Q:
脅威ハンティングの主な利点は何ですか?
A:脅威ハンティングとは何かを理解することから始めましょう。それは、非常に具体的な脅威の指標を、行ごとに、イベントごとに、探すプロセスです。 それは異常であるかもしれないものを探すことの問題ではありません。 それは、私たちが起こっていることがわかっていることの指標を検出する行為です。 森の中を歩いた後にダニをチェックするようなものです。 森にダニがあると信じる正当な理由がある場合は、乗り物に引っかかっているかどうかを確認します。 彼らを狩る利点は、彼らがあなたに噛みついて病気になる前にそれらを見つけて取り除くことができるということです。
とはいえ、脅威狩りの前兆として、あなたが探しているものについての考えを持つ必要があります。 それには、分析、状況認識、インテリジェンスという3つのことが必要です。 生の情報は多くの異なるソースから得られる可能性があり、脅威探索チームの専門家はこの情報を分析し、そこから意味を引き出すことができます。 ダークウェブでのおしゃべりとは何ですか? 特定の企業や技術を標的にすることについて話している人はいますか? 新しいトレードクラフトやエクスプロイト手法の議論はありますか?
脅威ハンティングチームの脅威アナリストは、大量の生のインテリジェンスを収集する場合があります。そこでは、状況認識が、さまざまな組織やユーザーにとって顕著な問題の特定に役立ちます。 たとえば、映画スタジオに対する攻撃のモードを特定する情報は、自動車メーカーにとってはそれほど目立たないかもしれません。 スタジオへの攻撃で使用される技術は、自動車メーカーを攻撃するための技術としては実行可能かもしれませんが、攻撃の焦点が映画スタジオに限定されていることをインテリジェンスが示唆する場合、自動車メーカーのITチームは、それらを狙った脅威。 森の中での散歩に戻ります:ハイキングがサソリではないダニが森で問題になっている場合、サソリではなくダニを気にする必要があります。
脅威アナリストが懸念の脅威を特定すると、脅威ハンターは狩りを開始できます。 彼らは特定の脆弱性の証拠を探しているかもしれません-例えば、不適切に設定されたルーター-または彼らは彼らのネットワークに埋め込まれた特定のコードフラグメントまたはスクリプトを探しているかもしれません。 そして、狩りの対象となる要素を見つけた場合、適切な行動を取り、企業を攻撃から保護することができます。
