Af Martha Chrisander, Head of Product Marketing, LogPoint

Trusler ændrer sig hele tiden og bliver mere sofistikerede, hvilket gør det umuligt at købe et værktøj, der registrerer alle potentielle cybertrusler. Du kan hjælpe med at beskytte din virksomhed ved at tage en proaktiv tilgang til trusseljagt. Ifølge Verizon-rapporten om brud på datasikkerheden i 2020 tog det måneder eller længere at opdage mere end 25 % af sikkerhedsbrudene.  Måneder inde i netværket er mere end tilstrækkelig tid til at forårsage skade på enhver organisation.

Hvad er trusseljagt?

Trusseljagt er en proaktiv metode til at afdække avancerede trusler, der er svære at opdage ved hjælp af automatiserede sikkerhedssystemer. Organisationer bruger primært cybertrusseljagt til at registrere avancerede angribere, f.eks. avancerede vedvarende trusler fra statssponsorerede grupper. Statsstøttede angreb er skjulte og vedholdende. Formålet er at opretholde et fodfæste i netværket i længere tid, så det ikke forårsager betydelige forstyrrelser, som automatiske sikkerhedssystemer kan registrere. Uopdagede, statssponsorerede angribere kan snige rundt i netværket og lede efter fortroligt materiale eller loginoplysninger, der giver dem mulighed for at bevæge sig gennem miljøet.

Trusseljægere søger aktivt efter beviser på aktive, skjulte trusler i IT-miljøet. Vellykkede trusseljægere er erfarne sikkerhedsanalytikere, som understøttes af værktøjer til trusseljagt og har etablerede sikkerhedsfunktioner og reaktionsevner.

Vigtigt ved jagt på trusler

At være proaktiv er et af de vigtigste aspekter ved trusseljagt. Trusseljægere antager, at der allerede er modstandere i systemet. De kigger efter usædvanlig adfærd, der kan indikere tilstedeværelsen af ondsindet aktivitet. Vellykkede trusseljægere leder efter spor, der indikerer igangværende angreb i systemet. Trusseljægere tager derefter ledetrådene og skaber en hypotese om, hvordan hackeren kan gennemføre angrebet.

Jagten på trusler er en interaktiv proces, hvor man identificerer og undersøger spor og redefinerer hypotesen, mens trusseljægerne følger truslen. Sikkerhedsteamet er afgørende for trusseljagten og har brug for avanceret viden om trusler og kendskab til organisationens IT-system både inde og ude. Selvom sikkerhedsteamet vil bruge værktøjer til at identificere trusler, er teamet den vigtigste del i at levere resultater.

Hvad skal du bruge for at begynde at jagte cybertrusler?

Organisationer, der ønsker at begynde at jage trusler, skal først sikre, at de har trusseljægere, der har den erfaring og de færdigheder, der kræves for at forstå og lede efter trusler. Selvom værktøjer til trusseljagt er nyttige, er det faktisk sikkerhedsteamet, der jager. De bedste trusseljægere kender deres modstandere og kan tænke som dem. De kender de forskellige taktikker, teknikker og procedurer (TTP’er), som deres modstandere bruger, og ved hvordan de søger efter dem i netværket.

Cybertrusseljagt involverer typisk en enorm mængde information. Sikkerhedsteams drager fordel af at have et centraliseret datasæt til effektiv afsløring af indsigter. Typiske cybersikkerhedsværktøjer, der anvendes af modne sikkerhedsteams, kan hjælpe trusseljægere med at nå deres mål hurtigere og nemmere. En SIEM-løsning vil indsamle og berige logfiler, så trusseljægere nemt kan søge i dataene og samtidig undersøge potentielle trusler. Tilføjelse af UEBA vil fremskynde en trusseljægers evne til at identificere mistænkelig og unormal adfærd i netværket. Det hjælper også trusseljægeren med at danne sig en hypotese om truslen. Trusselsintelligens hjælper trusseljægere med at starte jagten ved at levere trusselsindikatorer og TTP’er, de kan bruge som et indledende spor.

Sikkerhedsværktøjer som SIEM og UEBA kan hjælpe sikkerhedsteams med at fremskynde og forenkle trusseljagten.

Trusseljagt trin for trin

Cybertrusseljagt involverer typisk tre trin: en udløser, en undersøgelse og en reaktion.

Trin 1: Udløseren

Nogle organisationer har planlagte programmer for jagt på trusler, uanset om der er en konkret årsag. Trusseljægere identificerer normalt udløseren i en bestemt applikation eller et bestemt område af netværket. Trusseljægeren formulerer en hypotese baseret på usædvanlige hændelser, der kan indikere ondsindet aktivitet.

Trin 2: Undersøgelse

Trusseljægere bruger typisk trusseljagtværktøjer til at dykke dybt ned i potentielle brister i infrastrukturens systemer. Undersøgelsen fortsætter, indtil hypotesen enten er bevist eller ikke bevist.

Trin 3: Reaktion

Man reagerer hensigtsmæssigt på skadelige aktiviteter ved at følge organisationens proces for trusseljagt. Normalt handler det om at kommunikere den nye viden til sikkerheds- og driftsteams, så de kan reagere hurtigt og mindske truslen. Ved at dokumentere angriberens metoder kan organisationen analysere og forudsige lignende brister i fremtiden.

Vælg det rigtige værktøj

Når du er klar til at gå på trusseljagt, kan du udnytte MITRE ATT&CK-rammen til at hjælpe med at strukturere jagten. ATT&CK er en standardramme, der løbende opdateres med TTP’er fra kendte angribere. Når trusseljægere har deres udgangspunkt, kan de bruge ATT&CK til at skabe en hypotese og søge efter aktive eller tilbageværende tegn på angrebsaktivitet. Hvis hypotesen ikke viser sig at bære frugt, skal trusseljægerne lede efter andre spor for at starte jagten.

A typical threat hunting process

Men hvis trusseljægere finder beviser, der understøtter angrebshypotesen, skal de udbygge angrebshistorien ved at finde relaterede ressourcer. Sikkerhedsværktøjer som SIEM, UEBA og ATT&CK-rammen kan hjælpe trusselsjægere med at få et samlet overblik over den potentielle trussel. Hvis sikkerhedsteamet finder en trussel, løser de den og følger organisationens politikker for at opretholde sikkerhedspositionen.

Det er svært for organisationer at gennemføre effektiv trusseljagt. De har brug for højt kvalificerede medarbejdere og et modent sikkerhedsprogram. De rigtige værktøjer til trusseljagt kan hjælpe med at fremskynde og gøre processen nemmere. I sidste ende spiller trusseljægeren den største rolle i at afdække trusler med succes.

Kontakt Logpoint

Kontakt os og lær hvorfor markedsledende firmaer vælger Logpoint:

Kontakt LogPoint

Lær mere om Logpoint

Book en demo
Kundesager
Kunde anmeldelser