Cyberhot hunting är en framåtblickande strategi för internetsäkerhet där hotjägare proaktivt söker efter säkerhetsrisker som döljs i en organisations nätverk. Till skillnad från mer passiva strategier för cybersäkerhetsjakt - t.ex. automatiserade hotdetekteringssystem - söker cyberhunting aktivt efter tidigare oupptäckta, okända eller icke åtgärdade hot som kan ha undgått nätverkets automatiserade försvarssystem.
Cyberbrottslingar blir mer sofistikerade än någonsin, vilket gör att jakt på cyberhot är en viktig komponent i robusta säkerhetsstrategier för nätverk, endpoints och dataset. Om en avancerad extern angripare eller ett insiderhot undgår de första nätverksförsvarssystemen kan de förbli oupptäckta i flera månader. Under denna tid kan de samla in känsliga data, äventyra konfidentiell information eller säkra inloggningsuppgifter som gör det möjligt för dem att smyga i sidled genom din nätverksmiljö.
Säkerhetspersonal har inte längre råd att luta sig tillbaka och vänta på att automatiska system för att upptäcka cyberhot ska meddela dem om en förestående attack. Med cyberhot hunting kan de proaktivt identifiera potentiella sårbarheter eller hot innan en attack kan orsaka skada.
Jakt på cyberhot kombinerar det mänskliga elementet med en mjukvarulösnings kapacitet att bearbeta stora datamängder. Mänskliga hotjägare - som använder lösningar och underrättelser/data för att hitta motståndare som kan undvika typiska försvar - lutar sig mot data från komplexa verktyg för säkerhetsövervakning och analys för att hjälpa dem att proaktivt identifiera och neutralisera hot.
Mänsklig intuition, strategiskt och etiskt tänkande samt kreativ problemlösning spelar en viktig roll i cyberjaktprocessen. Dessa mänskliga egenskaper gör det möjligt för organisationer att implementera hotlösningar snabbare och mer exakt än om man enbart förlitar sig på automatiserade verktyg för att upptäcka hot.
För att cyberhotjakt ska fungera måste hotjägarna först upprätta en baslinje med förväntade eller godkända händelser för att bättre kunna identifiera avvikelser. Med hjälp av denna baslinje och den senaste hotinformationen kan hotjägarna sedan gå igenom säkerhetsdata och information som samlats in av hotdetekteringstekniker. Dessa tekniker kan inkludera lösningar för hantering av säkerhetsinformation och händelser (SIEM), hanterad detektering och respons (MDR) eller andra verktyg för säkerhetsanalys.
När de har utrustats med data från olika källor - t.ex. endpoint-, nätverks- och molndata - kan hotjägarna söka igenom dina system efter potentiella risker, misstänkta aktiviteter eller triggers som avviker från det normala. Om ett känt eller potentiellt hot upptäcks kan hotjägarna utveckla hypoteser och djupgående nätverksundersökningar. Under dessa undersökningar försöker threat hunters ta reda på om ett hot är skadligt eller godartat, eller om nätverket är tillräckligt skyddat mot nya typer av cyberhot.
Är jakt på cyberhot en del av threat intelligence?
Cyber threat intelligence är ett fokus på analys, insamling och prioritering av data för att förbättra vår förståelse för de hot som en verksamhet står inför.
Det finns tre huvudsakliga typer av utredningar för hotjakt:
I alla dessa tre typer av utredningar söker hotjägare igenom händelser efter avvikelser, svagheter eller misstänkt aktivitet utanför förväntade eller auktoriserade händelser. Om säkerhetsluckor eller ovanlig aktivitet upptäcks kan hothanterarna åtgärda nätverket innan en cyberattack inträffar eller upprepas.
För att effektivt starta ett program för att jaga cyberhot finns det fyra steg som din säkerhetspersonal bör följa:
Eftersom cyberhot hunting innebär ett proaktivt, praktiskt tillvägagångssätt för att upptäcka och åtgärda hot står vissa organisationer inför betydande utmaningar när de implementerar denna säkerhetspraxis. För att ett program för jakt på cyberhot ska bli framgångsrikt måste en organisation ha tre nyckelkomponenter som arbetar i harmoni:
Att distribuera alla dessa tre komponenter och se till att de fungerar sömlöst tillsammans kräver många organisatoriska resurser. Tyvärr har vissa säkerhetsteam inte tillgång till rätt verktyg, personal eller information för att etablera ett fullskaligt program för att jaga cyberhot.
För att lyckas med att skydda organisationens infrastruktur krävs ett proaktivt tillvägagångssätt snarare än ett reaktivt. Tiden är förbi då automatiserad teknik för att upptäcka hot räcker för att skydda konfidentiella data eller information. Istället måste dina säkerhetsteam implementera ett pågående program för att jaga cyberhot som gör det möjligt för dem att skapa välgrundade hypoteser och hitta avvikelser, risker eller misstänkt aktivitet i nätverket innan en extern angripare eller ett insiderhot kan orsaka skada.
Letar du efter en managed service för att leverera cyberhotjakt utan att behöva investera i programvara och resurser? OpenText™ Security Services tillhandahåller punktvisa hotjakter och prenumerationsbaserade tjänster för att utföra situationsbaserade, ostrukturerade och strukturerade hot och identifiera anomalier, svagheter och misstänkta aktiviteter. I kombination med vår expertis inom risk och efterlevnad, digital kriminalteknik och incidenthantering litar våra kunder på OpenText för att förbättra sin cyberresiliens.
Smartare, enklare skydd
Snabbare upptäckt av hot och snabbare svar med realtidsdetektering och inbyggd SOAR
Proaktivt upptäcka insiderrisker, nya attacker och avancerade ihållande hot
Förenkla logghantering och efterlevnad samtidigt som du påskyndar kriminaltekniska undersökningar. Jaga och besegra hot med sökning, visualisering och rapportering i stora datamängder
Använda en öppen plattform som samlar in och berikar data i realtid för organiserad information som kan användas där du behöver den
Stärk SOC-teamet med: hotdetektering i realtid; begränsning av insiderhot; logghantering, efterlevnad och funktioner för hotjakt; säkerhetsorkestrering, automatisering och respons