Et populært ordtak i cybersikkerhetsområdet er at gitt nok tid, kan ethvert system bli kompromittert. Skummelt som det høres ut, fremhever uttalelsen den sanne naturen til cybersikkerhet.
Selv de beste sikkerhetstiltakene er ikke idiotsikre. Truslene er i stadig utvikling, og nye angrepsmåter blir formulert. Det er trygt å anta at et angrep på et system er uunngåelig.
Derfor må enhver organisasjon som er opptatt av å beskytte sikkerheten til systemene sine investere i trusselidentifikasjon selv før et angrep skjer. Ved tidlig oppdagelse av trusler kan organisasjoner raskt implementere skadekontrolltiltak for å minimere risikoen og virkningen av angrepet og til og med stoppe angriperne før de implementerer fullverdige angrep.
I tillegg til å stoppe angrep, kan trusseldeteksjon skylle ut ondsinnede aktører som kan stjele data, samle informasjon som skal brukes i fremtidige angrep eller til og med etterlate smutthull som kan utnyttes i fremtiden.
En god måte å oppdage trusler og sårbarheter før de utnyttes av ondsinnede aktører er gjennom trusseljakt.
Innholdsfortegnelse
Trusseljakt
Når et cyberangrep inntreffer, for eksempel et datainnbrudd, malwareangrep eller til og med et tjenestenektangrep, er det ofte et resultat av at cyberangripere har lurt i et system en stund. Dette kan strekke seg over alt fra noen få dager til uker eller måneder.
Jo mer tid angripere bruker uoppdaget i et nettverk, jo mer skade kan de forårsake. Det er derfor nødvendig å luke ut angripere som kan luske i et nettverk uten oppdagelse før de faktisk starter et angrep. Det er her trusseljakten kommer inn.
Trusseljakt er et proaktivt cybersikkerhetstiltak der sikkerhetseksperter gjør et grundig søk i et nettverk for å oppdage og utrydde potensielle trusler eller sårbarheter som kan ha unngått eksisterende sikkerhetstiltak.
I motsetning til passive cybersikkerhetstiltak som automatisk trusseldeteksjon, er trusseljakt en aktiv prosess som involverer et dyptgående søk av nettverksendepunkter og data lagret i et nettverk for å oppdage ondsinnede eller mistenkelige aktiviteter som kan indikere en trussel som lurer i et nettverk.
Trusseljakt går utover å lete etter det som er kjent også for å luke ut nye og ukjente trusler i et nettverk eller trusler som kunne ha unngått et nettverks forsvar og som ennå ikke er utbedret.
Ved å implementere en effektiv trusseljakt kan organisasjoner finne og stoppe ondsinnede aktører før de utfører angrepene sine, og dermed redusere skaden og sikre systemene deres.
Hvordan trusseljakt fungerer
For å være både vellykket og effektiv, er trusseljakten i stor grad avhengig av intuisjonen, strategisk, etisk, kritisk tenkning og problemløsningsferdigheter som eksperter på nettsikkerhet besitter. Disse unike menneskelige ferdighetene utfyller det som kan gjøres gjennom automatiserte sikkerhetssystemer.
For å gjennomføre en trusseljakt begynner sikkerhetseksperter med å definere og forstå omfanget av nettverk og systemer der de skal utføre trusseljakten. Alle relevante data, som loggfiler og trafikkdata, blir deretter samlet inn og analysert.
Interne sikkerhetseksperter er avgjørende i disse innledende trinnene, da de vanligvis har en klar forståelse av nettverkene og systemene på plass.
De innsamlede sikkerhetsdataene analyseres ved hjelp av ulike teknikker for å identifisere uregelmessigheter, skjult skadelig programvare eller angripere, mistenkelig eller risikabel aktivitet og trusler som sikkerhetssystemer kan ha flagget som løst, men som faktisk ikke ble løst.
I tilfelle det oppdages en trussel, blir den undersøkt og utbedret for å forhindre utnyttelse av ondsinnede aktører. I tilfelle ondsinnede aktører blir oppdaget, blir de fjernet fra systemet, og det iverksettes tiltak for å sikre ytterligere og hindre et kompromiss på systemet.
Trusseljakt gir organisasjoner en mulighet til å lære om deres sikkerhetstiltak og forbedre systemene deres for å bedre sikre dem og forhindre fremtidige angrep.
Viktigheten av trusseljakt
Noen av fordelene med trusseljakt inkluderer:
Reduser skadene ved et fullverdig cyberangrep
Trusseljakt har fordelen av å oppdage og stoppe cyberangripere som har brutt et system før de kan samle nok sensitive data til å utføre et mer dødelig angrep.
Å stoppe angripere rett i sporet reduserer skadene som ville blitt pådratt på grunn av et datainnbrudd. Med trusseljaktens proaktive natur kan organisasjoner reagere på angrep mye raskere og dermed redusere risikoen og virkningen av cyberangrep.
