Av Martha Chrisander, leder for produktmarkedsføring i LogPoint

Trusler er i kontinuerlig endring og blir mer avanserte, noe som gjør det umulig å kjøpe et verktøy som oppdager alle potensielle cybertrusler. Du kan bidra til å beskytte virksomheten ved å ha en proaktiv tilnærming til trusseljakt. Ifølge  rapporten 2020 Verizon Data Breach tok mer enn 25 prosent av bruddene måneder eller enda lenger tid å oppdage. Måneder inne i nettverket er mer enn nok tid til å forårsake skade på enhver organisasjon.

Hva er trusseljakt?

Trusseljakt er en proaktiv måte å avdekke avanserte trusler som er vanskelige å oppdage ved hjelp av automatiserte sikkerhetssystemer. Organisasjoner bruker først og fremst jakt på cybertrusler for å oppdage toppnivåangripere, for eksempel avanserte, vedvarende trusler fra statssponsede grupper. Statlige angrep er usynlige og vedvarende. De har som mål å opprettholde et fotfeste i nettverket i en lengre periode, slik at det ikke oppstår betydelige forstyrrelser som automatiske sikkerhetssystemer kan oppdage. Uoppdagede, statssponsede angripere kan snoope seg rundt i nettverket og se etter konfidensielt materiale eller påloggingsinformasjon som lar dem bevege seg sideveis gjennom miljøet.

Trusseljegere leter aktivt etter bevis på aktive, skjulte trusler i IT-miljøet. Vellykkede trusseljegere er erfarne sikkerhetsanalytikere som støttes av trusseljakt-verktøy og har etablerte sikkerhetsoperasjoner og responsmuligheter.

Uunnværlig ved jakt på trusler

Å være proaktiv er et av de viktigste aspektene ved trusseljakt. Trusseljegere antar at inntrengere allerede er i systemet. De ser etter uvanlig atferd som kan indikere tilstedeværelsen av ondsinnet aktivitet. Vellykkede trusseljegere leter etter spor som indikerer pågående angrep i systemet. Trusseljegerne tar deretter ledetrådene og skaper en hypotese om hvordan hackeren kan utføre angrepet.

Jakten på trusler er en interaktiv prosess som involverer å identifisere og undersøke spor og omdefinere hypotesen når trusseljegerne sporer opp trusselen. Sikkerhetsteamet er avgjørende for trusseljakt og må ha avansert trusselkunnskap og kjenne organisasjonens IT-system på innsiden og utsiden. Selv om sikkerhetsteamet vil bruke verktøy for å identifisere trusler, er teamet den viktigste delen av det å levere resultater.

Hva trenger du for å starte jakten på cybertrusler?

Organisasjoner som ønsker å begynne å jakte på trusler, må først sikre at de har trusseljegere som har den erfaringen og ferdighetene som kreves for å forstå og lete etter trusler. Trusseljaktverktøy er nyttige, men sikkerhetsteamet gjør faktisk jakten. De beste trusseljegerne kjenner sine motstandere og kan tenke som dem. De kjenner de ulike taktikkene, teknikkene og prosedyrene (TTP-ene) som inntrengerne bruker og hvordan de skal lete etter dem i nettverket.

Trusseljakt på nettet innebærer vanligvis enorme mengder informasjon. Sikkerhetsteamene drar nytte av å ha et sentralisert datasett for å avdekke innsikt effektivt. Typiske nettsikkerhetsverktøy som brukes av modne sikkerhetsteam, kan hjelpe trusseljegerne med å nå målene sine raskere og enklere. En SIEM-løsning vil samle inn og berike logger slik at trusseljegere enkelt kan søke etter data mens de undersøker potensielle trusler. Hvis du legger til UEBA, vil det øke hastigheten på en trusseljegers evne til å identifisere mistenkelig og unormal atferd i nettverket. Det hjelper også trusseljegeren med å danne en hypotese om trusselen. Trusseletterretning vil hjelpe trusseljegerne med å starte jakten ved å gi trusselindikatorer og TTP-er de kan bruke som et første ledetråd.

Sikkerhetsverktøy som SIEM og UEBA kan hjelpe sikkerhetsteam med å øke hastigheten og forenkle jakten på trusler.

Trusseljakt trinn for trinn

Jakt på cybertrusler innebærer vanligvis tre trinn: en trigger, en undersøkelse og en respons.

Trinn 1: Utløseren

Noen organisasjoner har planlagte programmer for å jakte på trusler, uavhengig av om det er en konkret årsak. Trusseljegere identifiserer vanligvis utløseren i en bestemt applikasjon eller et bestemt område i nettverket. Trusseljegeren formulerer en hypotese basert på uvanlige hendelser som kan indikere skadelig aktivitet.

Trinn 2: Utredning

Trusseljegere bruker vanligvis verktøy for å jakte på trusler for å fordype seg i potensielle kompromisser innenfor infrastrukturens systemer. Undersøkelsen fortsetter inntil hypotesen enten er påvist eller ikke dokumentert.

Trinn 3: Svar

Å reagere riktig på ondsinnet aktivitet bør følge organisasjonens trusseljaktprosess. Vanligvis innebærer det å kommunisere den nye intelligensen til sikkerhets- og driftsteamene, slik at de kan reagere raskt og redusere trusselen. Ved å dokumentere angriperens metoder kan organisasjonen analysere og forutsi lignende kompromisser i fremtiden.

Velg riktig verktøy

Når du er klar til å begynne å jakte på trusler, kan du dra nytte av MITRE ATT&CK-rammeverket for å bidra til å strukturere jakten. ATT&CK er et standard rammeverk som kontinuerlig oppdateres med TTP-er fra kjente angripere. Når trusseljegere har sine startpunkter, kan de bruke ATT&CK til å skape en hypotese og søke etter aktive eller gjenværende tegn på angrepsaktivitet. Hvis hypotesen ikke forsvinner, må trusseljegerne lete etter andre spor for å starte jakten.

A typical threat hunting process

Men hvis trusseljegerne finner bevis for å støtte angrepshypotesen, må de bygge opp angrepshistorien ved å finne relaterte ressurser. Sikkerhetsverktøy som SIEM, UEBA og ATT&CK-rammeverket kan hjelpe trusseljegere med å snu seg og få en omfattende oversikt over den potensielle trusselen. Hvis sikkerhetsteamet finner en trussel, løser de den og følger organisasjonens retningslinjer for å opprettholde sikkerhetssituasjonen.

Det er vanskelig for organisasjoner å gjennomføre effektiv trusseljakt. De trenger dyktige medarbeidere og et modent sikkerhetsprogram. De riktige verktøyene for å jakte på trusler kan bidra til å øke hastigheten og gjøre prosessen enklere. Trusseljegeren spiller i siste instans den største rollen for å avdekke trusler.

Kontakt Logpoint

Kontakt os og lær hvorfor markedsledende firmaer vælger Logpoint:

Kontakt LogPoint

Learn more about Logpoint

Bestill en demo
Kundesaker
Kunde anmeldelser