Q:
Aké sú hlavné výhody lovu hrozieb?
A:Začnime tým, že pochopíme, čo je to vyhrážanie sa hrozbami: Je to proces hľadania - po jednotlivých riadkoch a udalostiach po udalostiach - ukazovateľov veľmi špecifických hrozieb. Nie je to otázka hľadania toho, čo by mohlo byť anomálie. Je to akt zisťovania ukazovateľov toho, o čom vieme, že sa deje. Je to ako skontrolovať kliešte, keď ste prechádzali lesom. Ak máte dobrý dôvod domnievať sa, že v lese sú kliešte, skontrolujte, či sa niektorá nezhodila na jazde. Výhodou ich lovu je to, že ich môžete nájsť a zbaviť sa skôr, ako vás budú hrýzť a ochorieť.
To znamená, že ako predchodca lovu hrozieb musíte mať predstavu o tom, čo hľadáte. Vyžaduje si to tri veci: analytiku, uvedomenie situácie a inteligenciu. Nezpracované informácie môžu pochádzať z mnohých rôznych zdrojov a odborníci na tím lovcov hrozieb môžu tieto informácie analyzovať a odvodiť z nich význam. Čo je to chatovanie na temnom webe? Hovorí niekto o zacielení na konkrétnu spoločnosť alebo technológiu? Diskutuje sa o nových živnostenských postupoch alebo o využívaní metodík?
Analytici hrozieb v tíme zaoberajúcom sa lovom hrozieb môžu zhromažďovať veľké množstvá prvotnej inteligencie. Situačná informovanosť pomáha zistiť, ktoré problémy sú dôležité pre rôzne organizácie a používateľov. Napríklad informácie identifikujúce spôsob útoku na filmové štúdio môžu byť pre výrobcu automobilov menej bezprostredné. Techniky použité pri útoku na štúdio môžu byť životaschopné ako techniky pre útoky na výrobcu automobilov, ale ak spravodajstvo naznačuje, že útok je zameraný na miestne filmové štúdiá, potom by sa tímy IT výrobcov automobilov mali sústrediť na hrozby, ktoré sú im určené. Vráti sa k tejto prechádzke v lese: Ak sú kliešte problémom v lesoch, v ktorých túra, ale škorpióny nie, musíte sa obávať kliešťov, nie škorpiónov.
Akonáhle analytici hrozieb identifikujú hrozby obáv, môžu lovci hrozieb začať loviť. Možno hľadajú dôkazy o konkrétnych zraniteľnostiach - napríklad nesprávne nakonfigurovaný smerovač - alebo môžu hľadať konkrétne fragmenty alebo skripty kódu vložené do ich siete. Ak nájdu prvky, pre ktoré lovia, môžu podniknúť kroky, ktoré sú vhodné, a chrániť podnik pred útokom.