Reduser falske positiver
Når du bruker automatiserte cybersikkerhetsverktøy, som er konfigurert til å oppdage og identifisere trusler ved hjelp av et sett med regler, oppstår det tilfeller der de varsler der det ikke er noen reelle trusler. Dette kan føre til at det settes inn mottiltak mot trusler som ikke eksisterer.
Trusseljakt som er menneskedrevet, eliminerer falske positiver ettersom sikkerhetseksperter kan utføre grundige analyser og foreta ekspertvurderinger om den sanne naturen til en oppfattet trussel. Dette eliminerer falske positiver.
Hjelp sikkerhetseksperter med å forstå et selskaps systemer
En utfordring som oppstår etter installasjon av sikkerhetssystemer er å verifisere om de er effektive eller ikke. Trusseljakt kan svare på dette spørsmålet ettersom sikkerhetseksperter utfører dyptgående undersøkelser og analyser for å oppdage og eliminere trusler som kan ha unnsluppet de installerte sikkerhetstiltakene.
Dette har også fordelen av å la interne sikkerhetseksperter få en bedre forståelse av systemene på plass, hvordan de fungerer og hvordan de bedre kan sikre dem.
Holder sikkerhetsteamene oppdatert
Å gjennomføre en trusseljakt innebærer å bruke den nyeste tilgjengelige teknologien for å oppdage og redusere trusler og sårbarheter før de utnyttes.
Dette er fordelaktig å holde en organisasjons sikkerhetsteam oppdatert med trussellandskapet og aktivt engasjere dem i å oppdage ukjente sårbarheter som kan utnyttes.
En slik proaktiv aktivitet resulterer i bedre forberedte sikkerhetsteam som blir informert om nye og nye trusler, og forhindrer dermed at de blir overrasket av angripere.
Forkorter etterforskningstiden
Regelmessig trusseljakt skaper en kunnskapsbank som kan utnyttes for å fremskynde prosessen med å etterforske et angrep i tilfelle det inntreffer.
Trusseljakt innebærer fordypning og analyse av systemer og sårbarheter som er oppdaget. Dette resulterer igjen i en oppbygging av kunnskap om et system og dets sikkerhet.
Derfor, i tilfelle et angrep, kan en etterforskning utnytte innsamlede data fra tidligere trusseljakter for å gjøre etterforskningsprosessen mye raskere, slik at en organisasjon kan svare på et angrep bedre og raskere.
Organisasjoner kan ha stor nytte av å drive regelmessige trusseljakter.
Trusseljakt vs. Trusselintelligens
Selv om det er relatert og ofte brukt sammen for å forbedre cybersikkerheten til en organisasjon, er trusselintelligens og trusseljakt distinkte begreper.
Trusselintelligens innebærer å samle inn og analysere data om nye og eksisterende cybertrusler for å forstå taktikken, teknikkene, prosedyrene, motivene, målene og atferden til trusselaktørene bak cybertruslene og -angrepene.
Denne informasjonen deles deretter med organisasjoner for å hjelpe dem med å oppdage, forhindre og redusere cyberangrep.
På den annen side er trusseljakt en proaktiv prosess for å søke etter potensielle trusler og sårbarheter som kan eksistere i et system for å adressere dem før de utnyttes av trusselaktører. Denne prosessen ledes av sikkerhetseksperter. Trusseletterretningsinformasjonen brukes av sikkerhetseksperter som gjennomfører en trusseljakt.
Typer trusseljakt
Det er tre hovedtyper trusseljakt. Dette inkluderer:
#1. Strukturert jakt
Dette er en trusseljakt basert på en indikator for angrep (IoA). En indikator på angrep er et bevis på at et system for øyeblikket blir aksessert av uautoriserte aktører. IoA oppstår før et datainnbrudd.
Derfor er strukturert jakt på linje med taktikken, teknikkene og prosedyrene (TTP-er) som brukes av en angriper med sikte på å identifisere angriperen, hva de prøver å oppnå, og svare før de gjør skade.
#2. Ustrukturert jakt
Dette er en type trusseljakt basert på en kompromissindikator (IoC). En indikator på kompromiss er bevis på at et sikkerhetsbrudd oppsto og et system ble åpnet av uautoriserte aktører tidligere. I denne typen trusseljakt ser sikkerhetseksperter etter mønstre i et nettverk før og etter at en indikator på kompromiss er identifisert.
#3. Situasjons- eller enhetsdrevet
Dette er trusseljakter basert på en organisasjons interne risikovurdering av systemene og sårbarhetene de fant. Sikkerhetseksperter bruker eksternt tilgjengelige og nyeste angrepsdata for å se etter lignende angrepsmønstre og atferd i et system.
Nøkkelelementer ved trusseljakt
En effektiv trusseljakt involverer dybdeinnsamling og analyse av data for å identifisere mistenkelig atferd og mønstre som kan indikere potensielle trusler i et system.
Når slike aktiviteter er oppdaget i et system, må de undersøkes fullstendig og forstås gjennom bruk av avanserte sikkerhetsundersøkelsesverktøy.
