Q:
Hvad er de vigtigste fordele ved trusseljagt?
EN:Lad os starte med at forstå, hvad trusseljagt er: Det er en proces med at se - linje for linje og begivenhed efter begivenhed - for indikatorer for meget specifikke trusler. Det er ikke et spørgsmål om at lede efter, hvad der kan være en afvigelse. Det er handlingen om at opdage indikatorer for ting, som vi ved at sker. Det er som at tjekke for kryds, når du har gået gennem skoven. Hvis du har god grund til at tro, at der er flåter i skoven, skal du kontrollere, om nogen har løftet en tur. Fordelen ved at jage efter dem er, at du kan finde og slippe af med dem, inden de bider dig og gør dig syg.
Når det er sagt, skal du som en forløber for trusseljagt have en idé om, hvad du leder efter. Det kræver tre ting: analytics, situational awareness and intelligence. Den rå information kan komme fra mange forskellige kilder, og eksperterne på en trusseljagtteam kan analysere disse oplysninger og udlede mening fra den. Hvad er skabningen på det mørke web? Snakker nogen om at målrette mod en bestemt virksomhed eller teknologi? Er der diskussioner om nye varemærker eller udnyttelsesmetoder?
Trusselanalytikerne i teamet med trusseljagt samler muligvis store mængder rå intelligens, og det er her, at situationskendskab hjælper med at identificere, hvilke problemer der er vigtige for forskellige organisationer og brugere. Oplysninger, der identificerer f.eks. En angrebsmåde mod et filmstudie, kan være en mindre umiddelbar bekymring for en bilproducent. Teknikkerne, der bruges i et angreb på et studie, kan være levedygtige som teknikker til at angribe en bilproducent, men hvis intelligensen antyder, at fokus for angrebet er lokalt for filmstudier, skal IT-holdene hos bilproducenterne forblive fokuseret på trusler, der er rettet mod dem. Det vender tilbage til den tur i skoven: Hvis flåter er et problem i skoven, hvor du vandrer, men skorpioner ikke er det, skal du være bekymret for flåter, ikke skorpioner.
Når trusselanalytikerne identificerer truslerne om bekymring, kan trusseljægerne begynde deres jagt. De leder muligvis efter bevis for specifikke sårbarheder - en forkert konfigureret router, for eksempel - eller de leder muligvis efter specifikke kodefragmenter eller scripts, der er integreret i deres netværk. Og hvis de finder de elementer, som de jager efter, kan de gennemføre de handlinger, der er passende, og beskytte virksomheden mod angreb.