Ett populärt talesätt inom cybersäkerhetsområdet är att givet tillräckligt med tid kan vilket system som helst äventyras. Hur läskigt det än låter, belyser uttalandet den sanna naturen av cybersäkerhet.
Inte ens de bästa säkerhetsåtgärderna är idiotsäkra. Hoten utvecklas ständigt och nya sätt att attackera formuleras. Det är säkert att anta att en attack på ett system är oundviklig.
Därför måste alla organisationer som är intresserade av att skydda säkerheten för sina system investera i hotidentifiering redan innan en attack inträffar. Genom att tidigt upptäcka hot kan organisationer snabbt implementera skadekontrollåtgärder för att minimera risken och effekterna av attacken och till och med stoppa angriparna innan de sätter igång fullskaliga attacker.
Förutom att stoppa attacker kan hotdetektering spola ut illvilliga aktörer som kan stjäla data, samla in information som ska användas i framtida attacker eller till och med lämna kryphål som kan utnyttjas i framtiden.
Ett bra sätt att upptäcka hot och sårbarheter innan de utnyttjas av illvilliga aktörer är genom hotjakt.
Innehållsförteckning
Hot Jakt
Närhelst en cyberattack inträffar, till exempel ett dataintrång, skadlig programvara eller till och med en överbelastningsattack, är det ofta resultatet av cyberangripare som lurar i ett system under en tid. Detta kan sträcka sig över allt från några dagar till veckor eller till och med månader.
Ju mer tid angripare spenderar oupptäckt i ett nätverk, desto mer skada kan de orsaka. Det är därför nödvändigt att sålla bort angripare som kan lurar i ett nätverk utan upptäckt innan de faktiskt inleder en attack. Det är här hotjakten kommer in.
Hotjakt är en proaktiv cybersäkerhetsåtgärd där säkerhetsexperter gör en grundlig sökning i ett nätverk för att upptäcka och utrota potentiella hot eller sårbarheter som kan ha undvikit befintliga säkerhetsåtgärder.
Till skillnad från passiva cybersäkerhetsåtgärder som automatisk hotdetektering är hotjakt en aktiv process som involverar en djupgående sökning av nätverksändpunkter och data lagrade i ett nätverk för att upptäcka skadliga eller misstänkta aktiviteter som kan indikera ett hot som lurar i ett nätverk.
Hotjakt går utöver att leta efter vad som är känt också för att sålla bort nya och okända hot i ett nätverk eller hot som kunde ha undgått ett nätverks försvar och som ännu inte har åtgärdats.
Genom att implementera en effektiv hotjakt kan organisationer hitta och stoppa illvilliga aktörer innan de utför sina attacker, och på så sätt minska skadorna och säkra deras system.
Hur hotjakt fungerar
För att vara både framgångsrik och effektiv förlitar sig hotjakt till stor del på den intuition, strategiska, etiska, kritiska tänkande och problemlösningsförmåga som cybersäkerhetsexperter besitter. Dessa unika mänskliga färdigheter kompletterar vad som kan göras genom automatiserade säkerhetssystem.
För att genomföra en hotjakt börjar säkerhetsexperter med att definiera och förstå omfattningen av nätverk och system där de ska utföra hotjakten. All relevant data, såsom loggfiler och trafikdata, samlas sedan in och analyseras.
Interna säkerhetsexperter är avgörande i dessa inledande steg eftersom de vanligtvis har en klar förståelse för nätverken och systemen på plats.
Den insamlade säkerhetsdatan analyseras med hjälp av olika tekniker för att identifiera anomalier, dolda skadliga program eller angripare, misstänkta eller riskfyllda aktiviteter och hot som säkerhetssystem kan ha flaggat som lösta men som faktiskt inte lösts.
I händelse av att ett hot upptäcks utreds och åtgärdas det för att förhindra utnyttjande av illvilliga aktörer. Om illvilliga aktörer upptäcks rensas de ur systemet och åtgärder vidtas för att säkra ytterligare och förhindra en kompromiss med systemet.
Hotjakt ger organisationer en möjlighet att lära sig om sina säkerhetsåtgärder och förbättra sina system för att bättre säkra dem och förhindra framtida attacker.
Betydelsen av hotjakt
Några av fördelarna med hotjakt inkluderar:
Minska skadorna av en fullskalig cyberattack
Hotjakt har fördelen av att upptäcka och stoppa cyberangripare som har brutit mot ett system innan de kan samla in tillräckligt med känslig data för att utföra en mer dödlig attack.
Att stoppa angripare direkt i deras spår minskar skadorna som skulle ha uppstått på grund av ett dataintrång. Med hotjaktens proaktiva karaktär kan organisationer reagera på attacker mycket snabbare och därmed minska risken och effekten av cyberattacker.
