K:
Mitkä ovat uhkametsästyksen tärkeimmät hyödyt?
V:Aloitetaan ymmärtämällä, mikä uhkametsästys on: Se on prosessi, jossa etsitään - rivi riviltä ja tapauskohtaisesti - erityisten uhkien indikaattoreita. Kyse ei ole siitä, etsitään, mikä voi olla poikkeavuus. Se on tunnistaa indikaattoreita asioista, joiden tiedetään tapahtuvan. Se on kuin punkkien tarkistaminen, kun olet käynyt metsässä. Jos sinulla on perusteltua syytä uskoa, että metsässä on punkkeja, tarkista, onko ketään kiinnittänyt. Heidän metsästyksen etuna on, että voit löytää ja päästä eroon heistä ennen kuin ne purevat sinua ja tekevät sinusta sairaan.
Toisin sanoen, uhkametsästyksen edeltäjänä, sinulla on oltava käsitys etsimästäsi. Se vaatii kolme asiaa: analytiikka, tilannetietoisuus ja älykkyys. Raaka-aineisto voi olla peräisin monista eri lähteistä, ja uhkametsästykseen erikoistuneet asiantuntijat voivat analysoida tätä tietoa ja saada siitä merkityksen. Mikä on pimeässä verkossa levittäytyminen? Puhuuko joku tietystä yrityksestä tai tekniikasta kohdistamisesta? Onko keskusteluja uusista kauppalajeista vai hyödynnetäänkö menetelmiä?
Uhkien metsästysjoukon uhka-analyytikot voivat kerätä suuria määriä raakaa älykkyyttä, ja tilannetietoisuus auttaa siinä tunnistamaan, mitkä asiat ovat houkuttelevia eri organisaatioille ja käyttäjille. Esimerkiksi elokuvastudioon kohdistuvan hyökkäystavan tunnistaminen voi olla vähemmän välitön huolenaihe autonvalmistajalle. Studioun kohdistuvassa hyökkäyksessä käytetyt tekniikat saattavat olla käyttökelpoisia tekniikoina hyökkäämiseksi autonvalmistajalle, mutta jos tiedustelu viittaa siihen, että hyökkäys keskittyy elokuvastudioihin, autovalmistajien IT-ryhmien tulisi pysyä keskittyneinä heille kohdistetut uhat. Se palaa takaisin siihen kävelylle metsässä: Jos punkit ovat ongelma metsässä, jolla vaellat, mutta skorpionit eivät ole, niin sinun täytyy olla huolissaan punkkeista, ei skorpioneista.
Kun uhka-analyytikot ovat tunnistaneet huolestuttavat uhat, uhkametsästäjät voivat aloittaa metsästyksen. He saattavat etsiä todisteita tietyistä haavoittuvuuksista - esimerkiksi väärin konfiguroidusta reitittimestä - tai he etsivät tiettyjä verkkopalautettuihin koodinpalasia tai komentosarjoja. Ja jos he löytävät elementit, joita metsästävät, he voivat ryhtyä tarkoituksenmukaisiin toimiin ja suojata yritystä hyökkäyksiltä.