Q:
Kokie yra pagrindiniai grėsmės medžioklės pranašumai?
A:Pradėkime nuo supratimo, kas yra grėsmės medžioklė: Tai procesas, pagal kurį ieškoma labai konkrečių grėsmių rodiklių kiekvienai eilutei ir kiekvienam įvykiui. Nereikia ieškoti, kas galėtų būti anomalija. Tai yra dalykų, kuriuos žinome, kaip vyksta, rodiklių nustatymas. Tai panašu į erkių patikrinimą, kai vaikščiojai po miškus. Jei turite rimtų priežasčių manyti, kad miške yra erkių, patikrinkite, ar niekas jų nepatyrė. Medžioklė jiems naudinga tuo, kad jūs galite juos rasti ir atsikratyti, kol jie jus įkando ir nepadarė ligos.
Taigi, kaip grėsmės medžioklės pirmtaką, jūs turite žinoti, ko ieškote. Tam reikia trijų dalykų: analizės, situacijos suvokimo ir intelekto. Neapdorota informacija gali būti gaunama iš daugelio skirtingų šaltinių, o grėsmių medžioklės būrio ekspertai gali analizuoti šią informaciją ir iš jos pasisemti prasmės. Kas yra pašnekovas tamsiame internete? Ar kas nors kalba apie taikymąsi prie tam tikros įmonės ar technologijos? Ar diskutuojama apie naują prekybą, ar naudojamos metodikos?
Grėsmių medžiotojų komandos grėsmės analitikai gali surinkti daug neapdorotų žinių, o situacijos supratimas padeda nustatyti, kurios problemos yra svarbios skirtingoms organizacijoms ir vartotojams. Pavyzdžiui, informacija, nurodanti išpuolių prieš kino studiją režimą, automobilių gamintojui gali kelti mažiau tiesioginį susirūpinimą. Technikos, naudojamos atakuojant studiją, gali būti perspektyvios kaip puolimo prieš automobilių gamintojus būdai, tačiau jei žvalgybos duomenys rodo, kad išpuolis daugiausia nukreiptas į kino studijas, tada automobilių gamintojų IT komandos turėtų ir toliau sutelkti dėmesį į joms skirtos grėsmės. Tai grįžta į tą pasivaikščiojimą miške: Jei erkės yra problema miškuose, kur tu žygiuoji, bet skorpionai nėra, tada tu turi jaudintis dėl erkių, o ne dėl skorpionų.
Kai grėsmės analitikai nustato susirūpinimą keliančius pavojus, grėsmės medžiotojai gali pradėti medžioti. Jie gali ieškoti konkrečių pažeidžiamumų įrodymų, pavyzdžiui, netinkamai sukonfigūruoto maršrutizatoriaus, arba jie gali ieškoti konkrečių kodo fragmentų ar scenarijų, įterptų į jų tinklą. Ir jei jie suranda elementus, dėl kurių medžioja, jie gali atlikti tinkamus veiksmus ir apsaugoti įmonę nuo užpuolimo.
