Identifikace a hledání kybernetických hrozeb je proaktivní a iterativní prohledávání koncových stanic, sítí, databází, s cílem odhalit podezřelé aktivity nebo uživatele se zlými úmysly, které nebylo možné zachytit a detekovat stávajícími automatizovanými nástroji.

Při hledání kybernetických hrozeb se zaměřujeme na protivníky, kteří se již nacházejí v kompromitované síti a systémech samotné oběti, kde současně máme oprávnění shromažďovat údaje a zavádět protiopatření.

Za hrozbami stojí vždy lidé – protivníci, nejen jejich nástroje (například malware) a proto nás zajímají nejvíce. Protivníci jsou vytrvalí, mají své vlastní techniky, taktiky a postupy a často se dokáží vyhnout obranným mechanismům sítě. Hrozby se často označují jako pokročilé a trvalé ( “APT”). A to nejen kvůli schopnostem, kterými protivníci disponují, ale i kvůli jejich vytrvalosti – schopnosti iniciovat a dlouhodobě udržovat operace namířené proti zvoleným cílům obětí.

Nečekáme jen na zjevné indikátory kompromitace ( “Indicators of Compromise”), ale aktivně vyhledáváme hrozby s cílem minimalizovat nebo zcela zabránit škodám. Samotný akt hledání hrozeb by měl v podstatě otestovat schopnost organizace spolehlivě detekovat a reagovat na hrozby.

Hledání hrozeb představuje hypotézou řízený přístup shromažďování, detekce a analýzy údajů ještě před samotným incidentem. Jedna ze základních metod generování hypotéz na úspěšnou identifikaci hrozeb je být neustále informován o aktuálních hrozbách ( “Threat Intelligence”). Informovanost zvyšuje počet a účinnost všech hypotéz, které vygenerujeme a testujeme. Proto poskytujeme našim klientům i službu “Threat Intelligence” s cílem jim pomoci pochopit a poznat, kterým hrozbám čelí a to na základě jejich odvětví.

Identifikace a hledání kybernetických hrozeb ( “Threat Hunting”)

Pro klienty, kteří chtějí vylepšit úroveň svého bezpečnostního programu. Tito klienti musí mít zavedeny SOC ( “Security Operation Center”) nebo alespoň sbírat logy (ze sítě, koncových stanic atd). Na základě posouzení jejich současného stavu bezpečnosti můžeme následně určit, jak jsou připraveni na implementaci řešení, které je posune na další úroveň. Identifikaci a hledání kybernetických hrozeb můžeme provádět i na požádání, například pokud má zákazník podezření, že je terčem cíleného útoku (např. uživatel bitcoinu nebo banka mohou být cílem pro kyber-zločineckou skupinu Lazarus). V tomto případě hledáme hrozby přímo v síti zákazníka, s cílem identifikovat pachatele hrozby nebo odhalit identifikátory samotné kompromitace ( “IoC”).

Informace o hrozbách ( “Threat Intelligence”)

Tato služba je vhodná pro každého klienta, dokonce i pro společnosti, které v současnosti nemají zaveden bezpečnostní program. Na základě odvětví klienta shromažďujeme indikátory kompromitace (IoC). Tyto indikátory jsou následně dodávány našim klientům. Na základě těchto informací se klient může rozhodnout, zda relevantní hrozby bude dále monitorovat, zablokuje na úrovni firewall nebo podnikne další proaktivní kroky k zastavení útoků, a to dříve, než k nim reálně dojde. Monitorováním indikátorů kompromitace mohou naši klienti detekovat útoky a rychle jednat, tak, aby zabránily hackerskému průniku i omezili škody zastavením útoků v dřívějších fázích.

Proč potřebujete tuto službu?

V dnešním světě každých 39 sekund dochází někde k novému digitálnímu útoku.
64% společností na celém světě zažilo alespoň jednu formu kybernetického útoku.
Globálně je denně hacknutých 30 000 webových stránek.
Denně se vytvoří 300 000 nových vzorků malwaru.
60% všech škodlivých domén slouží k rozšiřování spamů.
Každá organizace by měla mít program identifikace a hledání hrozeb, čímž výrazně zvýší hodnotu svého bezpečnostního programu. Současně tím změní svůj přístup k hrozbám z reaktivního na proaktivní a sníží čas jejich detekce.