Minska falska positiva
När man använder automatiserade cybersäkerhetsverktyg, som är konfigurerade för att upptäcka och identifiera hot med hjälp av en uppsättning regler, uppstår fall där de larmar där det inte finns några verkliga hot. Detta kan leda till att motåtgärder sätts in mot hot som inte existerar.
Hotjakt som är människodriven eliminerar falska positiva resultat eftersom säkerhetsexperter kan göra djupgående analyser och göra expertbedömningar om den sanna naturen hos ett upplevt hot. Detta eliminerar falska positiva resultat.
Hjälp säkerhetsexperter att förstå ett företags system
En utmaning som uppstår efter installation av säkerhetssystem är att verifiera om de är effektiva eller inte. Hotjakt kan svara på denna fråga eftersom säkerhetsexperter genomför djupgående undersökningar och analyser för att upptäcka och eliminera hot som kan ha undgått de installerade säkerhetsåtgärderna.
Detta har också fördelen av att interna säkerhetsexperter kan få en bättre förståelse av systemen på plats, hur de fungerar och hur de bättre kan säkra dem.
Håller säkerhetsteamen uppdaterade
Att genomföra en hotjakt innebär att använda den senaste tillgängliga tekniken för att upptäcka och mildra hot och sårbarheter innan de utnyttjas.
Detta gynnar att hålla en organisations säkerhetsteam uppdaterade med hotbilden och aktivt engagera dem i att upptäcka okända sårbarheter som kan utnyttjas.
En sådan proaktiv aktivitet resulterar i bättre förberedda säkerhetsteam som informeras om nya och framväxande hot, vilket förhindrar dem från att bli överraskade av angripare.
Förkortar utredningstiden
Regelbunden hotjakt skapar en kunskapsbank som kan utnyttjas för att påskynda processen att utreda en attack i händelse av att den inträffar.
Hotjakt innebär fördjupning och analys av system och sårbarheter som har upptäckts. Detta resulterar i sin tur i en kunskapsuppbyggnad om ett system och dess säkerhet.
Därför, i händelse av en attack, kan en utredning utnyttja insamlad data från tidigare hotjakter för att göra utredningsprocessen mycket snabbare, vilket gör att en organisation kan svara på en attack bättre och snabbare.
Organisationer kommer att dra enorm nytta av att göra regelbundna hotjakter.
Hotjakt vs. hotintelligens
Även om det är relaterade och ofta används tillsammans för att förbättra cybersäkerheten i en organisation, är hotintelligens och hotjakt distinkta begrepp.
Hotintelligens innebär att samla in och analysera data om framväxande och befintliga cyberhot för att förstå taktiken, teknikerna, procedurerna, motiven, målen och beteendena hos hotaktörerna bakom cyberhoten och cyberattackerna.
Denna information delas sedan med organisationer för att hjälpa dem att upptäcka, förebygga och mildra cyberattacker.
Å andra sidan är hotjakt en proaktiv process för att söka efter potentiella hot och sårbarheter som kan finnas i ett system för att ta itu med dem innan de utnyttjas av hotaktörer. Denna process leds av säkerhetsexperter. Hotunderrättelseinformationen används av säkerhetsexperter som genomför en hotjakt.
Typer av hotjakt
Det finns tre huvudtyper av hotjakt. Detta inkluderar:
#1. Strukturerad jakt
Detta är en hotjakt baserad på en indikator på attack (IoA). En indikator på attack är ett bevis på att ett system för närvarande nås av obehöriga aktörer. IoA inträffar före ett dataintrång.
Därför är strukturerad jakt anpassad till taktiken, teknikerna och procedurerna (TTP) som används av en angripare i syfte att identifiera angriparen, vad de försöker uppnå och svara innan de gör någon skada.
#2. Ostrukturerad jakt
Detta är en typ av hotjakt som görs baserat på en kompromissindikator (IoC). En indikator på kompromiss är bevis på att ett säkerhetsintrång inträffade och att ett system hade åtkomst till av obehöriga aktörer tidigare. I denna typ av hotjakt letar säkerhetsexperter efter mönster i ett nätverk före och efter att en indikator på kompromiss identifieras.
#3. Situations- eller enhetsdriven
Dessa är hotjakter baserade på en organisations interna riskbedömning av dess system och de sårbarheter de hittat. Säkerhetsexperter använder externt tillgängliga och senaste attackdata för att leta efter liknande attackmönster och beteenden i ett system.
Nyckelelement i hotjakt
En effektiv hotjakt innebär djupgående datainsamling och analys för att identifiera misstänkta beteenden och mönster som kan indikera potentiella hot i ett system.
