McAfee, một trong những công ty an ninh mạng hàng đầu thế giới, hôm nay công bố việc phát hành Disrupting the Disruptors, Art or Science, một báo cáo mới điều tra vai trò của việc săn bắn trên mạng và sự phát triển của trung tâm hoạt động an ninh (SOC).
Nhìn vào các đội bảo vệ thông qua bốn cấp độ phát triển – tối thiểu, thủ tục, sáng tạo và hàng đầu, báo cáo nhận thấy rằng các SOCs tiên tiến dành thời gian hơn 50% so với các đối tác của họ về việc săn bắt các mối đe dọa thực tế.
Threat Hunter
Săn bắt đe doạ đang trở thành một vai trò quan trọng trong việc đánh bại các diễn viên xấu. Một thợ săn mối đe dọa là một thành viên chuyên nghiệp của đội an ninh được giao nhiệm vụ kiểm tra các cuộc điều tra qua mạng sử dụng các đầu mối, giả thuyết và kinh nghiệm từ nhiều năm nghiên cứu tội phạm mạng và rất có giá trị cho quá trình điều tra. Theo khảo sát, các công ty đang đầu tư và đạt được các mức độ khác nhau của kết quả từ cả hai công cụ và các quy trình có cấu trúc khi họ kết hợp các hoạt động “săn đe dọa” vào trung tâm an ninh lõi.
Khi tập trung vào các thợ săn đe dọa chuyên nghiệp và công nghệ tự động tăng lên, một mô hình hoạt động hiệu quả hơn để xác định, giảm nhẹ và ngăn ngừa các cuộc tấn công trên mạng đã nổi lên: sự kết hợp giữa người và máy móc. Trên thực tế, các tổ chức săn bắt đe dọa hàng đầu đang sử dụng phương pháp này trong quá trình điều tra mối đe dọa ở mức tối thiểu gấp đôi so với các tổ chức ở mức tối thiểu (75% so với 31%).
Raja Patel – Phó giám đốc kiêm tổng giám đốc của Corporate Security Products, McAfee cho biết:
“Các tổ chức phải thiết kế một kế hoạch biết rằng họ sẽ bị tấn công bởi bọn tội phạm trực tuyến. Thợ săn đe dọa là rất có giá trị như là một phần của kế hoạch để giành lại lợi thế từ những người cố gắng để làm gián đoạn kinh doanh, nhưng chỉ khi họ có hiệu quả họ có thể thành công. Cần có cả thợ săn mối đe dọa và công nghệ tiên tiến để xây dựng một chiến lược hợp tác chặt chẽ giữa con người và máy móc để ngăn chặn các mối đe dọa trên mạng.”
Những phát hiện chính:
Các kết quả:
- Trung bình, 71% số SOCs tiên tiến đã đóng các cuộc điều tra sự cố trong vòng chưa đầy một tuần và 37% các cuộc điều tra bị đe doạ kín trong vòng chưa đầy 24 giờ
- Những người săn bắt chỉ mới xác định được nguyên nhân gây ra 20% các vụ tấn công, so với các thợ săn hàng đầu xác minh 90%
- SOCs tiên tiến hơn có được giá trị lớn hơn 45% so với SOCs tối thiểu từ việc sử dụng hộp cát, cải thiện luồng công việc, tiết kiệm chi phí và thời gian, và thu thập thông tin không có sẵn từ các giải pháp khác
Chiến lược:
- 68% nói rằng các quy trình săn bắn và tự động hóa tốt hơn là làm thế nào họ sẽ đạt được các năng lực hàng đầu
- Các SOCs trưởng thành hơn gấp hai lần có thể tự động hoá các phần của quá trình điều tra tấn công
- Những người săn mồi trong các SOCs trưởng thành đã dành 70% thời gian để tùy biến các công cụ và kỹ thuật
Chiến thuật:
- Những kẻ săn mồi trong các SOCs trưởng thành sẽ dành 50% thời gian để tìm kiếm mối đe dọa thực tế
- Sandbox là công cụ số một cho các nhà phân tích SOC đầu tiên và thứ hai, nơi các vai trò cấp cao hơn dựa vào phân tích phần mềm độc hại tiên tiến và mã nguồn mở. Các công cụ tiêu chuẩn khác bao gồm SIEM, Endpoint Detection and Response, và User Behavior Analytics, và tất cả đều là các mục tiêu cho tự động hóa.
- Các SOCs trưởng thành hơn sử dụng một hộp cát trong các cuộc điều tra hơn 50% so với SOC nhập cảnh, vượt xa niềm tin để điều tra và xác nhận các mối đe dọa trong các tệp nhập vào mạng
Threat Hunter Playbook: Đội ngũ máy nhân lực
Bên cạnh việc nghiên cứu thủ công trong quá trình điều tra mối đe dọa, thợ săn mối đe dọa là chìa khóa trong việc triển khai tự động hóa trong cơ sở hạ tầng an ninh. Thợ săn mối đe dọa thành công lựa chọn, quản lý và thường xây dựng các công cụ bảo mật cần thiết để ngăn chặn các mối đe dọa và sau đó chuyển kiến thức thu được thông qua điều tra thủ công vào các kịch bản và quy tắc tự động bằng cách tùy biến công nghệ. Sự kết hợp của việc săn bắt mối đe dọa với các nhiệm vụ tự động là hợp tác giữa người với máy móc, một chiến lược quan trọng để phá vỡ các tội phạm mạng ngày nay và ngày mai.
Chi tiết tham khảo: McAfee