Informácie o hrozbách zažívajú renesanciu – sila tohto dnes už neoceniteľného nástroja používaného odborníkmi na vyhľadávanie hrozieb sa môže vďaka správnym kanálom a pomoci umelej inteligencie zdvojnásobiť.
Spravodajská činnosť nie je výlučnou záležitosťou štátnych orgánov. Informácie o kybernetických hrozbách, ktoré zhromažďujú a spracúvajú dodávatelia a výskumníci pôsobiaci v oblasti kybernetickej bezpečnosti, sú tým, čo odlišuje profesionálne bezpečnostné centrum (SOC) od bežného bezpečnostného tímu.
Samotné informácie o hrozbách však nie sú automatickou zárukou maximálnej bezpečnosti. Na to je potrebný špecifický prístup, ktorý dokáže tieto informácie využiť. Stojí táto investícia za to, a ak áno, ako z nej vyťažiť maximum?
Stav informácií o hrozbách
Analytici predpovedajú, že informácie o hrozbách budú v nasledujúcich rokoch zohrávať kľúčovú úlohu, keďže čoraz viac spoločností investuje do budovania vlastných kapacít. Výskumníci očakávajú, že súčasný trh sa do roku 2028 zdvojnásobí.
Príčina zvýšeného dopytu je jednoduchá – kybernetické útoky sú čoraz komplexnejšie. Zatiaľ čo kedysi nás trápili vírusy infikujúce počítače prostredníctvom vymeniteľných médií, teraz bojujeme so sofistikovaným ransomvérom, ako je Embargo, ktorý svoje nástroje prispôsobuje každej jednej obeti. V tomto prípade Embargo využíva nástroj MS4Killer, ktorý zneužíva núdzový režim a zraniteľný ovládač na deaktiváciu vybraných bezpečnostných riešení určených na detekciu a reakciu na hrozby na koncových zariadeniach (EDR).
Obrázok 1: Schéma spustenia ransomvéru Embargo. (Zdroj: výskum spoločnosti ESET)
So správnym riešením ponúkajúcim informácie o hrozbách by však bola reakcia rýchla. Napríklad pomocou nástroja ESET Threat Intelligence (ETI) môže bezpečnostný analytik ľahšie analyzovať detekcie, vyhľadať ďalšie relevantné dátové body a lepšie si tak uvedomiť, s akým typom protivníka má dočinenia. Rozhodnutia, ktoré sa majú prijať v reakcii na hrozbu, by teda boli založené na podrobnejších informáciách, čím by sa predišlo chybám pri izolovaní a blokovaní nesprávnych procesov alebo systémov pomocou vybraného nástroja EDR/XDR.
Práve preto majú informácie o hrozbách ako súčasť kybernetickej bezpečnosti také optimistické vyhliadky, pretože spomedzi množstva bezpečnostných nástrojov vynikajú schopnosťou efektívne zlepšiť existujúce procesy.
Výber správneho kanála
Jedným z kľúčových aspektov informácií o hrozbách sú dátové kanály. Predstavte si ich ako organizované toky údajov v reálnom čase, podobne ako keď máte prispôsobený kanál RSS alebo spravodajský kanál. Poskytujú presne to, čo analytik potrebuje, takže keď sa chce dozvedieť viac o hrozbe pochádzajúcej zo škodlivých súborov, stačí sa prihlásiť na odber takéhoto kanála a zistiť viac o novoobjavených vzorkách malvéru alebo indikátoroch narušenia bezpečnosti (IOC).
Využívanie viacerých kanálov naraz alebo prihlásenie na odber konkrétnych typov môže výrazne zlepšiť schopnosť organizácie reagovať na hrozby. Od roku 2025 ESET Threat Intelligence poskytuje 15 rôznych kanálov a 2 subkanály, napríklad so zameraním na hrozby pre Android, IoC, botnety, phishingové URL adresy a ďalšie.
Tieto kanály, z ktorých každý sa venuje inej bezpečnostnej téme, pomáhajú analytikom byť aktívnejší. Oboznámenie sa s fungovaním konkrétneho malvéru, jeho typom, hashmi a ďalšími informáciami pomáha prijímať lepšie a včasnejšie bezpečnostné rozhodnutia. Správca by si mohol povedať: „Ak viem, že táto technika súvisí s ransomvérom Embargo, potom dokážem zistiť, na ktoré konkrétne procesy sa zamerať, napríklad na podozrivé úpravy databázy Registry.“
ESET Threat Intelligence teraz poskytuje aj samostatný kanál pre ransomvér, ktorý spolu s našou ponukou reportov o APT môže firmám pomôcť udržať si náskok pred sofistikovanými hrozbami, ako je napríklad Embargo.