När sådana aktiviteter väl upptäcks i ett system måste de undersökas och förstås till fullo med hjälp av avancerade säkerhetsutredningsverktyg.
Undersökningen bör sedan ge handlingsbara strategier som kan implementeras för att lösa de upptäckta sårbarheterna och förmedla hoten innan de kan utnyttjas av angripare.
En sista nyckelkomponent i processen är att rapportera resultaten av hotjakten och ge rekommendationer som kan implementeras för att säkra en organisations system bättre.
Steg i hotjakt
Bildkälla: Microsoft
En effektiv hotjakt innebär följande steg:
#1. Att formulera en hypotes
Hotjakt syftar till att avslöja okända hot eller sårbarheter som kan utnyttjas av attacker. Eftersom hotjakt syftar till att hitta det okända är det första steget att formulera en hypotes baserad på säkerhetsställningen och kunskapen om sårbarheter i en organisations system.
Denna hypotes ger hotjakt en bäring och en grund på vilken strategier för hela övningen kan läggas.
#2. Datainsamling och analys
När en hypotes väl har formulerats är nästa steg att samla in data och hotintelligens från nätverksloggar, hotintelligensrapporter till historisk attackdata, i syfte att bevisa eller ogilla hypotesen. Specialiserade verktyg kan användas för datainsamling och analys.
#3. Identifiera triggers
Triggers är misstänkta fall som motiverar ytterligare och djupgående utredning. Information från datainsamling och analys kan bevisa den ursprungliga hypotesen, såsom förekomsten av obehöriga aktörer i ett nätverk.
Under analysen av insamlad data kan misstänkta beteenden i ett system avslöjas. Dessa misstänkta aktiviteter är triggers som behöver utredas ytterligare.
#4. Undersökning
När triggers har upptäckts i ett system undersöks de för att förstå den fullständiga karaktären av risken, hur händelsen kan ha inträffat, motivet för angriparna och attackens potentiella inverkan. Resultatet av detta utredningsskede informerar om de åtgärder som kommer att vidtas för att lösa de upptäckta riskerna.
#5. Upplösning
När ett hot har undersökts och förstått till fullo, implementeras strategier för att lösa risken, förhindra framtida attacker och förbättra säkerheten för de befintliga systemen för att åtgärda de nyligen upptäckta sårbarheter eller tekniker som kan utnyttjas av angripare.
När alla steg är klara, övningen och upprepas för att leta efter fler sårbarheter och bättre säkra systemen.
Utmaningar i hotsjakt
Några av de främsta utmaningarna som uppstår i en hotjakt inkluderar:
Brist på kunnig personal
Hotjakt är en människodriven säkerhetsaktivitet, och dess effektivitet är därför starkt kopplad till kompetensen och erfarenheten hos de hotjägare som utför aktiviteten.
Med mer erfarenhet och kompetens kan hotjägare kunna identifiera sårbarheter eller hot som glider traditionella säkerhetssystem eller annan säkerhetspersonal. Att få och behålla experter på hotsjägare är både kostsamt och utmanande för organisationer.
Svårigheter att identifiera okända hot
Hotjakt är mycket svårt att bedriva eftersom det kräver identifiering av hot som har undgått traditionella säkerhetssystem. Därför har dessa hot inga kända signaturer eller mönster för enkel identifiering, vilket gör det hela mycket svårt.
Samla in omfattande data
Hotjakt är starkt beroende av att samla in stora mängder data om system och hot för att styra hypotestestning och undersökning av triggers.
Denna datainsamling kan visa sig vara utmanande eftersom den kan kräva avancerade verktyg från tredje part, och det finns också en risk för att övningen inte är förenlig med datasekretessbestämmelserna. Dessutom kommer experter att behöva arbeta med stora mängder data, vilket kan vara svårt att göra.
Att vara uppdaterad med hotintelligens
För att en hotjakt ska bli både framgångsrik och effektiv måste experterna som genomför övningen ha uppdaterad hotintelligens och kunskap om taktiken, teknikerna och procedurerna som används av angriparna.
Utan tillgång till information om den senaste taktiken, teknikerna och procedurerna som används av attacker kan hela hotjaktsprocessen hindras och göras ineffektiv.
Slutsats
Hotjakt är en proaktiv process som organisationer bör överväga att implementera för att säkra sina system bättre.
Eftersom angripare arbetar dygnet runt för att hitta sätt att utnyttja sårbarheter i ett system, är det fördelaktigt för organisationer att vara proaktiva och jaga sårbarheter och nya hot innan angripare hittar dem och utnyttjar dem till nackdel för organisationer.
Du kan också utforska några gratis kriminaltekniska undersökningsverktyg för IT-säkerhetsexperter.