Tekniska ämnen

Vad är Cyber Threat Hunting?

Illustration av IT-artiklar med fokus på en bärbar dator

Översikt

Cyberhot hunting är en framåtblickande strategi för internetsäkerhet där hotjägare proaktivt söker efter säkerhetsrisker som döljs i en organisations nätverk. Till skillnad från mer passiva strategier för cybersäkerhetsjakt - t.ex. automatiserade hotdetekteringssystem - söker cyberhunting aktivt efter tidigare oupptäckta, okända eller icke åtgärdade hot som kan ha undgått nätverkets automatiserade försvarssystem.

Jakt på cyberhot

Vad är hybrid-IT?

Cyberbrottslingar blir mer sofistikerade än någonsin, vilket gör att jakt på cyberhot är en viktig komponent i robusta säkerhetsstrategier för nätverk, endpoints och dataset. Om en avancerad extern angripare eller ett insiderhot undgår de första nätverksförsvarssystemen kan de förbli oupptäckta i flera månader. Under denna tid kan de samla in känsliga data, äventyra konfidentiell information eller säkra inloggningsuppgifter som gör det möjligt för dem att smyga i sidled genom din nätverksmiljö.

Säkerhetspersonal har inte längre råd att luta sig tillbaka och vänta på att automatiska system för att upptäcka cyberhot ska meddela dem om en förestående attack. Med cyberhot hunting kan de proaktivt identifiera potentiella sårbarheter eller hot innan en attack kan orsaka skada.

Hur fungerar jakt på cyberhot?

Jakt på cyberhot kombinerar det mänskliga elementet med en mjukvarulösnings kapacitet att bearbeta stora datamängder. Mänskliga hotjägare - som använder lösningar och underrättelser/data för att hitta motståndare som kan undvika typiska försvar - lutar sig mot data från komplexa verktyg för säkerhetsövervakning och analys för att hjälpa dem att proaktivt identifiera och neutralisera hot.

Mänsklig intuition, strategiskt och etiskt tänkande samt kreativ problemlösning spelar en viktig roll i cyberjaktprocessen. Dessa mänskliga egenskaper gör det möjligt för organisationer att implementera hotlösningar snabbare och mer exakt än om man enbart förlitar sig på automatiserade verktyg för att upptäcka hot.

Vad krävs för att börja jaga hot?

För att cyberhotjakt ska fungera måste hotjägarna först upprätta en baslinje med förväntade eller godkända händelser för att bättre kunna identifiera avvikelser. Med hjälp av denna baslinje och den senaste hotinformationen kan hotjägarna sedan gå igenom säkerhetsdata och information som samlats in av hotdetekteringstekniker. Dessa tekniker kan inkludera lösningar för hantering av säkerhetsinformation och händelser (SIEM), hanterad detektering och respons (MDR) eller andra verktyg för säkerhetsanalys.

När de har utrustats med data från olika källor - t.ex. endpoint-, nätverks- och molndata - kan hotjägarna söka igenom dina system efter potentiella risker, misstänkta aktiviteter eller triggers som avviker från det normala. Om ett känt eller potentiellt hot upptäcks kan hotjägarna utveckla hypoteser och djupgående nätverksundersökningar. Under dessa undersökningar försöker threat hunters ta reda på om ett hot är skadligt eller godartat, eller om nätverket är tillräckligt skyddat mot nya typer av cyberhot.

Är jakt på cyberhot en del av threat intelligence?

Cyber threat intelligence är ett fokus på analys, insamling och prioritering av data för att förbättra vår förståelse för de hot som en verksamhet står inför.

Undersökningstyper för hotjakt

Det finns tre huvudsakliga typer av utredningar för hotjakt:

  • Strukturerad: Denna typ av cybersäkerhetsjakt baseras på en attackindikator samt en angripares taktik, tekniker och procedurer (TTP). Med hjälp av MITRE Adversary Tactics Techniques and Common Knowledge (ATT&CK®)-ramverket gör strukturerad jakt det möjligt för hotjägare att identifiera en illvillig aktör innan de kan skada nätverket.
  • Ostrukturerad: Baserat på en trigger eller en indikator på kompromettering (IoC) använder hotjägare ostrukturerad jakt för att söka efter alla märkbara mönster i nätverket både före och efter att en trigger eller IoC hittades.
  • Situationsbaserad eller baserad på underrättelser om hot: Hypoteser härleds från situationella omständigheter, t.ex. sårbarheter som upptäckts under en riskbedömning av nätverket. Med den senaste hotinformationen kan hotjägare hänvisa till interna eller crowdsourcade data om cyberattacktrender eller angriparnas TTP:er när de analyserar sitt nätverk.

I alla dessa tre typer av utredningar söker hotjägare igenom händelser efter avvikelser, svagheter eller misstänkt aktivitet utanför förväntade eller auktoriserade händelser. Om säkerhetsluckor eller ovanlig aktivitet upptäcks kan hothanterarna åtgärda nätverket innan en cyberattack inträffar eller upprepas.

