Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

Kiberbiztonsági tevékenységek OT területen III

Threat hunting OT rendszerekben

Facebook Tumblr Tweet Pinterest Tetszik
0
2025. május 03. - icscybersec

A mai poszt előzményeként már két részben boncolgattam az ICS/OT aktív kiberbiztonsági tevékenységek némelyikét, ma pedig a harmadik epizódban egy (szerintem) különleges és (a korábbiakban tárgyaltaknál jóval) inkább intuícióra hagyatkozó tevékenységről lesz szó, a threat huntingról.

Definíció szerint a threat hunting egy proaktív kiberbiztonsági tevékenység, ami a hálózati és végponti eszközöket és a rendszerek által feldolgozott és tárolt adatokat vizsgálva keresi a kártékony és ártó szándékú tevékenységek nyomait. A lényeg, hogy az automatizált elemzési megoldásokon túlmegy a threat hunting és ezért mondom, hogy sokkal inkább támaszkodik a biztonsági elemzők intuíciójára, mintsem az ahhoz használt eszközök által biztosított automatizált folyamatokra. Ahhoz, hogy sikeres threat hunting programot tudjunk megvalósítani és működtetni, 8 feltételt célszerű szem előtt tartani:

1. Képzett és tapasztalt biztonsági elemző irányítsa a threat hunting tevékenységet.
2. Ne duplikáljuk az automatizál hálózatbiztonsági monitoring feladatokat threat hunting során.
3. A threat hunting fedje le az automatizált hálózatbiztonsági monitoring folyamatokban létező hiányosságokat.
4. A threat hunting célja, hogy észlelje az újszerű és emberi tevékenységből eredő támadásokat, amiket az automatizált és hagyományos észlelési módszerek nem fedeznének fel.
5. A threat hunting arra a feltételezésre épít, hogy a támadók aggodalomra okot adó következményekkel járó dolgokat tud tenni a megtámadott környezetben.
6. A threat hunting haszna, hogy túlmegy az automatizált detekciós technikákon és eljárásokon és segíteni tudja azok fejlesztési és hangolási feladatait.
7. A sikeres threat hunting programhoz sturktúrált és megismételhető metodológiára van szükség.
8. A threat hunting egy állandó folyamat, aminek szükség szerint vannak ütemezett és eseti tevékenységei, ahogy az adott szituációk éppen igénylik.

Ahogy a sorozat korábbi részeiben, most is tudok ajánlani SANS publikációkat a témában:

A Practical Model for Conducting Cyber Threat Hunting

Generating Hypotheses for Successful Threat Hunting

Végül pedig röviden beszéljünk arról is, hogy miben más az ICS/OT környezetekben végzett threat hunting, mint az IT környezetekben gyakorolt változata. Ebben sem lesz újdonság azoknak, akik olvassák már egy ideje az írásaimat, ebben az esetben is úgy gondolom, hogy az ICS/OT környezetekben végzett threat hunting sikerének egyik (és talán legfontosabb) záloga az, hogy az abban résztvevő elemzők minél jobban ismerjék nem csak az ICS/OT hálózatok és rendszerek minden komponensét és sajátosságait, hanem lehetőség szerint azokat a folyamatokat (és a folyamatok fizikáját is!), amiket ezek az ICS/OT rendszerek vezérelnek.

Szólj hozzá!
ICS biztonság threat hunting

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr9018788094

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása