Cyber Threat Hunting är en av de mer nya metoderna att snabbt leta upp avancerade angripare i nätverk och system. Genom att arbeta mer proaktivt efter olika teser kan er organisation identifiera indikatorer på intrång.

Vanligtvis sitter vi och väntar på att säkerhetsprodukter eller sensorer av olika slag ska ge larm på något suspekt. Men tänk om vi istället förutsätter att en angripare redan har fått ett fotfäste och vi ska genom olika verktyg identifiera avvikande mönster.

Läs också: 10 sätt att upptäcka avancerade cyberattacker

Threat Hunting, som den uppsökande verksamheten kallas internationellt, kan genomföras direkt mot servrar, klienter eller på nätverkstrafik. Du eller ditt team arbetar efter olika teser såsom följande exempel:

  • Vilka antivirus-larm har dykt upp senaste året? Undersök sedan varför dessa har dykt upp. Är det usb-minnen eller annat? Vilka kategorier är dessa larm, exploits?
  • Identifiera avvikande processer eller drivrutiner
  • Vilka program har försökt att ansluta till internet
  • Servrar som inte ska ansluta utåt, har dessa ändå försökt att ansluta?
  • Scripts som körts på klienter senaste tre månaderna

Med hjälp av automatisering och DevOps-verktyg så går många av ovan frågor att svara på relativt snabbt medans andra kräver att er it-infrastruktur är förberett med exempelvis passiv nätverksinspelning i PCAP-format. 

Det här är en artikel från Expert Network

Threat Hunting kan således genomföras aktivt eller passivt. Men att vända på nya stenar och titta efter sådant som vanligtvis inte kontrolleras kan ge en helt ny inblick över saker som missas med vanliga säkerhetsmekanismer.

Genom att aktivt söka upp indikatorer på intrång så kan även den tid som en antagonist har fotfäste i erat nätverk förkortas. Glöm inte heller att föda in erfarenheter från uppsökandeverksamheten till den vardagliga loggnings- och säkerhetsövervakningen.

Se det som en investering i cybersäkerhet och en lärorik övning som kan pågå under flertalet dagar varje kvartal inom er organisation.

Fakta

Befattning: Senior IT Security Specialist
Företag: Triop
Linkedin: Jonas Lejon
Twitter: @jonasl
E-post: jonas.expertnetwork@triop.se
Hemsida: www.triop.se, www.kryptera.se
Expertområden: Cybersäkerhet, krypto, granskningar, skadlig kod, cyberkrig, It-angrepp, exfiltrationsattacker, robust It-infrastruktur.
Bakgrund: Har jobbat mer än 10 år på FRA och Försvarsmakten. Driver Sveriges största blogg inom it-säkerhet och kryptering på kryptera.se.