Účinnou ochranu proti kybernetickým útokům nelze omezit pouze na reakci na varování před útokem, protože bezpečnostní systémy analyzují především obecně známé hrozby. Mezitím kybernetičtí zločinci neustále hledají způsoby, jak získat přístup k podnikovým zdrojům. Jak se tedy mohou podniky účinně bránit proti kybernetickým zločincům? Odborníci ze společnosti Cisco zdůrazňují, že v zájmu zajištění vysoké úrovně kybernetické bezpečnosti je třeba aktivně hledat nové hrozby a IT oddělení by mělo zahájit digitální lov.
„Existují pouze dva druhy útoků, známé a neznámé. Všichni mluví o těch známých, proti kterým máme k dispozici ochranu. Bát bychom se ale měli zejména těch neznámých, které způsobují největší škody. Proti nim je nejlepší obranou právě Threat hunting,“ říká Milan Habrcetl, bezpečnostní expert ze společnosti Cisco.
Identifikace nových forem hrozeb je pouze jednou ze součástí účinné bezpečnostní strategie. Neméně důležité je neustálé vyhledávání zranitelností v ekosystému kybernetické ochrany. Obě tyto činnosti spadají do relativně nové disciplíny zvané Threat hunting. Podle odborníků ze společnosti Cisco vyžaduje implementace této filozofie v podnicích několik kroků:
Krok 1: Vytvořit odpovědný tým – Threat hunting je ve skutečnosti dalším kyberbezpečnostním projektem, takže je důležité, aby byl v organizaci vytvořen tým, který jej bude mít na starost. Tito lidé by měli mít odpovídající odborné znalosti, jakož i specifické poznatky o koncových bodech a sítích v organizaci, schopnost používat analytické systémy, a v neposlední řadě také vrozenou zvědavost a tvůrčí mysl.
Krok 2 : Poskytnout týmům možnosti nahlédnout do IT zdrojů – Threat hunting vyžaduje používání vhodných nástrojů, jako jsou systémy SIEM (Security Information and Event Management). Tým odpovědný za lov zranitelností musí mít přehled o síťovém provozu a zaznamenat všechny události, včetně informací o IP adresách, URL a doménách. Jedním z nejúčinnějších řešení, která jsou zbraněmi kybernetických týmů, jsou Cisco Threat Response, AMP (Advanced Malware Protection) a Umbrella Investigate. Odborníci ze společnosti Cisco rovněž poukazují na to, že velmi důležité je také sledování nejnovějších informací o kybernetických hrozbách.
Krok 3: Určit, kdy je nejlepší čas pro hledání hrozeb – Hledání zranitelností by mělo být prováděno ve chvíli, kdy se v organizaci objevují neobvyklé události, které mohou naznačovat, že došlo k útoku. Tato otázka by měla zaznít v několika momentech – pokud se organizace v poslední době setkala s extrémně velkým množstvím stažených dat, jestliže se některý z uživatelů pokusil o neautorizovaný přístup do systémů, v případě, kdy administrátor odstranil data z protokolu událostí a ve chvíli, kdy byl spící systém najednou aktivován uprostřed noci.
„Threat hunting považují IT týmy za další povinnost. Specialisté kybernetické bezpečnosti se snaží automatizovat procesy, zatímco Threat hunting vyžaduje nezávislou analýzu. V současné době ale bohužel pouhá reakce na varování před útokem nestačí. Aktivní Threat hunting přináší mnoho výhod a umožňuje organizacím zůstat krok před kybernetickými zločinci. Threat hunting by proto neměl být považován za další vedlejší projekt, ale za trvalý prvek kyberbezpečnostní strategie. Je to něco jako základní bezpečnostní hygiena. Kdo si myje ruce, výrazně snižuje riziko nákazy nemocí. Kdo vymetá nečistoty ze systémů, také snižuje riziko, že případný útok bude úspěšný. Proto i když na svém lovu neodhalíte nic, udělali jste hodně pro zvýšení bezpečnosti,“ říká Milan Habrcetl.
