Identifikace nových forem hrozeb je pouze jednou ze součástí účinné bezpečnostní strategie. Neméně důležité je neustálé vyhledávání zranitelností v ekosystému kybernetické ochrany. Obě tyto činnosti spadají do relativně nové disciplíny zvané Threat hunting. Společnost Cisco doporučuje pro implementaci této filozofie podniknout několik kroků:

Krok 1: Vytvořit odpovědný tým

Threat hunting je ve skutečnosti dalším kyberbezpečnostním projektem, takže je důležité, aby byl v organizaci vytvořen tým, který jej bude mít na starost. Tito lidé by měli mít odpovídající odborné znalosti, jakož i specifické poznatky o koncových bodech a sítích v organizaci, schopnost používat analytické systémy, a v neposlední řadě také vrozenou zvědavost a tvůrčí mysl.

Krok 2: Poskytnout týmům možnosti nahlédnout do IT zdrojů

Threat hunting vyžaduje používání vhodných nástrojů, jako jsou systémy SIEM (Security Information and Event Management). Tým odpovědný za lov zranitelností musí mít přehled o síťovém provozu a zaznamenat všechny události, včetně informací o IP adresách, URL a doménách. Jedním z nejúčinnějších řešení, která jsou zbraněmi kybernetických týmů, jsou Cisco Threat Response, AMP (Advanced Malware Protection) a Umbrella Investigate. Odborníci ze společnosti Cisco rovněž poukazují na to, že velmi důležité je také sledování nejnovějších informací o kybernetických hrozbách.

Krok 3: Určit, kdy je nejlepší čas pro hledání hrozeb

Hledání zranitelností by mělo být prováděno ve chvíli, kdy se v organizaci objevují neobvyklé události, které mohou naznačovat, že došlo k útoku. Tato otázka by měla zaznít v několika momentech – pokud se organizace v poslední době setkala s extrémně velkým množstvím stažených dat, jestliže se některý z uživatelů pokusil o neautorizovaný přístup do systémů, v případě, kdy administrátor odstranil data z protokolu událostí a ve chvíli, kdy byl spící systém najednou aktivován uprostřed noci.

„Threat hunting považují IT týmy za další povinnost. Specialisté kybernetické bezpečnosti se snaží automatizovat procesy, zatímco Threat hunting vyžaduje nezávislou analýzu. V současné době ale bohužel pouhá reakce na varování před útokem nestačí. Aktivní Threat hunting přináší mnoho výhod a umožňuje organizacím zůstat krok před kybernetickými zločinci. Threat hunting by proto neměl být považován za další vedlejší projekt, ale za trvalý prvek kyberbezpečnostní strategie. Je to něco jako základní bezpečnostní hygiena. Kdo si myje ruce, výrazně snižuje riziko nákazy nemocí. Kdo vymetá nečistoty ze systémů, také snižuje riziko, že případný útok bude úspěšný. Proto i když na svém lovu neodhalíte nic, udělali jste hodně pro zvýšení bezpečnosti“, uzavírá Milan Habrcetl.