fb
IT Systems 1/2020 IT Security 12. 3. 2020 6:00

Threat hunting

Nová forma obrany proti kybernetickým hrozbám

CiscoÚčinnou ochranu proti kybernetickým útokům nelze omezit pouze na reakci na varování před útokem, protože bezpečnostní systémy analyzují především obecně známé hrozby. Mezitím ovšem kybernetičtí zločinci neustále hledají způsoby, jak získat přístup k podnikovým zdrojům. V zájmu zajištění vysoké úrovně kybernetické bezpečnosti je třeba aktivně hledat nové hrozby a IT oddělení by mělo zahájit digitální lov - Threat hunting.

Milan Habrcetl

„Existují pouze dva druhy útoků, známé a neznámé. Všichni mluví o těch známých, proti kterým máme k dispozici ochranu. Bát bychom se ale měli zejména těch neznámých, které způsobují největší škody. Proti nim je nejlepší obranou právě Threat hunting.“
Milan Habrcetl, bezpečnostní expert Cisco

Identifikace nových forem hrozeb je pouze jednou ze součástí účinné bezpečnostní strategie. Neméně důležité je neustálé vyhledávání zranitelností v ekosystému kybernetické ochrany. Obě tyto činnosti spadají do relativně nové disciplíny zvané Threat hunting. Společnost Cisco doporučuje pro implementaci této filozofie podniknout několik kroků:

Krok 1: Vytvořit odpovědný tým

Threat hunting je ve skutečnosti dalším kyberbezpečnostním projektem, takže je důležité, aby byl v organizaci vytvořen tým, který jej bude mít na starost. Tito lidé by měli mít odpovídající odborné znalosti, jakož i specifické poznatky o koncových bodech a sítích v organizaci, schopnost používat analytické systémy, a v neposlední řadě také vrozenou zvědavost a tvůrčí mysl.

Krok 2: Poskytnout týmům možnosti nahlédnout do IT zdrojů

Threat hunting vyžaduje používání vhodných nástrojů, jako jsou systémy SIEM (Security Information and Event Management). Tým odpovědný za lov zranitelností musí mít přehled o síťovém provozu a zaznamenat všechny události, včetně informací o IP adresách, URL a doménách. Jedním z nejúčinnějších řešení, která jsou zbraněmi kybernetických týmů, jsou Cisco Threat Response, AMP (Advanced Malware Protection) a Umbrella Investigate. Odborníci ze společnosti Cisco rovněž poukazují na to, že velmi důležité je také sledování nejnovějších informací o kybernetických hrozbách.

Krok 3: Určit, kdy je nejlepší čas pro hledání hrozeb

Hledání zranitelností by mělo být prováděno ve chvíli, kdy se v organizaci objevují neobvyklé události, které mohou naznačovat, že došlo k útoku. Tato otázka by měla zaznít v několika momentech – pokud se organizace v poslední době setkala s extrémně velkým množstvím stažených dat, jestliže se některý z uživatelů pokusil o neautorizovaný přístup do systémů, v případě, kdy administrátor odstranil data z protokolu událostí a ve chvíli, kdy byl spící systém najednou aktivován uprostřed noci.

„Threat hunting považují IT týmy za další povinnost. Specialisté kybernetické bezpečnosti se snaží automatizovat procesy, zatímco Threat hunting vyžaduje nezávislou analýzu. V současné době ale bohužel pouhá reakce na varování před útokem nestačí. Aktivní Threat hunting přináší mnoho výhod a umožňuje organizacím zůstat krok před kybernetickými zločinci. Threat hunting by proto neměl být považován za další vedlejší projekt, ale za trvalý prvek kyberbezpečnostní strategie. Je to něco jako základní bezpečnostní hygiena. Kdo si myje ruce, výrazně snižuje riziko nákazy nemocí. Kdo vymetá nečistoty ze systémů, také snižuje riziko, že případný útok bude úspěšný. Proto i když na svém lovu neodhalíte nic, udělali jste hodně pro zvýšení bezpečnosti“, uzavírá Milan Habrcetl.

Kalendář akcí
Konference - Semináře - Školení
Časopis IT Systems/Speciál
Aktuální číslo časopisu IT Systems Aktuální číslo časopisu příloha #1
Archív časopisu IT Systems
IT Systems 1-2 IT Systems 12 IT Systems 11 IT Systems 10
Archív časopisu IT Systems Special
Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1