Q:
Hva er de viktigste fordelene med trusseljakt?
EN:La oss starte med å forstå hva trusseljakt er: Det er en prosess for å se - linje for linje og hendelse etter hendelse - for indikatorer på helt spesifikke trusler. Det er ikke et spørsmål om å se etter hva som kan være en anomali. Det er handlingen om å oppdage indikatorer på ting vi vet å skje. Det er som å se etter flått etter at du har vandret gjennom skogen. Hvis du har god grunn til å tro at det er flått i skogen, sjekker du om noen har truffet en tur. Fordelen med å jakte på dem er at du kan finne og bli kvitt dem før de biter deg og gjør deg syk.
Når det er sagt, som en forløper for trusseljakt, må du ha en ide om hva du leter etter. Det krever tre ting: analytics, situasjonsbevissthet og intelligens. Den rå informasjonen kan komme fra mange forskjellige kilder, og ekspertene på et trusseljaktteam kan analysere denne informasjonen og hente mening fra den. Hva er skravlingen på det mørke nettet? Er det noen som snakker om å målrette mot et bestemt selskap eller teknologi? Er det diskusjoner om nye varemerker eller utnytte metoder?
Trusselanalytikerne i trusseljaktlaget kan samle inn store mengder rå intelligens, og det er der situasjonsbevissthet er med på å identifisere hvilke problemer som er viktige for forskjellige organisasjoner og brukere. Informasjon som identifiserer en angrepsmåte mot et filmstudio, for eksempel, kan være mindre umiddelbar bekymring for en bilprodusent. Teknikkene som brukes i et angrep på et studio, kan være levedyktige som teknikker for å angripe en bilprodusent, men hvis intelligensen antyder at fokuset for angrepet er lokalt for filmstudioer, bør IT-teamene hos bilprodusentene holde fokus på trusler som er rettet mot dem. Det kommer tilbake til den turen i skogen: Hvis flått er et problem i skogen der du går, men ikke skorpioner, må du være bekymret for flått, ikke skorpioner.
Når trusselanalytikerne identifiserer truslene om bekymring, kan trusseljegerne begynne sin jakt. De leter kanskje etter bevis på spesifikke sårbarheter - for eksempel en feil konfigurert ruter - eller de leter etter spesifikke kodefragmenter eller skript som er innebygd i nettverket deres. Og hvis de finner elementene de jakter for, kan de gjøre de handlingene som er passende og beskytte bedriften mot angrep.
