Tim keamanan memanfaatkan perburuan ancaman untuk mendeteksi ancaman siber yang samar dan baru secara proaktif. Didukung oleh intelijen ancaman, perburuan ancaman memberikan langkah penangkal terhadap kemunculan malware baru dan taktik serangan yang terus berkembang.
Perburuan ancaman juga memainkan peran penting dalam respons insiden dengan memberikan wawasan tentang serangan yang mungkin lolos dari kontrol keamanan siber tradisional. Selain itu, perburuan ancaman telah menjadi komponen penting dalam pemulihan siber untuk membantu dekontaminasi data cadangan secara menyeluruh. Dekontaminasi ini secara dramatis mengurangi risiko infeksi ulang setelah organisasi melanjutkan aplikasi dan layanan mereka.
Perburuan Ancaman Memerlukan Banyak Sumber Daya
Secara tradisional, perburuan ancaman mengandalkan proses pencarian menyeluruh di seluruh sistem untuk indikator ancaman. Pendekatan ini menggunakan berbagai teknologi dan teknik untuk menganalisis berbagai data dan log sebelum dapat mencapai kesimpulan, yang membuatnya memakan waktu. Selain itu, proses yang bergantung pada pemantauan dan pengumpulan data secara terus-menerus dapat menjadi sangat membutuhkan sumber daya. Pendekatan yang seimbang untuk kebersihan perburuan ancaman juga harus memanfaatkan alat yang dapat dijalankan secara otomatis tanpa mengganggu.
Operasi Tanpa Sentuhan dan Deteksi Cepat dalam Hitungan Detik vs Jam
Hash malware menyederhanakan pertukaran indikator kompromi (IoCs) dan dengan daftar hash malware yang diperbarui. Hash malware yang dikenal dapat disimpan dalam basis data dan dibandingkan dengan hash yang dihitung untuk setiap file dalam sistem. Karena hash file berfungsi sebagai pengenal unik, hash file dapat dengan cepat diambil dan dicocokkan dengan hash malware yang dikenal tanpa harus melihat isi file itu sendiri.
Dalam rilis terbaru, Veritas AltaTM memperkenalkan fitur pencarian hash file yang dilengkapi dengan indeks hash file. Dengan fitur baru ini, Veritas Alta akan secara otomatis menentukan apakah malware telah menyebar ke data cadangan. Pertama, semua data cadangan yang disimpan diperiksa setiap hari untuk indikator kompromi. Kedua, jika pemindai malware mengidentifikasi malware dalam sistem file, hash malware tersebut secara otomatis dicari di sistem file lain, menghilangkan kebutuhan untuk melakukan pemindaian malware penuh pada data cadangan. Ketiga, perburuan ancaman dapat digunakan sesuai permintaan untuk mendukung forensik dan investigasi. Hasil utama dari pendekatan ini adalah malware dapat diidentifikasi di seluruh data cadangan menggunakan pencarian indeks hash file dengan peningkatan kinerja 105 kali dibandingkan pemindaian malware standar*.
Pemicu Fitur Hash File
Fitur hash file dapat dipicu dengan tiga cara:
- Otomatis:
- Pencarian hash file otomatis harian: Setiap 24 jam, pencarian dilakukan menggunakan hash file dari hash yang diunggah pelanggan, hash dari pihak ketiga seperti CISA, dan hash malware yang ditemukan oleh pemindaian malware. Pencarian ini dilakukan pada semua gambar cadangan untuk memastikan kesehatan gambar secara konsisten.
- Malware terdeteksi melalui pemindaian malware: Jika malware ditemukan dalam pemindaian malware, nilai hash dihitung untuk file malware tersebut. Pencarian hash kemudian secara otomatis dipicu menggunakan hash malware yang diketahui di semua data cadangan.
- Sesuaikan Permintaan: Pelanggan dapat mengunggah hash mereka sendiri dan segera mencari semua data cadangan untuk hash file yang cocok, memungkinkan tim keamanan dan cadangan melakukan perburuan ancaman sesuai kebutuhan untuk forensik dan investigasi.
Kemampuan Hash File Veritas Alta untuk Perburuan Ancaman
Fitur hash file membutuhkan beberapa persyaratan agar berfungsi dengan baik, seperti basis data untuk menyimpan hash untuk pencarian hash file. Selain itu, komputasi hash file diperlukan untuk setiap file saat aset dicadangkan untuk pertama kali dan saat file baru ditemukan selama pencadangan berikutnya. Karena komputasi hash merupakan fungsi dari ukuran file, kinerja pencadangan pertama di mana hash diaktifkan mungkin lambat. Namun, komputasi hash hanya perlu dilakukan ketika file pertama kali ditemukan atau diperbarui. Operasi pencarian sangat cepat seperti yang ditunjukkan di bawah ini.
Kecepatan pemindaian hash file mempercepat pencarian ancaman secara signifikan untuk pemulihan siber, forensik, dan investigasi. Selama pencarian hash file, jika ditemukan kecocokan, pemberitahuan akan memberi tahu pengguna tentang aset, cadangan, hash, dan jalur file terkait. Pemeriksaan file yang sering dan cepat semacam ini dapat mempercepat waktu pemulihan, memungkinkan organisasi untuk secara proaktif memulihkan data mereka sebelum serangan malware terjadi. Pemindaian malware yang dijadwalkan dengan interval beberapa hari dan memerlukan proses hidrasi kini dapat dilengkapi dengan sistem yang dapat mengidentifikasi malware dengan cepat, memperpendek waktu reaksi dari beberapa hari menjadi hanya beberapa jam.
Manfaat Perburuan Ancaman yang Dipercepat dan Diotomatisasi
Untuk program keamanan siber dan memastikan data bebas ancaman untuk pemulihan siber, perburuan ancaman dapat sangat membutuhkan sumber daya bagi tim TI dan infrastruktur. Dengan kemampuan perburuan ancaman inovatif Veritas, proses ini dipercepat dan diotomatisasi untuk memberikan:
- Perburuan ancaman harian otomatis di seluruh data kritis tanpa mengganggu aplikasi atau layanan produksi.
- Identifikasi cepat dan otomatis penyebaran malware dalam data cadangan ketika ditandai oleh pemindai malware.
- Dekontaminasi data yang dipercepat untuk secara signifikan memperpendek waktu pemulihan setelah insiden siber.
Poin Penting
Tim pemulihan siber memerlukan setiap keunggulan yang dapat diperoleh untuk mengidentifikasi ancaman dan mengurangi waktu pemulihan siber. Dengan melengkapi pemindaian malware tradisional dengan kemampuan indeks hash dari Veritas, organisasi akan secara dramatis mengurangi waktu untuk menemukan IoC dalam data cadangan mereka. Dengan peningkatan kinerja 105 kali untuk mengidentifikasi IoC, waktu pemulihan siber akan berkurang secara signifikan karena malware dan IoC dapat langsung diidentifikasi di seluruh sistem file dalam pusat data.