Av Martha Chrisander, Head of Product Marketing, LogPoint

Angreppsmetoderna förändras ständigt och blir mer alltmer sofistikerade, vilket gör det omöjligt att skaffa ett verktyg som varenda potentiellt cyberhot. Du kan skydda din verksamhet genom att tillämpa proaktiv Threat Hunting. Enligt 2020 Verizon Data Breach Report tog mer än 25 % av alla intrång flera månader eller längre att upptäcka. Obehörig åtkomst till nätverket i flera månaders tid orsakar enorma skador till vilken organisation som helst.

Vad är Threat Hunting?

Threat Hunting är ett proaktivt sätt att identifiera avancerade intrångsförsök som är svåra att upptäcka med hjälp av automatiserade säkerhetssystem. Organisationer tillämpar i första hand Threat Hunting för att upptäcka de vanligaste typerna av angrepp som t.ex. kontinuerliga angrepp från statligt sponsrade grupper. Regeringsbackade attacker är svårupptäckta och framhärdande. Syftet är att få fotfäste i nätverket under lång tid och inte orsaka störningar som de automatiska säkerhetssystemen kan upptäcka. Oupptäckta statligt sponsrade angripare kan söka genom nätverket efter konfidentiellt material och inloggningsuppgifter som gör att de kan röra sig vidare i miljön och öppna nya dörrar.

Threat Hunting-tekniker söker aktivt efter bevis på aktiva och svårupptäckta hot i IT-miljön. Framgångsrika Threat Hunters är erfarna säkerhetsanalytiker som använder avancerade verktyg och har etablerade säkerhetsrutiner och motmedel.

Grundläggande förutsättningar för Threat Hunting

En proaktiv metodik är grundläggande för Threat Hunting. Threat Hunting-tekniker utgår från att angripare redan har lyckats kompromettera systemet. De söker efter avvikande mönster och beteenden som kan tyda på illasinnade aktiviteter. Framgångsrika tekniker söker ledtrådar som indikerar pågående attacker i systemet. De tittar sedan på ledtrådarna och skapar en hypotes om hur angriparen har lyckats kunna utföra attacken.

Sökning efter hot är en interaktiv process som går ut på att identifiera och undersöka ledtrådarna och omdefiniera hypotesen under tiden som hotet spåras ned. Säkerhetsteamet är avgörande för Threat Hunting och måste ha expertis om potentiella hot och kunskap om organisationens IT-system inifrån och ut. Även om säkerhetsteamet använder verktyg för att identifiera hot är själva teamet nyckeln till att kunna uppnå resultat.

Vad krävs för att för att starta Threat Hunting?

Organisationer som vill börja söka efter hot måste först säkerställa att de har kompetent personal med den erfarenhet och expertis som krävs för att förstå och söka efter hot. Även om Threat Hunting-vektyg är till stor hjälp så är det säkerhetsteamet som i själva verket som utför arbetet. De mest kompetenta Threat Hunting-tekniker kan tänka som angripare och känner till angriparnas tankesätt. De känner till alla olika taktiker, tekniker och procedurer (TTP) som angriparna använder och hur de ska söka efter dem inom nätverket.

Threat Hunting omfattar typiskt enorma mängder information. Säkerhetsteam kan dra nytta av att ha en centraliserad datauppsättning för att effektivt få insikt. Typiska cybersäkerhetsverktyg som används av erfarna säkerhetsteam kan hjälpa Threat Hunting-experter nå sina mål snabbare och enklare. En SIEM-lösning samlar in och berikar loggar så att Threat Hunting-tekniker enkelt kan söka igenom data samtidigt som de undersöker potentiella hot. UEBA snabbar på Threat Hunting-teknikers förmåga att identifiera misstänkta och avvikande aktiviteter i nätverket. Det hjälper också teknikern bilda en hypotes om hotet. Threat intelligence hjälper tekniker påbörja jakten genom att tillhandahålla hotindikatorer och TTP:er som de kan använda som inledande ledtrådar.

Säkerhetsverktyg som SIEM och UEBA kan hjälpa säkerhetsteam snabba på och förenkla Threat Hunting.

Threat Hunting steg för steg

Threat Hunting omfatar vanligen tre steg: en utlösare, en undersökning och en respons.

Steg 1: Utlösare

Vissa organisationer har schemalagda program för Threat Hunting oavsett om det finns en konkret orsak. Threat Hunting-tekniker identifierar vanligtvis utlösaren i en specifik applikation eller ett område i nätverket. Teknikern formulerar en hypotes baserad på avvikande eller ovanliga beteendemönster som kan tyda på illasinnad aktivitet.

Steg 2: Undersökning

Tekniker använder i regel Threat Hunting-verktyg för att analysera i potentiella intrång i infrastrukturens system. Undersökningen fortsätter till dess att hypotesen antingen är bevisad eller motbevisad.

Steg 3: Respons

En lämplig reaktion på misstänka intrångsförsök bör följa organisationens fastställda Threat Hunting-rutiner. I regel handlar det om att rapportera nya uppgifter till säkerhets- och driftsteamen så att de kan reagera snabbt och motverka eventuella hot. Genom att dokumentera angriparens metoder kan organisationen analysera och förutsäga liknande intrångsförsök i framtiden.

Välj rätt verktyg

När du är redo att sätta igång med Threat Hunting kan du använda MITRE ATT&CK-ramverket för att strukturera sökningen. ATT&CK är ett standardramverk som kontinuerligt uppdateras med TTP:er från kända angripare. När hotjägare har sina utgångspunkter kan de använda ATT&CK för ATT skapa en hypotes och söka efter aktiva eller kvarvarande tecken på attackaktiviteter. Om hypotesen inte ger resultat måste hotjägarna leta efter andra ledtrådar för att starta jakten.

A typical threat hunting process

Men om hotjägare hittar bevis som stödjer angreppshypotesen måste de bygga ut angreppshistoriken genom att hitta relaterade resurser. Säkerhetsverktyg som SIEM, UEBA och ATT&CK-ramverket kan hjälpa hotjägare hitta angreppsvinkeln och få en överblick över det potentiella hotet. Om säkerhetsteamet hittar ett hot kan de åtgärda det och följa organisationens riktlinjer för att upprätthålla säkerhetsgraden.

Det är svårt för organisationer att genomföra effektiv Threat Hunting. De behöver kompetent personal och ett välutvecklat säkerhetsprogram. Rätt verktyg för Threat Hunting kan hjälpa till att snabba på och underlätta processen. I slutänden är det hotjägaren som spelar största rollen när det gäller att identifiera hot.

Kontakt Logpoint

Kontakt os og lær hvorfor markedsledende firmaer vælger Logpoint:

Kontakt LogPoint

Learn more about Logpoint

Boka en demo
Kundcase
Recensioner