IT bezpečnostné služby

Identifikácia a hľadanie kybernetických hrozieb (“Threat Hunting”)

01

Identifikácia a hľadanie kybernetických hrozieb (“Threat Hunting”) je proaktívne a iteratívne prehľadávanie koncových staníc, sietí, databáz s cieľom odhaliť podozrivé aktivity alebo používateľov so zlými úmyslami, ktorých nebolo možné zachytiť a zdetegovať existujúcimi automatizovanými nástrojmi.

Pri hľadaní kybernetických hrozieb sa zamieravame na takých protivníkov, ktorí sa už nachádzajú v kompromitovanej sieti a systémoch samotnej obete, kde súčasne máme oprávnenia zhromažďovať údaje a zavádzať protiopatrenia.                            

Hrozby predstavujú ľudia  – protivníci, nielen ich nástroje (napríklad malvér) a preto nás zaujímajú najviac. Protivníci sú vytrvalí, majú svoje vlastné techniky, taktiky a postupy a často sa dokážu vyhnúť obranným mechanizmom siete. Hrozby sa často označujú ako pokročilé a trvalé (“APT”). A to nielen kvôli schopnostiam, ktorými protivníci disponujú, ale aj kvôli ich vytrvalosti – iniciovať a dlhodobo udržiavať operácie proti zvoleným cieľom svojich obetí.             

Nečakáme na zjavné indikátory kompromitovania (“Indicators of Compromise”), ale aktívne vyhľadávame hrozby s cieľom minimalizovať alebo úplne zabrániť škodám. Samotný akt hľadania hrozieb by mal v podstatne otestovať schopnosť organizácie spoľahlivo detegovať a reagovať na hrozby. Hľadanie hrozieb predstavuje hypotézou riadený prístup zhromažďovania, detekcie a analýzy údajov ešte pred samotným incidentom.

Jedna zo základných metód generovania hypotéz na úspešnú identifikáciu hrozieb je byť neustále informovaný o aktuálnych hrozbách (“Threat Intelligence”). To zvyšuje počet a účinnosť všetkých hypotéz, ktoré sú vygenerované a testované. Preto poskytujeme našim klientom aj službu “Threat Intelligence” s cieľom im pomôcť pochopiť a poznať, ktoré sú hrozby, ktorým čelia a to na základe ich odvetvia.                                                                                                                                         

Identifikácia a hľadanie kybernetických hrozieb (“Threat Hunting”)

Táto služba je určená pre klientov, ktorí by chceli zvýšiť svoju bezpečnostný program, títo klienti musia mať zavedené SOC (“Security Operation Center”) alebo aspoň zbierať logy (zo siete, koncových staníc, atď). Na základe posúdenia ich súčasného stavu bezpečnosti môžeme následne určiť, ako sú pripravení na implementáciu riešenia, ktoré ich posunie na ďalšiu úroveň. Identifikáciu a hľadanie kybernetických hrozieb môžeme vykonávať aj na požiadanie, napríklad ak má zákazník podozrenie, že je terčom cieleného útoku (napr. používateľ bitcoinu alebo banka môžu byť cieľmi pre cyber-zločineckú skupinu Lazarus). V tomto prípade hľadáme hrozby priamo v sieti zákazníka s cieľom identifikovať páchateľa hrozby alebo odhalit identifikátory samotného kompromitovania (“IoC”).

Informácie o hrozbách (“Threat Intelligence”)

Táto služba je vhodná pre každého klienta, dokonca aj pre spoločnosti, ktoré v súčasnosti nemajú zavedený bezpečnostný program. Na základe odvetvia klienta zhromažďujeme indikátory kompromitovania (IoC). Tieto indikátory sú následne dodávané našim klientom. Na základe týchto informácií sa klient môže rozhodnúť či relevantné hrozby bude ďalej monitorovať, zablokuje na úrovni firewalli alebo podnikne ďalšie proaktívne kroky na zastavenie útokov a to skôr, ako k nim reálne dôjde. Monitorovaním indikátorov kompromitovania môžu naši klienti detegovať útoky a rýchlo konať tak, aby zabránili hackerskému prieniku ako aj obmedzili škody zastavením útokov v skorších fázach.

Prečo potrebujete túto službu?

V dnešnom svete každých 39 sekúnd dochádza niekde k novému digitálnemu útoku.
64% spoločností na celom svete zažilo aspoň jednu formu kybernetického útoku.
Globálne je denne hacknutých 30 000 webových stránok.
Denne sa vytvorí 300 000 nových vzoriek malvéru.
60% všetkých škodlivých domén slúžia na rozširovanie spamov.
Každá organizácia by mala mať program identifikácie a hľadanie hrozieb, čím výrazne zvýši hodnotu svojho bezpečnostného programu. Súčasne tým zmení svoj prístup k hrozbám z reaktívneho na proaktívny a zníži čas ich detekcie.