Nárůst kybernetických hrozeb je nezpochybnitelný. Firmy implementují nové bezpečnostní mechanismy a útočníci paralelně vyvíjejí způsoby, jak je obejít a zůstat bez povšimnutí. „Hlavním úkolem threat huntera je na tuto aktivitu reagovat a zajistit, aby i dobře maskovaná hrozba, která pronikne do infrastruktury, byla včas odhalena a odstraněna,“ říká Dáša Sedláková, která zastává pozici threat huntera ve společnosti Comguard.
Proč je činnost threat huntera důležitá?
Útočníci stále častěji využívají sofistikovanější způsoby, jak napáchat co nejvíce škod. Důležitost činnosti threat huntera tkví v zajištění vícevrstvé ochrany vůči narůstající složitosti hrozeb. Je možné jeho práci chápat jako bezpečnostní nástavbu k již využívaným bezpečnostním nástrojům a procesům.
Jak vlastně práce threat huntera vypadá?
Užitečným základem pro práci threat huntera je znát své teritorium – infrastrukturu, systémy, typy dat apod. Díky tomu je schopný jednodušeji rozlišit standardní stav prostředí od nestandardního a detekovat tak různé anomálie. Tyto znalosti v kombinaci s jeho kreativitou následně využije pro vytvoření hypotézy o útočníkových aktivitách, potenciálních cílech a jeho technice. Na základě chování útočníka threat hunter zvolí vhodný nástroj pro detekování hrozeb. Využívanými nástroji jsou například SIEM systémy (SIEM – Security Information and Event Management), které sbírají, centralizují a zpracovávají data obsahující informace o veškerých aktivitách v daném prostředí.
S takovou bází informací pak může začít samotný „lov“ hrozeb. Upozornění na existenci potenciální hrozby threat hunter obdrží z detekčního nástroje, nebo ji sám objeví při procházení informací sbírané SIEM systémy. Při jakékoli známce narušení nebo potenciální hrozby zahájí tzv. investigativní fázi. V té se „lovec“ zaměří na konkrétní hrozbu a dohledává o ní detailnější informace a důkazy za pomoci všech dostupných prostředků. Jeho cílem je potvrdit, zda se vážně jedná o reálnou hrozbu nebo o falešný poplach, a tudíž možnou legitimní činnost.
Co když zjistí, že je hrozba reálná?
V případě potvrzení hrozby se jeho činnost dostává do finální fáze, kdy na míru hrozby navrhne patřičná opatření, rovnou ji vyřeší, popřípadě ji spolu s detaily předá zodpovědnému týmu. Opatřením může být odstranění škodlivých souborů, aktualizace politiky na bezpečnostních systémech (jako jsou firewally, IPS a další) nebo nasazení bezpečnostních záplat.
Jaké vzdělání nebo zkušenosti threat hunter potřebuje?
Každý threat hunter při své činnosti využívá odlišné metody, které se odvíjí od jeho technických znalostí, zkušeností a míry jeho kreativního myšlení. Proto neexistuje seznam konkrétních
požadavků pro výkon této činnosti. Můžu uvést dovednosti, které se hodí v praxi. Pro práci threat huntera je nutný obecný přehled o fungování informačních a síťových technologií a znalosti z oblasti IT bezpečnosti.
Threat hunter musí být v obraze, co se týče chování útočníků a jejich technik. Musí také umět rozlišit standardní stav v prostředí od známek poukazujících na škodlivou činnost. Výhodou je zkušenost s různými bezpečnostními nástroji, jako jsou například SIEM,
firewall nebo ochrana endpointů. To mu ve fázi investigace pomůže rychleji se zorientovat, nalézt informace, které jsou relevantní, a rychleji reagovat na objevené hrozby. Další výhodou je, když se na prostředí dokáže podívat i očima útočníka a identifikovat existující slabé stránky.
Měly by mít své threat huntery třeba i státy?
Mít svého threat huntera má své výhody jak pro soukromý sektor, tak i pro stát. Tou hlavní je detailní povědomí o prostředí a jednodušší přístup k potřebným datům a nástrojům. Pro threat huntera je přístup k interním datům a záznamům o činnostech v infrastruktuře nedílnou součástí jeho aktivit, bez které by nemohl vykonávat svoji práci. A právě ve státním sektoru je zajištění přístupů k takto citlivým datům obecně zdlouhavý proces, který často vyžaduje bezpečnostní prověrku. Toto může být problémem
zejména při akutních situacích. Na druhé straně je často pro stát z finančního hlediska přijatelnější mít threat hunting jako outsourcovanou službu, která již má v této oblasti zkušenosti.
Jak tedy vybrat threat huntera a jaká práva je nutné mu udělit?
Každá firma má jistě vlastní představu o spolehlivosti, ale obecně je možné předpokládat, že si je každý threat hunter vědom své odpovědnosti. Při práci s citlivými daty, důležitými systémy a nástroji, se nabízí velký prostor k jejich zneužití ať už nedopatřením, nebo záměrně. Threat hunter musí znát možné důsledky svých činů a musí být všímavý. Při výběru threat huntera je určitě možné a doporučené požádat o reference.
Jak již bylo zmíněno, threat hunter potřebuje pro výkon své činnosti nahlížet do interních dat. Pro tento účel potřebuje od správců systémů práva pro čtení dat. Bezpečnostní nástroje jako třeba SIEM často disponují předdefinovanými uživatelskými rolemi, které můžou být využity i pro threat huntery. Zkušenější threat hunteři se při závažných incidentech často zapojují i do jejich odstranění, s čímž se pojí i nutnost navýšení pravomoci v závislosti na typu incidentu a postiženého systému.
Článek „Lovkyně hrozeb“ vyšel v časopise COMPUTER 03/2022, je k dispozici i na zive.cz.
V případě dotazů kontaktujte prosím marketing@comguard.cz.