Een toenemend aantal organisaties wenden zich tot Threat Hunting voor het opsporen van bedreigingen en om aanvallersactiviteiten te detecteren die andere beveiligingsmaatregelen omzeilen. Is uw organisatie er klaar voor? Hier zijn vijf overwegingen om te evalueren voordat u Threat Hunting in beveiligingsorganisatie introduceert.
Threat Hunting is het proactief onderzoeken van bedreigingen die mogelijk uw beveiligingscontroles hebben omzeild en nog niet zijn gedetecteerd. Het doel hierbij is om aanvallen eerder te ontdekken en de impact op de organisatie te minimaliseren.
Deze functie kan geheel in eigen beheer worden uitgevoerd of worden opgenomen als onderdeel van een Managed Detection and Response (MDR) service. Niet alle organisaties beschikken echter over de nodige basis om de voordelen van een programma voor het opsporen van bedreigingen op de juiste manier te benutten. Het vereist onder meer een eerlijke inschatting van de security volwassenheid, ambities en beschikbare middelen van een organisatie.
Is jouw organisatie er klaar voor? Hier zijn vijf overwegingen om deze vraag te beantwoorden.
Ten eerste – wat is precies Threat Hunting?
Traditionele detectie van bedreigingen vindt plaats op basis van een actie of activiteit die gedaan wordt door een aanvaller of gebruiker. Hierbij zijn meestal verschillende soorten technologieën betrokken die samen deze acties detecteren en rapporteren aan SOC voor verdere afhandeling en mogelijk ook escalatie. In sommige gevallen slaat het proces het SOC (gedeeltelijk) over en vloeit de melding direct een andere technologie in voor een passende reactie.
Threat hunting daarentegen wordt juist geïnitieerd door threat hunters op basis van hypothesen. We zijn op zoek naar bedreigingen waarvoor nog geen detectiemethodes bekend zijn en bij het bedenken van deze hypotheses gaan we op de stoel van de aanvaller zitten. Een eenvoudige hypothese kan bijvoorbeeld zijn dat een specifiek type malware op een endpoint is geïnstalleerd. Het doel van de hunt is dan om te bewijzen dat deze hypothese waar of onwaar is door te zoeken naar indicatoren die de hypothese ondersteunen.
Het vermogen om zowel relevante hypothesen te ontwikkelen als deze te testen met betrouwbare conclusies is een belangrijk element dat een organisatie in overweging moet nemen bij het beoordelen of ze klaar zijn voor het doen van Threat Hunting, en of het in-house kan worden geleverd of moet worden uitbesteed als onderdeel van een Managed Detection and Response (MDR)-service.
Tot welke data heeft u toegang?
Een impliciete activiteit in een threat Hunting workflow is het zoeken naar indicatoren die de hypothese ondersteunen. Daar waar traditionele detectie van bedreigingen het onderzoeken en de triage is op gegenereerde meldingen, werkt threat hunting op veel complexere en ongestructureerde data. Deze data kan niet verwerkt worden door de gebruikelijke detectie-functies en omvat het handmatig debuggen van logs en onderzoeken van endpoint artifacts.
Uw organisatie moet ervoor zorgen dat de benodigde gegevens worden verzameld, opgeslagen en toegankelijk zijn. Gewoonlijk worden dergelijke gegevens verzameld en opgeslagen in een SIEM-, EDR-oplossing en/of een data lake. Al met al moeten de gegevens snel, nauwkeurig en volledig doorzoekbaar zijn om Threat Hunting mogelijk te maken.
Of het nu gaat om het Threat Hunting in eigen beheer of juist uitbesteed, het is van cruciaal belang dat de threat hunter betrouwbare toegang heeft tot de benodigde gegevens en dat u een plan hebt om deze toegang in de loop van de tijd te waarborgen.
Gebruik wat je hebt – minimaliseer detectie-overlap
Threat hunters gebruiken een breed scala aan tools, systemen, interfaces en scripts om hun hunts te operationaliseren. De benodigde gereedschapskist is breed en varieert afhankelijk van de hypothese van een hunt en de opgedane bevindingen. De benodigde tools zijn echter niet altijd uniek voor threat hunters en hebben zeker overlap met andere beveiligingsfuncties.
Het gebruik van bestaande tools helpt niet alleen om bestaande investeringen te maximaliseren, maar vermindert ook de operationele complexiteit. Het is echter belangrijk om uw detectie-overlap tot een minimum te beperken. Uw hunts zijn erop gericht om te ontdekken wat niet is opgepikt door uw andere beveiligingscontroles. Als u begrijpt wat uw detectiemogelijkheden zijn, verhoogt u de efficiëntie en focus van uw threat hunting activiteiten door te weten waar de dekkingsgraad laag is binnen uw organisatie.
Een aanbeveling voor een startpunt is om te kijken wat er al aanwezig is binnen het Security Operations Center (SOC) en de administratieve oplossingen die worden beheerd door de IT-afdeling. Vanuit kunt u zien welke technologieën eventueel nodig zijn om efficiënt aan threat hunting te kunnen doen.
Investeer in mensen
Een veelvoorkomende valkuil is het over het hoofd zien van huidige en toekomstige personeelsbehoeften. Heeft de organisatie de nodige mensen? Zo niet, kunnen deze dan betrouwbaar worden geworven? En zijn ze te behouden?
Het is belangrijk om de beschikbare middelen te beoordelen om een realistisch beeld te krijgen van wat mogelijk is en om de continuïteit van het algehele threat hunting programma te waarborgen. Minstens zo belangrijk is de vraag: “heeft uw team de nodige vaardigheden om te hunten?”
Threat hunters zijn doorgaans meer ervaren, bezitten een bredere skill-set en hebben een dieper inzicht in het gedrag van endpoints en het threat landscape. Een dienstverlener kan helpen met extra middelen of specifieke vaardigheden die anders een te hoge investering voor uw organisatie zouden zijn.
Wat te doen met uw Threat Intelligence?
Om succesvol aan threat hunting te doen vereist ook een proces voor het verzamelen, vastleggen, analyseren en verspreiden van informatie over cyberdreigingen. Het vermogen om Threat Intelligence te operationaliseren is van cruciaal belang voor het uitvoeren van hunts die snel, relevant, en betrouwbaar zijn.
Een goed beginpunt is om vast te stellen welke informatie over Threat Intelligence wordt verzameld en welke resultaten worden geproduceerd hieruit. Dit helpt u potentiële synergieën met uw programma voor het opsporen van bedreigingen te begrijpen en eventuele hiaten te identificeren. Een Threat Intelligence Platform (TIP) kan hierbij behulpzaam zijn, maar vereist intelligence-analisten om het op uw organisatie af te stemmen.
Om een deel van de organisatorische belasting te verminderen, wordt een Threat Intelligence Platform vaak uitbesteed aan een Cyber Security provider.
Vergeet de rest van de organisatie niet
Elke organisatie is anders in de manier waarop hun beveiligingsorganisatie en -controles zijn gestructureerd. Inzicht in de relatie tussen uw verschillende beveiligingsmaatregelen, hun zwakke punten en hoe ze de primaire zakelijke functies van uw organisatie ondersteunen, is belangrijk om een efficiënt programma voor het opsporen van bedreigingen op te zetten.
Onthoud dat het opsporen van bedreigingen geen geïsoleerde functie is, maar een “dienstverlening” met nauwe interactie met andere belanghebbenden – zowel intern als extern. Dit betekent dat de workflow zich uitstrekt tot buiten de kerngroep van threat hunters. De deliverables worden in verschillende capaciteiten binnen de organisatie geconsumeerd. Bedenk wie bij deze workflow betrokken is, wie de deliverables consumeert en hoe dit het meest efficiënt kan.
De beslissing om een threat hunting programma op te zetten is een complexe afweging met veel onderlinge afhankelijkheden en beslissingen die in de loop van de tijd moeten evolueren. Net zoals verschuivingen in technologie en veranderingen in het threat landscape, moet uw threat hunting programma flexibel zijn en ruimte bieden om zich aan te passen aan veranderingen, terwijl de onderliggende structuur, processen en methodologieën behouden blijven.
Het evalueren of uw organisatie er klaar voor is, vereist een eerlijke beoordeling van deze overwegingen. Hier is het mogelijk om uw security service provider in te schakelen om u te helpen bij de beoordeling en om een actieplan te ontwikkelen dat voldoet aan uw zakelijke behoeften, ambities, interne capaciteiten en budget.
Neem contact om met mnemonic om meer te leren over threat hunting, hoe een Managed Detection and Response (MDR) dienst u kan helpen bij de bescherming tegen moderne cyberdreigingen. Neem contact op via contact@mnemonic.io.
Dagelijks op de hoogte gehouden worden van onze Threat Intelligence update, meld je aan via www.mnemonic.io.
