ש:
מהם היתרונות העיקריים של ציד איומים?
ת:בואו נתחיל להבין מה זה ציד איומים: זהו תהליך של הסתכלות - שורה אחר שורה ואירוע אחר אירוע - לאינדיקטורים לאיומים ספציפיים מאוד. זו לא שאלה של חיפוש אחר מה שעשוי להיות חריג. זה מעשה גילוי אינדיקטורים לדברים שאנחנו יודעים שקורים. זה כמו לבדוק קרציות אחרי שטיילת ביער. אם יש לך סיבה טובה להאמין שיש קרציות ביער, תבדוק אם מישהו תפס טרמפ. היתרון בציד אחריהם הוא שאתה יכול למצוא ולהיפטר מהם לפני שהם נושכים אותך ומחלים אותך.
עם זאת, כמבשר לציד איומים, אתה צריך לקבל מושג מה אתה מחפש. זה דורש שלושה דברים: אנליטיקה, מודעות מצבית ואינטליגנציה. המידע הגולמי עשוי להגיע ממקורות רבים ושונים, והמומחים בצוות ציד איומים יכולים לנתח מידע זה ולהפיק ממנו משמעות. מה הפטפוט ברשת האפלה? האם מישהו מדבר על מיקוד לחברה או טכנולוגיה מסוימת? האם יש דיונים על מתודולוגיות מסחר חדשות או מנצלות?
אנליסטי האיומים בצוות ציד האיומים עשויים לאסוף כמויות גדולות של מודיעין גולמי, וכאן המודעות המצבית מסייעת לזהות אילו סוגיות חשובות לארגונים ומשתמשים שונים. מידע שמזהה מצב התקפה נגד אולפן קולנוע, למשל, עשוי לדאוג פחות מיידי ליצרן רכב. הטכניקות הנהוגות בהתקפה על אולפן עשויות להיות קיימא כטכניקות לתקיפה של יצרן רכב, אך אם המודיעין מצביע על כך שמוקד ההתקפה הוא מקומי לאולפני הקולנוע, אז צוותי ה- IT של יצרני הרכב צריכים להישאר מרוכזים איומים המכוונים אליהם. זה חוזר לטיול ההוא ביער: אם קרציות אינן עניין ביער שאתה מטייל בו אך עקרבים אינם, אז אתה צריך לדאוג לקרציות ולא לעקרבים.
לאחר שמנתחי האיומים יזהו את איומי הדאגה, ציידי האיומים יכולים להתחיל בציד שלהם. יתכן שהם מחפשים עדויות לפגיעויות ספציפיות - נתב שהוגדר באופן לא תקין, למשל - או שהם עשויים לחפש קטעי קוד או סקריפטים ספציפיים המוטמעים ברשת שלהם. ואם הם מוצאים את האלמנטים שעבורם הם צדים, הם יכולים לבצע את הפעולות המתאימות ולהגן על הארגון מפני התקפה.