Av Ivan Vinogradov, Solution Architect, LogPoint

Vad är hotdetektion?

Hotdetektion beskrivs vanligtvis som en aktivitet i anknytning till identifiering av hot inom en organisation. Ofta är denna uppgift åtminstone delvis automatiserad och omfattar hantering av stora datamängder (s.k. ”Big Data”) – särskilt i större företagsmiljöer. Faktum är att automatisering har börjat bli en nödvändighet för avancerad hotdetektion hos de flesta moderna organisationer.

Vad letar angriparna efter?

När du letar efter potentiella hot hjälper det att veta vilka resurser som är mest värdefulla för dig och vilka som är mest sårbara för attacker. Ofta finns det inte tillräckligt med resurser för att identifiera hot från toppen och därför kan man behöva söka med start från botten och sedan uppåt.

Angripare tenderar att vara opportunistiska och försöker ofta ta sig in via föråldrade enheter. Vanligtvis sker detta efter större uppdateringar där dessa sårbarheter har blivit kända för allmänheten. Den andra primära angreppsvinkeln bygger på den mänskliga faktorn – att klicka på skadliga länkar är ett enkelt sätt att öppna upp nätverket för intrång. När angriparen väl är ansluten till nätverket kan aktiviteterna variera från insamling av data och inloggningsuppgifter till grundläggande men ändå effektiva utpressningstrojaner. Detta gäller särskilt vid icke-målinriktade och väldigt opportunistiska attacker. Det är knappast förvånande att hela 86 % av alla intrång är ekonomiskt motiverade (Verizon, 2020 Data Breach Investigations Report).

Motiv till angrepp

Ekonomiska: Även om det verkar ganska självklart så är det här det vanligaste motivet. Kriminella organisationer ger sig på företag och privatpersoner för ekonomisk vinning. Detta görs ofta genom att använda utpressningstrojaner för att kryptera filer eller överbelasta nätverket med DDoS-attacker tills en lösensumma har betalats.

Personligt identifierbar information (PII): När brottslingar letar efter personlig information är det ofta i bedrägerisyfte. Värdefulla personuppgifter innefattar personnummer som kan användas för att öppna bankkonton, beställa kreditkort och stjäla andra ekonomiska tillgångar.

Immateriell egendom: Brottslingar kan också vara nationalstater eller till och med konkurrenter som vill få konkurrensfördelar. Värdefull immateriell egendom omfattar kunddatabaser, produktutvecklingsplaner, affärshemligheter och annan information som enbart företaget har tillgång till.

Hämnd och nöje: Brottslingar kan vara missnöjda och hämndlystna före detta anställda eller politiska motståndare som försöker svartmåla sina motståndare för egen vinning. Och ibland är motivet inte rotat i något särskilt, annat än för nöjes skull.

Exempel på avancerade cyberhot

Självklart slutar det inte där. Det finns idag grupper som sticker ut på grund av deras enorma tekniska resurser – som tenderar att komma från en nationalstat – vilket gör att de kan utföra mycket sofistikerade, målinriktade och strategiskt avancerade attacker. I dessa fall är räcker automatiserad hotdetektion inte till. Då är det högst rekommenderat att upprätta ett Threat Hunting-program och hålla jämna steg med hotutvecklingen. Detta gäller i synnerhet organisationer i mycket angreppsutsatta branscher.

Vanliga exempel på cyberhot är:

  • Skadlig kod: Skadlig kod utför nätverksintrång genom att utnyttja sårbarheter och omfattar spionprogram, utpressningstrojaner, virus och maskar.
  • Manipulering av behörigheter: Behörigheterna knutna till ett visst konto manipuleras för att skada företagets nätverk.
  • Social manipulering: Angripare lurar användare att avslöja konfidentiell information som kan användas i bedrägligt syfte.
  • Överbelastningsattacker – Denial of Service (DoS): En DoS-attack överbelastar system, servrar eller nätverk med datatrafik i syfte att ta upp resurser och bandbredd, vilket gör systemen otillgängliga för legitima anrop.
  • Mänskliga misstag: Oavsiktliga åtgärder (eller brist på åtgärder) från användare som orsakar eller möjliggör intrång – vanligtvis felaktiga konfigurationer, felleveranser eller publiceringsfel.
  • Avancerade långvariga hot: En angripare får tillgång till nätverket och förblir oupptäckt under en längre tid, vilket ger dem tid att plantera sina attacker.
  • Utpressningstrojaner: Krypterar offrets filer och kräver en lösensumma för att återställa dataåtkomsten.

Läs mer om varje typ av hot och hur avancerad hotdetektion kan hjälpa till att identifiera dessa hot.

Hur identifierar man hot?

Framgångsrik hotdetektion är i hög grad beroende av mognaden hos de lokala cybersäkerhetsfunktionerna. Det är relativt enkelt att känna till landskapet, hålla jämna steg med hotutvecklingen och branschrelaterade resurser samt etablera ett internt program för att identifiera sårbarheter. Ju större en miljö blir, desto större blir behovet av åtminstone delvis automatiserade lösningar som kan bidra till avancerad hotdetektion. Dessutom kan det vara svårt att identifiera sofistikerade aktörer som riktar in sig på din organisation. Du kan till exempel aldrig vara helt säker på om en statlig aktör har börjat intressera sig för din forskning. Många stora organisationer har drabbats av sådana intrångsförsök.

Hur ska man reagera på cyberhot?

Hotrespons innan en faktisk incident kräver alltid förberedelser. Förberedelser är viktiga för praktiskt taget alla discipliner inom cybersäkerhet. Organisationer har dock begränsade resurser. Därför bör man identifiera kritiska tillgångar, budgetera för säkerhetskontroller och driftsätta dem på ett lämpligt sätt för att minska riskerna för intrång. Det finns ingen universallösning. En bra start är dock att utbilda personalen i säkerhetsfrågor som är specifika för just deras roller och implementera åtminstone grundläggande rutiner kring programuppdateringar.

Säkerhetsteam och SOC:er bör helst kunna identifiera och reagera på cyberhot innan de blir aktiva och påverkar organisationen. Men när en incident väl inträffar är det viktigt att ha en åtgärdsplan så att ditt team ska kunna identifiera, reagera på och återhämta sig från cybersäkerhetsincidenter. SOC-personalen måste förstå det specifika cyberhotet om de ska kunna iscensätta en lämplig och snabb respons. Ramverk som MITRE ATT&CK kan hjälpa säkerhetsteamet att förstå angriparna och hur de fungerar – vilket snabbar på både hotdetekteringen och responsen.

Och slutligen kan SOC-analytiker dra stor nytta av sofistikerade verktyg som beteendeanalys (UEBA) och Threat Hunting-kapacitet för att underlätta avancerad hotdetektion.

Learn more about Logpoint

Book a demo
Customer cases
Customer reviews