V dnešním dynamickém prostředí kybernetických hrozeb už nestačí spoléhat se pouze na standardní bezpečnostní postupy. Potřebujete proaktivní přístup, který vám umožní odhalit skryté hrozby dříve, než způsobí škodu. Proto poskytujeme threat hunting.
• Proaktivní odhalení skrytých hrozeb
• Posílení detekčních schopností
• Identifikace útoků v síti
• Zamezení potenciálním škodám
• Zvýšení celkové bezpečnosti
Threat hunting je proaktivní proces hledání indikátorů útoků (IoA), kompromitace (IoC) a neobvyklého chování v síti, které by mohly naznačovat probíhající nebo plánovaný útok. Na rozdíl od tradičního detekčního systému, který reaguje na známé hrozby, threat hunting předpokládá, že útočník se již mohl do sítě dostat a aktivně hledá stopy jeho přítomnosti.
Navazuje na úspěšně zvládnuté procesy spojené s řízením bezpečnosti, jako jsou SOC (Security Operations Center), management zranitelností, penetrační testy, případně red teaming a purple teaming.
Naši specialisté působí v bezpečnostní infrastruktuře organizace, kde pro své vyhledávání využívají její prostředky, zejména SIEM, EDR (Endpoint Detection and Response) a další. Využívají přitom odborné znalosti, praktické zkušenosti z etického hackingu, různé zdroje threat intelligence a také analytické nástroje, které pomáhají odhalit skryté hrozby, jež běžné bezpečnostní systémy často nezaznamenají.
Na úvod určujeme, na jaké oblasti se zaměříme. Tento proces provádíme buď samostatně nebo v úzké spolupráci se zákazníkem, abychom zajistili maximální přizpůsobení konkrétním podmínkám. Cíle threat huntingu stanovujeme na základě:
Po stanovení cílů provádíme detailní sběr informací o vybraných hrozbách. Využíváme threat intelligence – soubor informací o aktuálních i historických útocích, technikách útočníků a jejich chování.
Na základě těchto dat vytváříme analytické postupy pro hledání známek kompromitace v prostředí zákazníka. Nespoléháme se jen na jednoduché indikátory kompromitace (IOC), jako jsou IP adresy nebo hashe souborů, ale pracujeme i s komplexními modely chování útočníků (TTPs – Tactics, Techniques, and Procedures). To nám umožňuje identifikovat sofistikované hrozby, které by jinak mohly zůstat skryté.
V této fázi provádíme detailní analýzu v nástrojích pro sběr a vyhodnocování bezpečnostních událostí (SIEM, EDR, NDR a dalších). Pomocí předem definovaných postupů a pokročilých analytických metod hledáme známky podezřelé aktivity.
Získané výsledky dále podrobně zkoumáme s cílem:
Po dokončení threat huntingu zpracujeme podrobnou zprávu, jejíž nejdůležitější částí je detailní analýza nalezených událostí. Každý detekovaný jev zkoumáme v širším kontextu:
Threat hunting je dynamický proces, který by měl být prováděn pravidelně, protože útočníci své metody neustále zdokonalují. V případě, že organizace disponuje zdroji threat intelligence, doporučujeme i tyto zdroje do procesu integrovat.
Pokud v průběhu threat huntingu objevíme podezřelé či vysoce rizikové aktivity, neprodleně zákazníka informujeme a koordinujeme s ním další kroky k zajištění ochrany jeho systémů.
Dokážeme odhalit i ty nejsofistikovanější hrozby dříve, než způsobí reálné škody.