Как ИТ лидерите и техните доставчици на управлявани услуги подхождат към търсенето на заплахи?

Как ИТ лидерите и техните доставчици на управлявани услуги подхождат към търсенето на заплахи?

Компаниите все повече осъзнават важността на създаването на възможности за откриване и издирване, които да предпазят бъдещето на бизнеса им от риск.

Популярността на услугите за лов на заплахи е следствие от откриването на все по-упорити атаки, които също така продължават все по-дълго. Наред с това киберпрестъпниците разполагат с все повече тактики за избягване на традиционните мерки за защита. Наред с откриването на атаки, все по-важно е да се опитаме да изпреварим кибератаките, така че разликата в откриването да бъде намалена колкото е възможно повече.

В тази екосистема Threat Hunting се откроява като една от най-важните тенденции през последните няколко години в корпоративната киберсигурност. Но за да разберем защо Threat Hunting е толкова важна концепция в днешно време, е жизненоважно да разберем какво точно представлява тя: дисциплина, за която организациите трябва да престанат да мислят не като за нещо хубаво, а като за нещо задължително. Тя трябва да бъде непрекъсната функция, а не моментна, тъй като е от съществено значение във всяка стабилна програма за киберсигурност.

Най-важната характеристика на Threat Hunting за ИТ лидерите и техните MSP е неговият подход: тук става въпрос за проактивен подход към заплахите. Това означава, че той не е отговор на инциденти, въпреки че тази концепция е свързана, тъй като от резултатите от разследването и неговите заключения е възможно да се установят нови индикатори за атака или компрометиране. Мерките за лов на заплахи имат за цел да обхванат това, което по-традиционните инструменти не могат да видят. След това ловците на заплахи провеждат своите разследвания, с които разкриват основната причина, получават незабавна реакция и насочват плана за действие за успешно намаляване на повърхността на атаките.

Как ИТ лидерите и MSP подхождат към лова на заплахи

В света има десетки хиляди хакери, обучени от правителства, компании за сигурност и престъпни организации. Те извършват целенасочени атаки с патентован зловреден софтуер и дори използват легитимни приложения и goodware, за да останат скрити.

Една от основните им операции са атаките без зловреден софтуер, при които нападателят приема самоличността на администратора, след като по един или друг начин се сдобие с неговите мрежови идентификационни данни, и за всеки случай изглежда, че е мрежовият администратор, който си върши работата. Тъй като не се използва никакъв вид зловреден софтуер, системите за сигурност трябва да могат да разпознават този вид атака, като забелязват аномално поведение на потребителите в корпоративната мрежа. Технологиите, способни да изпълняват тези задачи, са неразделна част от концепцията за Threat Hunting (лов на заплахи).

Организациите обаче не разполагат с необходимия бюджет, технологии, процеси и екип от експерти, за да направят това от нулата. Тазгодишното проучване на SANS за лова на заплахи показва, че ресурсното осигуряване на лова на заплахи е “постоянно растящ кошмар за персонала”, като 73% от тазгодишните респонденти твърдят, че едно от най-големите им предизвикателства е намирането на квалифициран персонал. Това е 7% увеличение спрямо 2022 г. и огромно увеличение от 43% спрямо 2021 г. Това прави невъзможно за повечето компании да изграждат и развиват защитата си със същите темпове, с които се развива киберпрестъпността.

Изграждане на екип за лов на заплахи

Както виждаме, ясно е, че проактивността е ключово умение за добрия ловец на заплахи. Но то не е единственото. По-долу ще разгледаме характеристиките, които трябва да притежава всеки професионалист в областта на лова на заплахи.

