Q:
Wat zijn de belangrijkste voordelen van het zoeken naar bedreigingen?
EEN:Laten we beginnen met te begrijpen wat het zoeken naar bedreigingen is: het is een proces van zoeken per regel en per gebeurtenis naar indicatoren voor zeer specifieke bedreigingen. Het is niet een kwestie van zoeken naar een mogelijke afwijking. Het is de handeling van het detecteren van indicatoren van dingen waarvan we weten dat ze gebeuren. Het is alsof je op teken zoekt nadat je door het bos hebt gelopen. Als je een goede reden hebt om te geloven dat er teken in het bos zijn, controleer je of iemand een ritje heeft gemaakt. Het voordeel van jagen op hen is dat je ze kunt vinden en van ze kunt ontdoen voordat ze je bijten en je ziek maken.
Dat gezegd hebbende, als voorloper van het zoeken naar dreigingen, moet je een idee hebben van wat je zoekt. Dat vereist drie dingen: analyse, situationeel bewustzijn en intelligentie. De onbewerkte informatie kan afkomstig zijn uit veel verschillende bronnen en de experts van een bedreigingsteam kunnen deze informatie analyseren en er betekenis aan ontlenen. Wat is het geklets op het donkere web? Heeft iemand het over het richten van een bepaald bedrijf of technologie? Zijn er discussies over nieuwe handel of exploitatiemethoden?
De dreigingsanalisten van het dreigingsjachtteam kunnen grote hoeveelheden onbewerkte informatie verzamelen, en dat is waar situationeel bewustzijn helpt bij het identificeren welke problemen belangrijk zijn voor verschillende organisaties en gebruikers. Informatie die een manier van aanvallen op een filmstudio identificeert, kan bijvoorbeeld voor een autofabrikant van minder belang zijn. De technieken die bij een aanval op een studio worden gebruikt, kunnen mogelijk bruikbaar zijn als technieken voor het aanvallen van een autofabrikant, maar als de intelligentie suggereert dat de focus van de aanval lokaal is op filmstudio's, moeten de IT-teams van de autofabrikanten gericht blijven op de bedreigingen die op hen zijn gericht. Het komt terug op die wandeling in het bos: als teken een probleem zijn in het bos waar je wandelt maar schorpioenen niet, dan moet je je zorgen maken over teken, niet schorpioenen.
Zodra de dreigingsanalisten de zorgwekkende dreigingen identificeren, kunnen de dreigingsjagers met hun jacht beginnen. Ze zoeken mogelijk naar bewijs van specifieke kwetsbaarheden - bijvoorbeeld een onjuist geconfigureerde router - of ze zoeken naar specifieke codefragmenten of scripts die zijn ingebed in hun netwerk. En als ze de elementen vinden waarop ze jagen, kunnen ze de juiste acties ondernemen en de onderneming tegen aanvallen beschermen.