку поиска по умолчанию для регулярного выполнения, создание новой аналитики с использованием таких инструментов, как Sqrrl, Apache Spark, R или Python, или даже предоставление обратной связи управляемому алгоритму машинного обучения, который подтверждает, что выявленный паттерн поведения является ненормальным и вредным. Расширение аналитики может принять более простую форму — предоставить новый индикатор компромисса для сравнения или написать новое правило SIEM для реактивного обнаружения. Чем быстрее автоматизируется TH, тем меньше повторений потребуется от специалистов и тем быстрее их навыки можно будет использовать для проверки новых гипотез. Следует также позаботиться о том, чтобы любые автоматизированные технологические процессы были надежными и продолжали приносить пользу. После автоматизации каждый аналитический процесс должен быть протестирован на точность, что может быть выполнено с помощью метрик.

Вывод

В заключение, поиск угроз — это упреждающий подход к кибербезопасности, который включает сбор и анализ данных из различных источников для выявления потенциальных угроз и уязвимостей. Выявляя угрозы и устраняя их до того, как они нанесут ущерб, организации могут свести к минимуму последствия инцидентов безопасности и защитить свои системы и данные от кибератак. Процесс поиска угроз включает в себя определение масштабов поиска, сбор и анализ данных, выявление потенциальных угроз, разработку плана реагирования и оценку процесса для определения областей, требующих улучшения. Ключевые концепции и методы, задействованные в процессе поиска угроз, включают анализ угроз, машинное обучение и искусственный интеллект, обнаружение конечных точек и реагирование на них (EDR), анализ сетевого трафика (NTA) и непрерывный мониторинг. Внедряя комплексную стратегию поиска угроз, организации могут опережать потенциальные угрозы и быстро и эффективно реагировать на любые инциденты в области кибербезопасности, которые могут возникнуть.

Литература:

1 Hunting Cyber Criminals: A Hacker's Guide to Online Intelligence Gathering Tools and Techniques by Vinny Troia (2017).

2 The Threat Hunter's Handbook: A Practical Guide to Threat Hunting by Marcus J. Carey and Jennifer Jin (2018)

3 Threat Hunting in the Cloud: Defending AWS, Azure and Other Cloud Platforms Against Cyberattacks by Roger Hale and Jay Beale (2019).

4 Threat Hunting for Dummies by Aaron Lint, Joshua Shilko, and Jamison Utter (2019).

5 The Practice of Network Security Monitoring: Understanding Incident Detection and Response by Richard Bejtlich (2020).

6 Threat Hunting and Incident Response: An Intelligence-Driven Approach by Mike Sheward and Aaron Weller (2021).

7 Mastering Cybersecurity Incident Response: Detect, investigate, and respond to advanced cybersecurity attacks and threats by Bryce Galbraith and Alex Tilley (2022).

Основные термины (генерируются автоматически): процесс поиска угроз, поиск угроз, анализ данных, угроза, EDR, NTA, машинное обучение, выявление, данные, сетевой трафик.


Похожие статьи

Анализ уязвимостей среды контейнеризации

Технологии контейнеризации, примером которых являются такие платформы, как Docker и Kubernetes, произвели революцию в разработке и развертывании программного обеспечения, предоставив легкие и эффективные средства упаковки и развертывания приложений. ...

Разработка модели комплексной среды тестирования интернет-приложений

В научном исследовании представлены результаты построения модели среды тестирования современных интернет-приложений. Актуальность построения модели обуславливается необходимостью комплексного подхода к решению задачи тестирования применительно к сред...

Влияние выбора программной платформы на безопасность веб-приложений

В данной статье проведен анализ безопасности трех ведущих программных платформ для веб-разработки: Symfony, Laravel и Yii. Целью исследования было сравнение уровня безопасности этих платформ с учетом выбора наиболее подходящей для создания безопасных...

Zero Trust: «никогда не доверяй, всегда проверяй». Новая парадигма кибербезопасности

По мере того, как киберугрозы становятся все более сложными, традиционные модели безопасности оказываются менее эффективными. Архитектура Zero Trust представляет собой смену парадигмы в кибербезопасности, обеспечивая надежную защиту от современных уг...

Стратегии минимизации рисков при перевозках опасных грузов по автодорогам

Данная статья представляет собой обширный обзор стратегий минимизации рисков в перевозках опасных грузов по автодорогам. Она содержит анализ классификации грузов повышенной опасности, описывает особенности каждого класса с точки зрения рисков и угроз...

