P:
Quins són els avantatges clau de la caça d'amenaça?
R:Comencem per comprendre què és la caça d’amenaça: és un procés de buscar-line per línia i esdeveniment per esdeveniment- els indicadors d’amenaces molt específiques. No es tracta de buscar què pot ser una anomalia. És l’acte de detectar indicadors de coses que sabem que estan passant. És com comprovar si hi ha pessigolles després d’haver caminat pel bosc. Si teniu bons motius per creure que hi ha pessigolles al bosc, comproveu si hi ha alguna cosa que ha xocat. El benefici de la caça per ells és que els pugueu trobar i desfer abans que us mosseguin i us posin malalts.
Dit això, com a precursor de la caça d'amenaça, has de tenir una idea del que estàs buscant. Això requereix tres coses: analítica, consciència situacional i intel·ligència. La informació bruta pot provenir de moltes fonts diferents i els experts d'un equip de caça d'amenaça poden analitzar aquesta informació i obtenir-ne el significat. Què és la xerrameca de la web fosca? Algú parla d’orientar-se a una empresa o tecnologia determinada? Hi ha discussions sobre noves metodologies de tradecraft o explotació?
Els analistes d’amenaça de l’equip de caça d’amenaces poden reunir grans quantitats d’intel·ligència bruta, i és aquí on la consciència situacional ajuda a identificar quins problemes destaquen per a diferents organitzacions i usuaris. La informació que identifiqui un mode d'atac contra un estudi de cinema, per exemple, pot ser una preocupació menys immediata per als fabricants d'automòbils. Les tècniques que s’utilitzen en un atac a un estudi poden ser viables com a tècniques per atacar un fabricant d’automòbils, però si la intel·ligència suggereix que l’atac de l’atac és local per als estudis de cinema, els equips d’informàtica dels fabricants d’automòbils haurien de mantenir-se centrats en la amenaces dirigides a ells. Es torna a la caminada pel bosc: si les paparres són un problema al bosc on feu excursions, però no són escorpins, haureu d’estar preocupats per les paparres, no pels escorpins.
Una vegada que els analistes de les amenaces identifiquen les amenaces de preocupació, els caçadors d’amenaça poden iniciar la seva caça. Potser busquen proves de vulnerabilitats específiques (per exemple, un encaminador configurat de manera inadequada, o poden cercar fragments o scripts de codi específics incrustats a la seva xarxa). I si troben els elements per als quals es caça, poden emprendre les accions que siguin apropiades i protegir l’empresa dels atacs.