Pamätajte, že skupina APT nebude čakať, kým sa obeť pokúsi o nápravu, ale použije hrubú silu a bude stupňovať svoje snaženie. Najnovšie poznatky o jej taktikách, technikách a postupoch (TTP) však môžu byť práve tou chýbajúcou zložkou, ktorú bezpečnostné centrum potrebuje.
Čím viac, tým lepšie?
Kde teda tieto kanály nájdete? Našťastie mnohí dodávatelia bezpečnostných produktov (najmä tí, ktorí majú výskumné laboratóriá) ponúkajú riešenia, ktoré ich poskytujú spolu s mnohými ďalšími funkciami. Niektorí dokonca vyvíjajú integrované riešenia, ktoré získavajú údaje od širokého spektra poskytovateľov informačných služieb. V rámci bezpečnostných operácií sa najčastejšie využívajú zdroje informácií o hrozbách až od deviatich rôznych dodávateľov naraz, čím sa zlepšuje prehľad o globálnom prostredí hrozieb.
Dôvodom je, že keď správca prehľadáva databázu MITRE ATT&CK alebo VirusTotal, môže vidieť, ako sa líšia detekcie dodávateľov, a potom si z nich vyskladať širší obraz. Keďže každý dodávateľ pristupuje k telemetrii inak, spoľahlivým spôsobom, ako vytvoriť správnu atribúciu, je porovnanie, o čom svedčí aj tento konkrétny príbeh o ESET MDR a ransomvéri Mallox.
Obrázok 2: Niektoré z kanálov ponúkaných v rámci riešenia ESET Threat Intelligence.
Má zmysel odoberať všetky dostupné kanály? Ani nie. Dôležité je mať k dispozícii správne množstvo vysokokvalitných informácií, ktoré sa dajú využiť. Pokiaľ ide o to ostatné, tu vstupuje do hry umelá inteligencia.
Zjednodušené informácie o hrozbách
Automatizácia je v súčasnosti v móde, a to z dobrého dôvodu. Hoci nálepku „AI“ nájdeme už hádam na všetkom (aj tam, kde nemá zmysel), najdôležitejšou technológiou bolo a stále je strojové učenie.
Strojové učenie prináša nespočet možností. V rámci bezpečnostného riešenia umožňuje behaviorálnu detekciu, analýzu kódu na základe DNA alebo mapovanie hrozieb, čo pomáha skrátiť čas detekcie a znížiť mieru falošných poplachov. Ide o výsledok nepretržitého učenia, ktoré využíva algoritmy na štúdium prijatých údajov s cieľom vytvárať predpovede na základe rôznych vzorcov.
ESET Threat Intelligence s integrovaným generatívnym nástrojom, akým je ESET AI Advisor, dokáže využívať údaje z našich reportov o APT v prospech analytika. Stačí požiadať o podrobné informácie o relevantných aktivitách APT v profile spoločnosti a nástroj vás upozorní, na ktoré hrozby si treba dávať pozor.
Náš najlepší výskum máte na dosah ruky
Stručné a praktické reporty o APT spoločnosti ESET zlepšujú stav zabezpečenia organizácie a poskytujú podrobný prehľad o kampaniach a distribúcii malvéru, ako aj o zapojených útočníkoch. Prináša to veľkú strategickú výhodu a pomáha rýchlejšie prijímať zásadné rozhodnutia. S PREMIUM reportmi o APT môžu zákazníci tiež využívať služby analytika spoločnosti ESET, a to až štyri hodiny mesačne, čo im dáva príležitosť vyriešiť všetky nevyriešené problémy.
Obrázok 3: Príklad toho, ako ESET AI Advisor funguje s riešením ESET Threat Intelligence.
Optimalizujú sa tým pracovné postupy analytikov a individualizuje sa používané riešenie. Už žiadne diskusie o tom, aké kanály používať, ani čas strávený prezeraním reportov a výskumných prác. Stačí sa spýtať. ESET Threat Intelligence môžete tiež integrovať s vybranou platformou na správu a nechať systémy robiť rozhodnutia za vás.
Informácie o hrozbách – pocit istoty
Poznanie je moc, a čo je zdrojom moci, ak nie sebadôvera robiť správne rozhodnutia? Hoci ide skôr o filozofickú otázku, ktorá si zaslúži hlbšie zamyslenie, dokonale vystihuje hodnotu informácií o hrozbách. Ak chce bezpečnostné centrum využiť svoj potenciál, musí počas reakcie na incident prijímať sebavedomé rozhodnutia, a to je možné len vtedy, ak je riadne informované.
