среда, 3 мая 2017 г.

Чем Threat Hunting отличается от сферического коня в вакууме

Что такое Threat Hunting? Это когда ты ищещь то, что не знаешь. То есть у тебя есть гипотеза как тебя атакуют и ты на основе журналов сети и хостов ее обосновываешь или отвергаешь.

Например, у тебя есть гипотеза, что тебя взломали русские хакеры, ты находишь вредоносный код, в котором содержится китайский текст и это доказывает тебе, что это именно русские хакеры, потому что русские хакеры специально использовали иероглифы, чтобы сбить с толку тебя, крутого американского исследователя.

И предыдущий абзац - это текст от супер хакера, который выступал на одной из конференций про Threat Hunting. Я лично в ужасе и давно не слышал такого бреда. Хотя слайды и инструменты были у него очень интересные. Но результат - ниже плинтуса. Ну то есть вопросы к тому кто придет занимать TH: что он за человек, сколько он просит денег и сколько ему нужно времени на результат и через какие телеканалы он воспринимает реальность.

Где взять время?
Что нужно чтобы заниматься Threat Hunting? Время? Где оно у обычного безопасника, который вечно в текучке и запаре? Нигде. Соответственно времени у обычных сотрудников на TH нет.

Где взять деньги?
Получается, нужно нанять специально специалиста под Threat Hunting? Кто это будет делать? Компания с неограниченным бюджетом на ИБ? Много у нас таких? Ну то есть нужно еще найти бюджет на занятие TH, которого тоже обычно не так много.

Где взять людей?
Даже аналитик SOC это очень профессиональный человек, если говорить про Threat Hunting, то это должен быть очень нетривиальный человек, которых где-то надо найти, дать опять же много денег и еще дать ему кучу времени на занятие, которое нельзя формализовать. Сколько вы таких знаете?

Может лучше pentest?
Какой будет результат у Threat Hunting? Неясный. Человек что-то там будет исследовать и что-то там иногда нахоить.. или не находить.. Думаю, что нанять обычных пентестеров будет дешевле и результат будет такой же: будут показаны методики проникновения, о которых вы раньше не знали и вы их закроете или проанализируете уже по формально выданным IOC.

В общем Threat Hunting пока что удел слишком избранных компаний.