Etterforskningen bør da gi handlingsrettede strategier som kan implementeres for å løse sårbarhetene som er funnet og formidle truslene før de kan utnyttes av angripere.
En siste nøkkelkomponent i prosessen er å rapportere funnene fra trusseljakten og gi anbefalinger som kan implementeres for å sikre en organisasjons systemer bedre.
Trinn i Trusseljakt
Bildekilde: Microsoft
En effektiv trusseljakt innebærer følgende trinn:
#1. Å formulere en hypotese
Trusseljakt har som mål å avdekke ukjente trusler eller sårbarheter som kan utnyttes av angrep. Siden trusseljakt tar sikte på å finne det ukjente, er det første trinnet å formulere en hypotese basert på sikkerhetsstatusen og kunnskapen om sårbarheter i en organisasjons system.
Denne hypotesen gir trusseljakt en peiling og et grunnlag som strategier for hele øvelsen kan legges på.
#2. Datainnsamling og analyse
Når en hypotese er formulert, er neste trinn å samle data og trusselintelligens fra nettverkslogger, trusseletterretningsrapporter til historiske angrepsdata, med sikte på å bevise eller avvise hypotesen. Spesialiserte verktøy kan brukes til datainnsamling og analyse.
#3. Identifiser utløsere
Triggere er mistenkelige saker som krever ytterligere og grundig etterforskning. Informasjon hentet fra datainnsamling og analyse kan bevise den opprinnelige hypotesen, for eksempel eksistensen av uautoriserte aktører i et nettverk.
Under analysen av innsamlede data kan mistenkelig atferd i et system bli avdekket. Disse mistenkelige aktivitetene er triggere som må undersøkes nærmere.
#4. Etterforskning
Når triggere har blitt avdekket i et system, blir de undersøkt for å forstå den fulle arten av risikoen for hånden, hvordan hendelsen kan ha skjedd, motivet til angriperne og den potensielle virkningen av angrepet. Resultatet av dette undersøkelsesstadiet informerer om tiltakene som vil bli satt i verk for å løse de avdekkede risikoene.
#5. Vedtak
Når en trussel er fullstendig undersøkt og forstått, implementeres strategier for å løse risikoen, forhindre fremtidige angrep og forbedre sikkerheten til de eksisterende systemene for å adressere de nylig avdekkede sårbarhetene eller teknikkene som kan utnyttes av angripere.
Når alle trinnene er fullført, gjentas øvelsen for å se etter flere sårbarheter og bedre sikre systemene.
Utfordringer i Trusseljakt
Noen av de største utfordringene som oppstår i en trusseljakt inkluderer:
Mangel på kvalifisert personell
Trusseljakt er en menneskedrevet sikkerhetsaktivitet, og effektiviteten er derfor sterkt knyttet til ferdighetene og erfaringen til trusseljegerne som utfører aktiviteten.
Med mer erfaring og ferdigheter kan trusseljegere være i stand til å identifisere sårbarheter eller trusler som slipper tradisjonelle sikkerhetssystemer eller annet sikkerhetspersonell. Det er både kostbart og utfordrende for organisasjoner å skaffe og beholde eksperttrusseljegere.
Vanskeligheter med å identifisere ukjente trusler
Trusseljakt er svært vanskelig å drive fordi det krever identifisering av trusler som har unngått tradisjonelle sikkerhetssystemer. Derfor har disse truslene ingen kjente signaturer eller mønstre for enkel identifikasjon, noe som gjør det hele veldig vanskelig.
Innsamling av omfattende data
Trusseljakt er sterkt avhengig av å samle inn store mengder data om systemer og trusler for å veilede hypotesetesting og undersøkelse av triggere.
Denne datainnsamlingen kan vise seg å være utfordrende siden den kan kreve avanserte tredjepartsverktøy, og det er også en risiko for at øvelsen ikke er i samsvar med personvernforskriftene. I tillegg vil eksperter måtte jobbe med store mengder data som kan være utfordrende å gjøre.
Å være oppdatert med trusseletterretning
For at en trusseljakt skal være både vellykket og effektiv, må ekspertene som utfører øvelsen ha oppdatert trusselintelligens og kunnskap om taktikken, teknikkene og prosedyrene som brukes av angripere.
Uten tilgang til informasjon om den siste taktikken, teknikkene og prosedyrene som brukes av angrep, kan hele trusseljaktprosessen bli hindret og gjort ineffektiv.
Konklusjon
Trusseljakt er en proaktiv prosess som organisasjoner bør vurdere å implementere for å sikre systemene sine bedre.
Siden angripere jobber døgnet rundt for å finne måter å utnytte sårbarheter i et system på, er det fordelaktig for organisasjoner å være proaktive og jakte på sårbarheter og nye trusler før angripere finner dem og utnytter dem til skade for organisasjoner.
Du kan også utforske noen gratis rettsmedisinske etterforskningsverktøy for IT-sikkerhetseksperter.