Влияние социальных медиа на потребительское поведение: тренды и перспективы

Данная статья посвящена исследованию влияния социальных медиа на поведение потребителей в современных условиях, а также выявлению ключевых трендов и перспектив их дальнейшего развития. Эволюция социальных медиа от простых платформ для обмена сообщени...

Современные подходы к цифровизации управления персоналом в организациях связи

В современной экономике на фоне цифровизации всех управленческих и производственных процессов внедрение информационных технологий в управление персоналом является одним из важных условий повышения его финансовой устойчивости. Главный результат цифров...

Чат-боты: технологии и перспективы развития

В данной статье рассматривается эволюция чат-ботов, их современные технологии и перспективы развития. Чат-боты, изначально создававшиеся для выполнения ограниченного числа задач, благодаря развитию обработки естественного языка и машинного обучения, ...

Определение уровня безопасности системы защиты информации на основе когнитивного моделирования

В данной статье рассмотрены подходы к решению проблемы оценки уровня защищенности системы защиты информации в условиях реализации угроз. Предложено когнитивную модель на основе нечеткой когнитивной карты, которая позволяет определять уровень защищенн...

Создание инновационного метода адаптивной веб-разработки для повышения производительности и удобства веб-приложений

В данной статье исследуются современные подходы к разработке адаптивных веб-приложений и предлагается новый подход с целью повышения производительности и удобства использования. Адаптивные веб-приложения играют важную роль в обеспечении качественного...

Похожие статьи

Анализ уязвимостей среды контейнеризации

Технологии контейнеризации, примером которых являются такие платформы, как Docker и Kubernetes, произвели революцию в разработке и развертывании программного обеспечения, предоставив легкие и эффективные средства упаковки и развертывания приложений. ...

Разработка модели комплексной среды тестирования интернет-приложений

В научном исследовании представлены результаты построения модели среды тестирования современных интернет-приложений. Актуальность построения модели обуславливается необходимостью комплексного подхода к решению задачи тестирования применительно к сред...

Влияние выбора программной платформы на безопасность веб-приложений

В данной статье проведен анализ безопасности трех ведущих программных платформ для веб-разработки: Symfony, Laravel и Yii. Целью исследования было сравнение уровня безопасности этих платформ с учетом выбора наиболее подходящей для создания безопасных...

Zero Trust: «никогда не доверяй, всегда проверяй». Новая парадигма кибербезопасности

По мере того, как киберугрозы становятся все более сложными, традиционные модели безопасности оказываются менее эффективными. Архитектура Zero Trust представляет собой смену парадигмы в кибербезопасности, обеспечивая надежную защиту от современных уг...

Стратегии минимизации рисков при перевозках опасных грузов по автодорогам

Данная статья представляет собой обширный обзор стратегий минимизации рисков в перевозках опасных грузов по автодорогам. Она содержит анализ классификации грузов повышенной опасности, описывает особенности каждого класса с точки зрения рисков и угроз...

Влияние социальных медиа на потребительское поведение: тренды и перспективы

Данная статья посвящена исследованию влияния социальных медиа на поведение потребителей в современных условиях, а также выявлению ключевых трендов и перспектив их дальнейшего развития. Эволюция социальных медиа от простых платформ для обмена сообщени...

Современные подходы к цифровизации управления персоналом в организациях связи

В современной экономике на фоне цифровизации всех управленческих и производственных процессов внедрение информационных технологий в управление персоналом является одним из важных условий повышения его финансовой устойчивости. Главный результат цифров...

Чат-боты: технологии и перспективы развития

В данной статье рассматривается эволюция чат-ботов, их современные технологии и перспективы развития. Чат-боты, изначально создававшиеся для выполнения ограниченного числа задач, благодаря развитию обработки естественного языка и машинного обучения, ...

Определение уровня безопасности системы защиты информации на основе когнитивного моделирования

В данной статье рассмотрены подходы к решению проблемы оценки уровня защищенности системы защиты информации в условиях реализации угроз. Предложено когнитивную модель на основе нечеткой когнитивной карты, которая позволяет определять уровень защищенн...

Создание инновационного метода адаптивной веб-разработки для повышения производительности и удобства веб-приложений

В данной статье исследуются современные подходы к разработке адаптивных веб-приложений и предлагается новый подход с целью повышения производительности и удобства использования. Адаптивные веб-приложения играют важную роль в обеспечении качественного...

Задать вопрос