J:
Kādas ir draudu medību galvenās priekšrocības?
A:Sāksim ar izpratni par to, kas apdraud medības: Tas ir process, kurā tiek meklēti ļoti specifisku draudu rādītāji - katru rindu pēc kārtas un pēc katra notikuma. Nav jāmeklē, kas varētu būt anomālija. Tā ir to lietu rādītāju noteikšanas darbība, par kuriem mēs zinām, ka notiek. Tas ir tāpat kā ērču pārbaude pēc tam, kad esat staigājis pa mežu. Ja jums ir pamatots iemesls uzskatīt, ka mežā ir ērces, pārbaudiet, vai kāds nav braucis pakaļ. Medību ieguvums viņiem ir tas, ka jūs varat tos atrast un atbrīvoties, pirms viņi jūs iekod un padara jūs slimu.
Tā kā jums ir medību draudu priekštecis, jums ir jābūt idejai par to, ko meklējat. Tam nepieciešamas trīs lietas: analītika, situācijas apzināšanās un intelekts. Neapstrādātu informāciju var iegūt no daudziem dažādiem avotiem, un draudu medību grupas eksperti var analizēt šo informāciju un gūt no tās jēgu. Kas ir pļāpāšana tumšajā tīmeklī? Vai kāds runā par mērķauditorijas atlasi konkrētam uzņēmumam vai tehnoloģijai? Vai notiek diskusijas par jaunu tirdzniecības modeli vai izmanto metodoloģiju?
Draudu medību grupas draudu analītiķi var savākt lielu daudzumu neapstrādātu izlūkdatu, un situācijas izpratne palīdz noteikt, kuras problēmas ir nozīmīgas dažādām organizācijām un lietotājiem. Informācija, kas, piemēram, nosaka uzbrukuma veidu kinostudijai, automobiļu ražotājam var radīt mazāk tiešas bažas. Metodes, kas tiek izmantotas uzbrukumā studijai, varētu būt dzīvotspējīgas kā uzbrukumi automobiļu ražotājiem, taču, ja izlūkošanas dati liek domāt, ka uzbrukumā galvenā uzmanība tiek pievērsta filmu studijām, tad automobiļu ražotāju IT komandām vajadzētu koncentrēties uz draudi, kas uz viņiem vērsti. Tas atgriežas pie pastaigas mežā: ja ērces ir problēma mežā, kur jūs pārgājat, bet skorpioni nav, tad jums jāuztraucas par ērcēm, nevis skorpioniem.
Tiklīdz draudu analītiķi ir identificējuši satraucošos draudus, draudu mednieki var sākt medības. Viņi, iespējams, meklē pierādījumus par īpašām ievainojamībām - piemēram, nepareizi konfigurētu maršrutētāju - vai arī meklē konkrētus koda fragmentus vai skriptus, kas iegulta viņu tīklā. Un, ja viņi atrod elementus, kurus medī, viņi var veikt atbilstošas darbības un aizsargāt uzņēmumu no uzbrukuma.