Технически познания: Преди да предприемете какъвто и да е процес на лов на заплахи, е жизненоважно да разполагате с професионалисти със знания и опит в областта на киберсигурността. Те трябва да познават фокуса на традиционните инструменти за защита на крайни точки (EPP), но също така и новия подход: който включва използването на инструменти за наблюдение в реално време – нещо, което е жизненоважно за лова на заплахи.
Корпоративна и геополитическа визия: кибератаките стават все по-професионални и принадлежат на организации или дори на държави. Затова ловците на заплахи трябва да познават корпоративния и геополитическия контекст, който може да мотивира тези кибератаки. Техническите познания са от основно значение, но е все по-необходимо да разполагаме с идеи, които ни доближават до по-обща визия, за да изпреварваме кибератаките.
Креативност: първата стъпка в процеса на търсене на заплахи е създаването на хипотези, за да се търсят потенциални заплахи. Следователно ловецът на заплахи трябва да измисли възможни сценарии, като има предвид множество елементи и вектори на атака, които може да не са толкова очевидни за традиционните решения за киберсигурност.
Овладяване на емпиричния метод: след като бъдат създадени хипотези, следващата стъпка в процеса на лов на заплахи е да се потвърдят, да се потърсят доказателства и да се открият закономерности. Тези етапи са подобни на тези, които следва един учен изследовател. В този смисъл ловците на заплахи трябва да разбират методите на работа, основани на анализ и доказателства. Ловците на заплахи не се различават толкова много от учените, които правят велики открития.
Доставчиците на управлявани услуги за сигурност дават възможност за широк спектър от проактивни възможности за сигурност, включително наблюдение на сигнали, приоритизиране, разследване и лов на заплахи. Те използват усъвършенствани решения за откриване на крайни точки, мрежи и реагиране, като прилагат модели на изкуствен интелект за корелация и приоритизиране на напреднали заплахи.

Определяне на целите на лова на заплахи

Основното предизвикателство, което спира ИТ екипите да извършват Threat Hunting, е времето. Времето е необходимо за търсене на заплахи, за събиране на данни и за създаване на валидни хипотези. Нещо повече, то е необходимо и за проучване на индикатори за атака – IOA и IOC, както и на модели на атаки. В този смисъл времето е от ключово значение.

Платформите за лов на заплахи би трябвало да могат, наред с други неща, да наблюдават поведението на компютрите, приложенията, работещи на тях, и по-специално на техните потребители. Тези изисквания са още едно предизвикателство, като се има предвид фактът, че човешкият фактор е от ключово значение за допълване на процеса на автоматизация: наемането на квалифицирани експерти може да бъде още един труден и скъп процес, а изграждането или експлоатацията на необходимите инструменти – още един значителен разход, който много ИТ отдели не могат да си позволят.

Уникални предизвикателства за MSP в областта на лова на заплахи

Съществуват три основни предизвикателства, с които те трябва да се справят: Слаба ефективност на решенията за сигурност, които ги карат да губят твърде много време за фалшиво положителни сигнали, и липса на умения и процеси в областта на сигурността за ефективно издирване, откриване, приоритизиране, разследване и реагиране.

Като добавят към арсенала си лов на заплахи, МSP могат да предложат на клиентите си по-добра защита и по-надеждно откриване на заплахите, преди да са нанесени щети, като същевременно укрепят защитата срещу бъдещи атаки.

Инвестирайте в проактивни услуги за сигурност

Повечето лидери в МSP, 62% от тях, инвестират в по-квалифициран персонал, а 52% – в по-добри EDR/NDR решения. Те се смятат за най-въздействащата инвестиция за подобряване на практиката за лов на заплахи, особено за по-големите доставчици на услуги за сигурност.

Използване на EDR

73% от доставчиците на услуги за сигурност използват решения за EDR като част от подхода си за лов на заплахи, а 55% – решения за NDR. 45% смятат, че активността на крайните точки е най-ценният източник на данни при лова и разследването на инциденти.

Докладът на WatchGuard: State-of-the-art threat hunting in MSPs предоставя задълбочен анализ на приемането, предизвикателствата и нивото на зрялост на MSPs при предоставянето на услуги за лов на заплахи на своите клиенти.

Създайте своя екип за лов на заплахи с WatchGuard

WatchGuard Endpoint Security е Cloud-native, усъвършенствано портфолио за сигурност на крайни точки, което защитава предприятия от всякакъв вид от настоящи и бъдещи кибератаки. Нейното водещо решение, WatchGuard EDPR, задвижвано от изкуствен интелект, незабавно подобрява състоянието на сигурността на организациите. То съчетава възможностите за защита на крайни точки (EPP) и откриване и реагиране (EDR) с услугата Zero-Trust Application Service и услугата Threat Hunting Service, за да помогне на MSP ефективно да предоставят автоматизирани услуги за превенция, откриване и реагиране с цялостни услуги за лов на заплахи.

Нашата услуга Threat Hunting Service, включена в WatchGuard EDR и WatchGuard EPDR, дава възможност на MSP да добавят услуга за лов на заплахи като част от своята оферта. Тя позволява откриването на заплахи преди да са нанесени щети и подобрява защитата срещу бъдещи атаки срещу техните клиенти.

Home

Сподели в:

Категории:

Следвай ни в: