Угроза (компьютер) - Threat (computer)

В компьютерной безопасности , угроза является потенциальным негативным действие или события облегчается уязвимостью , что приводит к нежелательному воздействию на компьютерную систему или приложение.

Угроза может быть либо отрицательным « преднамеренным » событием (например, взлом: индивидуальный взломщик или преступная организация), либо « случайным » отрицательным событием (например, возможность неисправности компьютера или возможность стихийного бедствия, такого как землетрясение , пожар или торнадо ) или иное обстоятельство, возможность, действие или событие.

Это отличается от субъекта угрозы, который представляет собой отдельное лицо или группу, которые могут выполнить действие угрозы, например использовать уязвимость для реализации негативного воздействия.

Более полное определение, привязанный к информации обеспечения точки зрения, можно найти в « Federal Information Processing стандартам (ФИПС) 200, требования Минимальные безопасности для федеральных информационных систем информации и » по NIST из Соединенных Штатов Америки

Любые обстоятельства или события, которые могут отрицательно повлиять на деятельность организации (включая миссию, функции, имидж или репутацию), активы организации или отдельных лиц через информационную систему посредством несанкционированного доступа, уничтожения, раскрытия, изменения информации и / или отказа в предоставлении информации. услуга. Кроме того, потенциальная возможность источника угрозы успешно использовать определенную уязвимость информационной системы .

Национальный глоссарий по обеспечению безопасности информации определяет угрозу как:

Любые обстоятельства или события, которые могут отрицательно повлиять на ИБ посредством несанкционированного доступа, уничтожения, раскрытия, изменения данных и / или отказа в обслуживании.

ENISA дает аналогичное определение:

Любые обстоятельства или события, которые могут отрицательно повлиять на актив [G.3] посредством несанкционированного доступа, уничтожения, раскрытия, изменения данных и / или отказа в обслуживании.

Open Group определяет угрозу как:

Все, что способно действовать таким образом, чтобы нанести вред активу и / или организации; например, стихийные бедствия (погода, геологические события и т. д.); злоумышленники; ошибки; неудачи .

Факторный анализ информационного риска определяет угрозу как:

Угрозы - это все (например, объект, вещество, человек и т. д.), способное действовать против актива таким образом, что может привести к причинению вреда. Торнадо - это угроза, как наводнение, так и хакер. Ключевое соображение заключается в том, что угрозы применяют силу (вода, ветер, код эксплойта и т. Д.) Против актива, что может вызвать событие убытка.

Национальный учебно-образовательный центр по обеспечению информационной безопасности дает более четкое определение угрозы :

Средства, с помощью которых может проявляться способность или намерение агента угрозы отрицательно повлиять на автоматизированную систему, средство или операцию. Классифицируйте и классифицируйте угрозы следующим образом: Категории Классы Человеческое Преднамеренное Непреднамеренное Окружающее Среда Естественное Сфабрикованное 2. Любое обстоятельство или событие, потенциально способное причинить вред системе в виде разрушения, раскрытия, модификации или данных, и / или отказа в обслуживании. 3. Любые обстоятельства или события, которые могут нанести вред системе или деятельности ADP в форме уничтожения, раскрытия и изменения данных или отказа в обслуживании. Угроза - это возможность причинения вреда. Наличие угрозы не означает, что она обязательно нанесет реальный вред. Угрозы существуют из-за самого существования системы или деятельности, а не из-за какой-либо конкретной слабости. Например, угроза пожара существует на всех объектах, независимо от степени имеющейся противопожарной защиты. 4. Типы неблагоприятных событий (например, опасностей), связанных с компьютерными системами, которые могут привести к убыткам. Примеры: наводнение, саботаж и мошенничество. 5. Утверждение, касающееся прежде всего сущностей внешней среды (агентов); мы говорим, что агент (или класс агентов) представляет угрозу для одного или нескольких активов; мы пишем: T (e; i) где: e - внешняя сущность; i - внутренняя сущность или пустой набор. 6. Нежелательное происшествие, которое можно было ожидать, но не является результатом сознательного действия или решения. В анализе угроз угроза определяется как упорядоченная пара <опасность; категория активов>, предлагая природу этих событий, но не подробности (подробности относятся к событиям). 7. Возможное нарушение безопасности. 8. Набор свойств определенного внешнего объекта (который может быть отдельным лицом или классом объектов), который в сочетании с набором свойств определенного внутреннего объекта подразумевает риск (согласно совокупности знаний). грамм

Феноменология

Термин «угроза» относится к некоторым другим основным терминам безопасности, как показано на следующей диаграмме: 

      + - - - - - - - - - - - - +  + - - - - +  + - - - - - - - - - - -+
      | An Attack:              |  |Counter- |  | A System Resource:   |
      | i.e., A Threat Action   |  | measure |  | Target of the Attack |
      | +----------+            |  |         |  | +-----------------+  |
      | | Attacker |<==================||<=========                 |  |
      | |   i.e.,  |   Passive  |  |         |  | |  Vulnerability  |  |
      | | A Threat |<=================>||<========>                 |  |
      | |  Agent   |  or Active |  |         |  | +-------|||-------+  |
      | +----------+   Attack   |  |         |  |         VVV          |
      |                         |  |         |  | Threat Consequences  |
      + - - - - - - - - - - - - +  + - - - - +  + - - - - - - - - - - -+

Ресурс (как физический, так и логический) может иметь одну или несколько уязвимостей, которые могут быть использованы агентом угрозы в действии угрозы. Результат может потенциально поставить под угрозу конфиденциальность , целостность или доступность ресурсов (потенциально отличных от уязвимых) организации и других вовлеченных сторон (клиентов, поставщиков).
Так называемая триада ЦРУ - основа информационной безопасности .

Атака может быть активным , когда он пытается изменить системные ресурсы или повлиять на их работу: так она ставит под угрозу целостность и доступность. « Пассивная атака » пытается изучить или использовать информацию из системы, но не затрагивает системные ресурсы: таким образом, она ставит под угрозу конфиденциальность.

OWASP: взаимосвязь между агентом угрозы и влиянием на бизнес

OWASP (см. Рисунок) описывает то же явление в несколько иных терминах: агент угрозы через вектор атаки использует слабость (уязвимость) системы и соответствующие меры безопасности, оказывая техническое воздействие на ИТ-ресурс (актив), подключенный к бизнесу. влияние.

Набор политик, связанных с управлением информационной безопасностью, Системы управления информационной безопасностью (СМИБ), был разработан для управления, в соответствии с принципами управления рисками , контрмерами , чтобы выполнить стратегию безопасности, установленную в соответствии с правилами и положениями, применимыми в страна. Контрмеры также называются мерами безопасности; применительно к передаче информации называются службами безопасности .

Общая картина представляет факторы риска сценария риска.

Широкое распространение компьютерных зависимостей и последующее усиление последствий успешной атаки привело к появлению нового термина кибервойна .

В настоящее время многие настоящие атаки используют психологию не меньше, чем технологии. Фишинг и под предлогом , что и другие методы называются социальной инженерии методов. Приложения Web 2.0 , в частности службы социальных сетей , могут быть средством связи с людьми, отвечающими за системное администрирование или даже за безопасность системы, побуждая их раскрыть конфиденциальную информацию. Один известный случай - это Робин Сейдж .

Самая распространенная документация по компьютерной незащищенности связана с техническими угрозами, такими как компьютерные вирусы , трояны и другие вредоносные программы , но серьезное исследование по применению экономически эффективных контрмер может быть проведено только после тщательного анализа ИТ-рисков в рамках СМИБ: технический подход позволит избавиться от психологических атак, увеличивающих угрозу.

Классификация угроз

Угрозы можно классифицировать по их типу и происхождению:

  • Типы угроз:
    • Физические повреждения: огонь, вода, загрязнение
    • Природные явления: климатические, сейсмические, вулканические.
    • Потеря основных услуг: электроэнергия, кондиционирование воздуха, телекоммуникации.
    • Компрометация информации: подслушивание, кража медиа, поиск выброшенных материалов
    • Технические сбои: оборудование, ПО, насыщение мощностей,
    • Компрометация функций: ошибка в использовании, злоупотребление правами, отказ в действиях

Обратите внимание, что тип угрозы может иметь несколько источников.

  • Преднамеренный: нацеленность на информационный актив
    • шпионаж
    • незаконная обработка данных
  • Случайный
    • сбой оборудования
    • сбой программного обеспечения
  • Относящийся к окружающей среде
    • природное событие
    • потеря питания
  • Небрежность: известные, но игнорируемые факторы, ставящие под угрозу безопасность и устойчивость сети.

Классификация угроз

Microsoft предложила классификацию угроз под названием STRIDE , исходя из инициалов категорий угроз:

Microsoft ранее оценивала риск угроз безопасности, используя пять категорий в классификации DREAD: модель оценки рисков . Модель считается устаревшей в Microsoft. Категории были:

  • D amage - насколько серьезной будет атака?
  • R eproducibility - как легко воспроизвести атаку?
  • E xploitability - сколько работы нужно для запуска атаки?
  • Ffected пользователей - сколько людей будет затронута?
  • D iscoverability - как легко обнаружить угрозу?

Название DREAD происходит от инициалов пяти перечисленных категорий.

Распространение угроз по сети может привести к опасным ситуациям. В военной и гражданской областях уровень угрозы был определен: например, INFOCON - это уровень угрозы, используемый США. Ведущие поставщики антивирусного программного обеспечения публикуют на своих веб-сайтах глобальный уровень угроз.

Связанные термины

Агенты или субъекты угроз

Термин « агент угрозы» используется для обозначения человека или группы, которые могут проявить угрозу. Очень важно определить, кто захочет использовать активы компании и как они могут использовать их против компании.

Лица в популяции угрозы; Практически любой и что угодно может при определенных обстоятельствах быть агентом угрозы - благонамеренный, но неумелый оператор компьютера, который портит ежедневное пакетное задание, набирая неправильную команду, регулирующий орган, проводящий аудит, или белка, которая пережевывает кабель для передачи данных.

Агенты угроз могут предпринять одно или несколько из следующих действий против актива:

  • Доступ - простой несанкционированный доступ
  • Неправомерное использование - несанкционированное использование активов (например, кража личных данных, установка службы распространения порно на взломанном сервере и т. Д.)
  • Раскрыть - агент угрозы незаконно раскрывает конфиденциальную информацию.
  • Изменить - несанкционированные изменения актива
  • Запретить доступ - включает уничтожение, кражу актива, не содержащего данных, и т. Д.

Важно понимать, что каждое из этих действий по-разному влияет на разные активы, что определяет степень и характер убытков. Например, вероятность потери производительности в результате уничтожения или кражи актива зависит от того, насколько критичным является этот актив для производительности организации. Если к критически важному активу получить доступ незаконно, прямой потери производительности не будет. Точно так же уничтожение высокочувствительного актива, который не играет критической роли в производительности, не приведет напрямую к значительному снижению производительности. Тем не менее, тот же актив, если он будет раскрыт, может привести к значительной потере конкурентного преимущества или репутации и повлечь судебные издержки. Дело в том, что именно сочетание актива и типа действий против актива определяет фундаментальный характер и степень убытков. Действия, предпринимаемые агентом угрозы, будут в первую очередь определяться мотивом этого агента (например, финансовая выгода, месть, отдых и т. Д.) И характером актива. Например, агент угрозы, стремящийся к финансовой выгоде, с меньшей вероятностью уничтожит критически важный сервер, чем украдет актив, который легко закладывается, например, ноутбук.

Важно разделить концепцию события, когда агент угрозы входит в контакт с активом (даже виртуально, то есть через сеть), и события, когда агент угрозы действует против актива.

OWASP собирает список потенциальных агентов угроз, чтобы предотвратить создание систем, а программисты вставляют уязвимости в программное обеспечение.

Агент угрозы = Возможности + Намерения + Прошлые действия

Эти люди и группы можно классифицировать следующим образом:

  • Конкретные нецелевые: Агенты, не предназначенные для конкретных целей, представляют собой компьютерные вирусы, черви, трояны и логические бомбы.
  • Сотрудники: сотрудники, подрядчики, эксплуатационный / обслуживающий персонал или охранники, которых раздражает компания.
  • Организованная преступность и преступники. Преступники нацелены на информацию, которая имеет для них ценность, например на банковские счета, кредитные карты или интеллектуальную собственность, которая может быть конвертирована в деньги. Преступники часто прибегают к помощи инсайдеров.
  • Корпорации: корпорации участвуют в наступательной информационной войне или конкурентной разведке. Под эту категорию подпадают партнеры и конкуренты.
  • Человек, непреднамеренное: несчастные случаи, невнимательность.
  • Человек, намеренно: инсайдер, аутсайдер.
  • Естественные: наводнение, огонь, молния, метеор, землетрясения.

Источник угрозы

Источниками угрозы являются те, кто желает компромисса. Это термин, используемый для того, чтобы отличить их от агентов / субъектов угрозы, которые осуществляют атаку и которые могут быть уполномочены или убеждены источником угрозы сознательно или неосознанно провести атаку.

Сообщества угроз

Сообщества угроз
Подмножества общей популяции агентов угрозы, которые имеют общие ключевые характеристики. Понятие сообществ угроз - мощный инструмент для понимания того, с кем и с чем мы сталкиваемся, пытаясь управлять рисками. Например, вероятность того, что организация подвергнется атаке со стороны сообщества террористической угрозы, будет в значительной степени зависеть от характеристик вашей организации, связанных с мотивами, намерениями и возможностями террористов. Тесно ли связана эта организация с идеологией, которая конфликтует с известными активными террористическими группами? Представляет ли организация крупную цель с высокой отдачей? Является ли организация легкой мишенью? Как организация сравнивается с другими потенциальными целями? Если организация подвергнется атаке, какие компоненты организации станут вероятными целями? Например, насколько вероятно, что террористы нападут на информацию или системы компании?
Следующие сообщества угроз являются примерами ландшафта вредоносных угроз, с которыми сталкиваются многие организации:
  • Внутренний
    • Сотрудники
    • Подрядчики (и поставщики)
    • Партнеры
  • Внешний
    • Киберпреступники (профессиональные хакеры)
    • Шпионы
    • Непрофессиональные хакеры
    • Активисты
    • Национальные государственные разведывательные службы (например, партнеры ЦРУ и т. Д.)
    • Авторы вредоносных программ (вирусов, червей и т. Д.)

Действие угрозы

Действие угрозы - это нарушение безопасности системы.
Полная архитектура безопасности имеет дело как с преднамеренными действиями (например, атаками), так и со случайными событиями.

Различные виды действий при угрозах определяются как подстатьи «последствия угрозы».

Анализ угроз

Анализ угроз - это анализ вероятности возникновения и последствий повреждающих действий для системы. Это основа анализа рисков .

Последствия угрозы

Последствия угрозы - это нарушение безопасности в результате действия угрозы.
Включает раскрытие, обман, подрыв и узурпацию.

Следующие подстатьи описывают четыре вида последствий угроз, а также перечисляют и описывают виды действий при угрозах, которые вызывают каждое последствие. Действия угроз, которые являются случайными событиями, отмечены знаком «*».

«Несанкционированное раскрытие» (последствия угрозы)
Обстоятельство или событие, при котором организация получает доступ к данным, для которых организация не авторизована. (См .: конфиденциальность данных.) Следующие действия угроз могут вызвать несанкционированное раскрытие:
« Разоблачение »
Действие угрозы, при котором конфиденциальные данные напрямую передаются неавторизованному лицу. Это включает в себя:
«Умышленное воздействие»
Преднамеренная передача конфиденциальных данных неавторизованному лицу.
" Уборка мусора "
Поиск остатков данных в системе для получения несанкционированных сведений о конфиденциальных данных.
* « Человеческая ошибка »
Действия или бездействие человека, непреднамеренно приводящие к получению организацией несанкционированного доступа к конфиденциальным данным.
* «Аппаратная / программная ошибка»
Системный сбой, в результате которого объект получает несанкционированные сведения о конфиденциальных данных.
« Перехват »:
Действие угрозы, при котором неавторизованный объект напрямую получает доступ к конфиденциальным данным, передаваемым между авторизованными источниками и местами назначения. Это включает в себя:
« Кража »
Получение доступа к конфиденциальным данным путем кражи партии физического носителя, такого как магнитная лента или диск, на котором хранятся данные.
«Прослушивание телефонных разговоров (пассивное)»
Мониторинг и запись данных, которые проходят между двумя точками в системе связи. (См .: прослушка .)
«Анализ эманаций»
Получение непосредственных сведений о передаваемых данных путем мониторинга и разрешения сигнала, который излучается системой и который содержит данные, но не предназначен для передачи данных.
" Заключение "
Действие угрозы, при котором неавторизованный объект косвенно получает доступ к конфиденциальным данным (но не обязательно к данным, содержащимся в сообщении), исходя из характеристик или побочных продуктов связи. Это включает в себя:
« Анализ трафика »
Получение знаний о данных путем наблюдения за характеристиками коммуникаций, по которым они передаются.
«Анализ сигналов»
Получение косвенных сведений об передаваемых данных путем мониторинга и анализа сигнала, который излучается системой и который содержит данные, но не предназначен для передачи данных.
" Вторжение "
Действие при угрозе, при котором неавторизованный объект получает доступ к конфиденциальным данным путем обхода средств защиты системы. Это включает в себя:
" Посягательство "
Получение несанкционированного физического доступа к конфиденциальным данным путем обхода защиты системы.
«Проникновение»
Получение несанкционированного логического доступа к конфиденциальным данным путем обхода защиты системы.
« Обратный инжиниринг »
Получение конфиденциальных данных путем разборки и анализа конструкции компонента системы.
« Криптоанализ »
Преобразование зашифрованных данных в простой текст без предварительного знания параметров или процессов шифрования.
« Обман » (последствие угрозы)
Обстоятельство или событие, которое может привести к тому, что уполномоченный орган получит ложные данные и поверит в их достоверность. Следующие действия угрозы могут вызвать обман:
"Маскарад"
Действие угрозы, при котором неавторизованный объект получает доступ к системе или выполняет злонамеренное действие, выдавая себя за уполномоченный объект.
"Пародия"
Попытка неавторизованного объекта получить доступ к системе, выдав себя за авторизованного пользователя.
«Вредоносная логика»
В контексте маскарада любое оборудование, микропрограммное обеспечение или программное обеспечение (например, троянский конь), которое, кажется, выполняет полезную или желаемую функцию, но на самом деле получает несанкционированный доступ к системным ресурсам или обманом заставляет пользователя выполнить другую вредоносную логику.
« Фальсификация »
Действие угрозы, при котором ложные данные вводят в заблуждение уполномоченный орган. (См .: активное прослушивание телефонных разговоров.)
« Замена »
Изменение или замена достоверных данных ложными с целью обмана уполномоченного лица.
« Вставка »
Представление ложных данных с целью обмана уполномоченного лица.
"Отречение"
Действие угрозы, посредством которого субъект обманывает другого, ложно отрицая ответственность за действие.
«Ложное отрицание происхождения»
Действия, при которых создатель данных отрицает ответственность за их создание.
«Ложный отказ в получении»
Действие, при котором получатель данных отрицает получение и владение данными.
« Срыв » (последствия угрозы)
Обстоятельство или событие, которое прерывает или препятствует правильной работе системных служб и функций. (См .: отказ в обслуживании .) Следующие действия могут вызвать нарушение:
« Недееспособность »
Действие угрозы, которое предотвращает или прерывает работу системы, отключая ее компонент.
«Вредоносная логика»
В контексте вывода из строя любое оборудование, микропрограммное обеспечение или программное обеспечение (например, логическая бомба), намеренно введенное в систему для уничтожения системных функций или ресурсов.
«Физическое разрушение»
Умышленное разрушение компонента системы с целью прерывания или предотвращения работы системы.
* "Человеческая ошибка"
Действие или бездействие, непреднамеренно отключающее компонент системы.
* «Аппаратная или программная ошибка»
Ошибка, которая вызывает отказ какого-либо компонента системы и приводит к нарушению работы системы.
* "Природная катастрофа"
Любое стихийное бедствие (например, пожар, наводнение, землетрясение, молния или ветер), которое выводит из строя компонент системы.
« Коррупция »
Действие угрозы, которое нежелательно изменяет работу системы, отрицательно изменяя функции или данные системы.
« Тампер »
В контексте коррупции - преднамеренное изменение системной логики, данных или управляющей информации с целью прерывания или предотвращения правильной работы системных функций.
«Вредоносная логика»
В контексте коррупции любое оборудование, микропрограммное обеспечение или программное обеспечение (например, компьютерный вирус), намеренно введенное в систему для изменения системных функций или данных.
* "Человеческая ошибка"
Действия или бездействие человека, непреднамеренно приводящие к изменению функций или данных системы.
* «Аппаратная или программная ошибка»
Ошибка, приводящая к изменению системных функций или данных.
* "Природная катастрофа"
Любое природное событие (например, скачок напряжения, вызванное молнией), изменяющее функции или данные системы.
« Препятствие »
Действие угрозы, которое прерывает предоставление системных услуг, препятствуя работе системы.
« Вмешательство »
Нарушение работы системы из-за блокировки коммуникаций, пользовательских данных или управляющей информации.
« Перегрузка »
Помеха работе системы из-за чрезмерной нагрузки на производительность компонентов системы. (См .: наводнение .)
« Узурпация » (последствие угрозы)
Обстоятельство или событие, которое приводит к контролю системных служб или функций неавторизованным лицом. Следующие действия угрозы могут вызвать узурпацию:
« Незаконное присвоение »
Действие угрозы, при котором объект принимает на себя неавторизованный логический или физический контроль над системным ресурсом.
«Воровство услуги»
Несанкционированное использование услуги организацией.
«Кража функциональности»
Несанкционированное приобретение реального оборудования, программного обеспечения или прошивки компонента системы.
«Кража данных»
Несанкционированный сбор и использование данных.
" Неправильное использование "
Действие угрозы, которое заставляет компонент системы выполнять функцию или услугу, наносящую ущерб безопасности системы.
« Тампер »
В контексте неправомерного использования - преднамеренное изменение логики системы, данных или управляющей информации с целью заставить систему выполнять несанкционированные функции или услуги.
«Вредоносная логика»
В контексте неправомерного использования любое оборудование, программное обеспечение или микропрограммное обеспечение, намеренно введенное в систему для выполнения или контроля выполнения неавторизованной функции или услуги.
« Нарушение из разрешений »
Действие объекта, превышающее системные привилегии объекта, путем выполнения неавторизованной функции.