De fyra stegen i jakten på cyberhot

För att effektivt starta ett program för att jaga cyberhot finns det fyra steg som din säkerhetspersonal bör följa:

  • Utveckla en hypotes: Hotjägare bör utveckla en hypotes baserat på risker eller sårbarheter som kan finnas inom organisationens infrastruktur, aktuell hotinformation eller angriparnas TTP:er, eller från misstänkt aktivitet eller en utlösande faktor som avviker från standardaktivitet. De kan också använda sin kunskap, erfarenhet och kreativa problemlösningsförmåga för att upprätta en hothypotes och besluta om en väg framåt för att testa den.
  • Påbörja utredningen: Under en utredning kan en hotjägare luta sig mot komplexa och historiska datamängder som härrör från hotjaktlösningar som SIEM, MDR och User Entity Behavior Analytics. Utredningen fortsätter tills hypotesen bekräftas och avvikelser upptäcks, eller tills hypotesen visar sig vara godartad.
  • Upptäck nya mönster: När avvikelser eller skadlig aktivitet upptäcks är nästa steg att vidta snabba och effektiva åtgärder. Det kan handla om att inaktivera användare, blockera IP-adresser, implementera säkerhetsuppdateringar, ändra nätverkskonfigurationer, uppdatera behörigheter eller införa nya identifieringskrav. När säkerhetsteamen arbetar med att lösa nätverkshot på ett proaktivt sätt kommer de att lära sig hotaktörernas TTP:er och hur de kan minska dessa hot i framtiden.
  • Svara, berika och automatisera: Arbetet med hotjakt tar aldrig slut, eftersom cyberbrottslingar hela tiden utvecklas och skapar nya nätverkshot. Jakten på cyberhot bör bli en del av vardagen inom organisationen och fungera parallellt med automatiserade tekniker för hotdetektering och säkerhetsteamets nuvarande processer för identifiering och åtgärdande av hot.

Vilka är de största utmaningarna med att jaga cyberhot?

Eftersom cyberhot hunting innebär ett proaktivt, praktiskt tillvägagångssätt för att upptäcka och åtgärda hot står vissa organisationer inför betydande utmaningar när de implementerar denna säkerhetspraxis. För att ett program för jakt på cyberhot ska bli framgångsrikt måste en organisation ha tre nyckelkomponenter som arbetar i harmoni:

  • Experter på att jaga hot: Det mänskliga kapitalet i samband med jakt på cyberhot är utan tvekan den mest kritiska komponenten. Hotjägarna måste vara experter på hotbilden och snabbt kunna identifiera varningssignalerna för sofistikerade attacker.
  • Omfattande data: För att kunna söka efter hot på rätt sätt måste jägarna ha tillgång till en mängd data (både aktuella och historiska data) som ger insyn i en hel infrastruktur. Utan dessa aggregerade data kommer hotjägarna inte att kunna skapa välgrundade hothypoteser baserat på dina endpoints, nätverk eller molninfrastruktur.
  • Uppdaterad hotinformation: Hotjägare måste vara utrustade med den mest aktuella hotinformationen, så att de kan jämföra aktuella cyberattacktrender med interna data. Utan att veta vilka nya eller trendiga hot som finns har hotjägarna inte den information som krävs för att analysera potentiella nätverkshot korrekt.

Att distribuera alla dessa tre komponenter och se till att de fungerar sömlöst tillsammans kräver många organisatoriska resurser. Tyvärr har vissa säkerhetsteam inte tillgång till rätt verktyg, personal eller information för att etablera ett fullskaligt program för att jaga cyberhot.

Upptäck hanterad jakt på cyberhot med OpenText Cybersecurity

För att lyckas med att skydda organisationens infrastruktur krävs ett proaktivt tillvägagångssätt snarare än ett reaktivt. Tiden är förbi då automatiserad teknik för att upptäcka hot räcker för att skydda konfidentiella data eller information. Istället måste dina säkerhetsteam implementera ett pågående program för att jaga cyberhot som gör det möjligt för dem att skapa välgrundade hypoteser och hitta avvikelser, risker eller misstänkt aktivitet i nätverket innan en extern angripare eller ett insiderhot kan orsaka skada.

Letar du efter en managed service för att leverera cyberhotjakt utan att behöva investera i programvara och resurser? OpenText™ Security Services tillhandahåller punktvisa hotjakter och prenumerationsbaserade tjänster för att utföra situationsbaserade, ostrukturerade och strukturerade hot och identifiera anomalier, svagheter och misstänkta aktiviteter. I kombination med vår expertis inom risk och efterlevnad, digital kriminalteknik och incidenthantering litar våra kunder på OpenText för att förbättra sin cyberresiliens.

Jakt på cyberhot

Kom igång redan idag.

Begär en demo

Hur kan vi hjälpa till?

Fotnoter