Згідно з останніми дослідженнями, значна частина інцидентів безпеки залишається не виявленою. Покладаючись тільки на автоматичні або сигнатурні механізми виявлення, організації залишаються беззбройними перед багатьма загрозами
SVIT IT Managed Threat Hunting - аналітичний сервіс, спрямований на виявлення слідів цільових атак, які відбуваються всередині інфраструктури компанії в поточний момент або були здійснені раніше. Наші експерти вивчають взаємозв'язки зібраної з робочих станцій інформації з відкритими і приватними базами даних по кіберзагрозам. Цей аналіз дозволяє виявити підозрілу активність, визначити можливі джерела інцидентів і скомпрометовані пристрої. Сервіс також дозволяє компаніям отримати план дій щодо усунення наслідків інциденту і рекомендації по підтримці інформаційної безпеки підприємства в майбутньому.
Згідно з останніми дослідженнями, значна частина інцидентів безпеки залишається не виявленою. Покладаючись тільки на автоматичні або сигнатурні механізми виявлення, організації залишаються беззбройними перед багатьма загрозами, такими як:
- атаки без використання шкідливого ПО
- атаки, що використовують раніше невідомі інструменти
- атаки, вже присутні в інфраструктурі
- атаки нульового дня
- кампанії кібер-шпіонажу
- без файлові атаки
Ми пропонуємо:
1. Використання інструменту Carbon Black Response як платформи для проведення Threat Hunting і повноцінний EDR
2. Можливість побудови Threat Intelligence Platform за рахунок використання репутаційних баз Carbon Black і підключення зовнішніх джерел Threat Intelligence (IBM X-Force, OTX, Cisco TALOS, VirusTotal та ін)
3. В рамках самої програми Threat Hunting:
- створення і перевірка гіпотез на присутність кампаній зловмисників (наприклад APT 28 / APT 29) проти вашої організації опираючись на опис угуповань в MITRE ATT & CK;
- пошук слідів компрометації інфраструктури по відомим індикаторами компрометації (IoC), зіставлення ( "match") по підключеним Threat Intelligence баз;
- виявлення нецільового (шкідливого) використання системних інструментів (Powershell, WMI, Python, DLL і інших) для проведення атак; визначення технік і тактик, використовуваних зловмисниками в атаках
- аналіз мережевої активністі, пошук підозрілих з'єднань або встановлених сесій;
- збагачення систем реактивної захисту (NGFW, SIEM, IPS, AV) даними про знайдені сліди присутності зловмисників, видача рекомендацій щодо закриття слабких місць де це можливо
- розробка нового контенту для про-активного захисту. У разі визначення підозрілої активності в майбутньому - оповіщення з вибором реакції (моніторинг, дослідження, зупинка або видалення процесу, ізоляція робочої станції);
- надання звітності по перевіреним і сформованим гіпотезам.