Угрожающий ландшафт или окружающая среда

Набор угроз в определенной области или контексте с информацией об идентифицированных уязвимых активах, угрозах, рисках, субъектах угроз и наблюдаемых тенденциях.

Управление угрозами

Для управления угрозами необходимо использовать СМИБ, выполняя все действия по управлению ИТ-рисками, предусмотренные законами, стандартами и методологиями.

Очень крупные организации обычно принимают планы управления непрерывностью бизнеса , чтобы защищать, поддерживать и восстанавливать критически важные для бизнеса процессы и системы. Некоторые из этих планов предусматривают создание группы реагирования на инциденты компьютерной безопасности ( CSIRT ) или группы реагирования на компьютерные чрезвычайные ситуации ( CERT ).

Есть какая-то проверка процесса управления угрозами:

Большинство организаций выполняют подмножество этих шагов, принимая контрмеры, основанные на несистематическом подходе: компьютерная незащищенность изучает поле битвы эксплойтов компьютерной безопасности и возникающую в результате защиту.

Осведомленность об информационной безопасности является важным рынком (см. Категорию: компании, занимающиеся компьютерной безопасностью ). Было разработано много программного обеспечения для борьбы с ИТ-угрозами, включая как программное обеспечение с открытым исходным кодом (см. Категорию: бесплатное программное обеспечение для обеспечения безопасности ), так и несвободное программное обеспечение (см. Категорию: компании, занимающиеся разработкой программного обеспечения для компьютерной безопасности, для получения неполного списка).

Управление киберугрозами

Управление угрозами включает в себя широкий спектр угроз, включая физические угрозы, такие как наводнение и пожар. Хотя процесс оценки риска СМИБ включает управление угрозами для киберугроз, таких как удаленное переполнение буфера, процесс оценки риска не включает в себя такие процессы, как управление информацией об угрозах или процедуры реагирования.

Управление киберугрозами (CTM) становится передовой практикой управления киберугрозами, выходящей за рамки базовой оценки рисков в СМИБ. Он обеспечивает раннее выявление угроз, ситуационную осведомленность на основе данных, точное принятие решений и своевременные действия по снижению угроз.

CTM включает:

  • Ручной и автоматический сбор информации и анализ угроз
  • Комплексная методология мониторинга в реальном времени, включая передовые методы, такие как поведенческое моделирование
  • Использование расширенной аналитики для оптимизации аналитики, генерации аналитики безопасности и обеспечения ситуационной осведомленности
  • Технологии и квалифицированные специалисты, использующие ситуационную осведомленность для принятия быстрых решений и автоматизированных или ручных действий

Охота на угрозы

Охота на киберугроз - это «процесс упреждающего и итеративного поиска в сетях для обнаружения и изоляции сложных угроз, которые обходят существующие решения безопасности». Это контрастирует с традиционными мерами управления угрозами, такими как системы обнаружения вторжений межсетевых экранов и SIEM , которые обычно включают расследование после того, как было предупреждение о потенциальной угрозе или произошел инцидент.

Поиск угроз может быть ручным процессом, в котором аналитик безопасности просматривает различную информацию данных, используя свои знания и знакомство с сетью, чтобы создать гипотезы о потенциальных угрозах. Однако, чтобы быть еще более эффективным и действенным, поиск угроз может быть частично автоматизирован или автоматизирован. В этом случае аналитик использует программное обеспечение, которое использует машинное обучение и аналитику поведения пользователей и объектов (UEBA), чтобы информировать аналитика о потенциальных рисках. Затем аналитик исследует эти потенциальные риски, отслеживая подозрительное поведение в сети. Таким образом, поиск - это итеративный процесс, а это означает, что он должен выполняться непрерывно в цикле, начиная с гипотезы. Есть три типа гипотез:

  • На основе аналитики: «Машинное обучение и UEBA, используемые для разработки агрегированных оценок риска, которые также могут служить в качестве охотничьих гипотез».
  • На основе ситуационной осведомленности: «Анализ Crown Jewel, оценка рисков предприятия, тенденции на уровне компании или сотрудников»
  • На основе аналитики: «Отчеты об угрозах, каналы аналитики угроз, анализ вредоносных программ, сканирование уязвимостей».

Аналитик исследует свою гипотезу, просматривая огромные объемы данных о сети. Затем результаты сохраняются, чтобы их можно было использовать для улучшения автоматизированной части системы обнаружения и в качестве основы для будущих гипотез.

SANS Institute провел исследование и обзоры по эффективности угроз охоты для отслеживания и сорвать кибер противников уже в процессе их как можно скорее. Согласно опросу, опубликованному в 2016 году, «приверженцы этой модели сообщили о положительных результатах: 74% указали на уменьшение площади атак, 59% - на более высокую скорость и точность ответов, а 52% - на обнаружение ранее необнаруженных угроз в своих сетях».

Смотрите также

Рекомендации

Внешние ссылки