好色先生TV

Tekniska ?mnen

Vad ?r Cyber Threat Hunting?

Illustration av IT-artiklar med fokus p? en b?rbar dator

?versikt

Cyberhot hunting ?r en fram?tblickande strategi f?r internets?kerhet d?r hotj?gare proaktivt s?ker efter s?kerhetsrisker som d?ljs i en organisations n?tverk. Till skillnad fr?n mer passiva strategier f?r cybers?kerhetsjakt - t.ex. automatiserade hotdetekteringssystem - s?ker cyberhunting aktivt efter tidigare ouppt?ckta, ok?nda eller icke ?tg?rdade hot som kan ha undg?tt n?tverkets automatiserade f?rsvarssystem.

Jakt p? cyberhot

Vad ?r hybrid-IT?

Cyberbrottslingar blir mer sofistikerade ?n n?gonsin, vilket g?r att jakt p? cyberhot ?r en viktig komponent i robusta s?kerhetsstrategier f?r n?tverk, endpoints och dataset. Om en avancerad extern angripare eller ett insiderhot undg?r de f?rsta n?tverksf?rsvarssystemen kan de f?rbli ouppt?ckta i flera m?nader. Under denna tid kan de samla in k?nsliga data, ?ventyra konfidentiell information eller s?kra inloggningsuppgifter som g?r det m?jligt f?r dem att smyga i sidled genom din n?tverksmilj?.

S?kerhetspersonal har inte l?ngre r?d att luta sig tillbaka och v?nta p? att automatiska system f?r att uppt?cka cyberhot ska meddela dem om en f?rest?ende attack. Med cyberhot hunting kan de proaktivt identifiera potentiella s?rbarheter eller hot innan en attack kan orsaka skada.

Hur fungerar jakt p? cyberhot?

Jakt p? cyberhot kombinerar det m?nskliga elementet med en mjukvarul?snings kapacitet att bearbeta stora datam?ngder. M?nskliga hotj?gare - som anv?nder l?sningar och underr?ttelser/data f?r att hitta motst?ndare som kan undvika typiska f?rsvar - lutar sig mot data fr?n komplexa verktyg f?r s?kerhets?vervakning och analys f?r att hj?lpa dem att proaktivt identifiera och neutralisera hot.

M?nsklig intuition, strategiskt och etiskt t?nkande samt kreativ probleml?sning spelar en viktig roll i cyberjaktprocessen. Dessa m?nskliga egenskaper g?r det m?jligt f?r organisationer att implementera hotl?sningar snabbare och mer exakt ?n om man enbart f?rlitar sig p? automatiserade .

Vad kr?vs f?r att b?rja jaga hot?

F?r att cyberhotjakt ska fungera m?ste hotj?garna f?rst uppr?tta en baslinje med f?rv?ntade eller godk?nda h?ndelser f?r att b?ttre kunna identifiera avvikelser. Med hj?lp av denna baslinje och den senaste hotinformationen kan hotj?garna sedan g? igenom s?kerhetsdata och information som samlats in av hotdetekteringstekniker. Dessa tekniker kan inkludera l?sningar f?r hantering av s?kerhetsinformation och h?ndelser (SIEM), hanterad detektering och respons (MDR) eller andra verktyg f?r s?kerhetsanalys.

N?r de har utrustats med data fr?n olika k?llor - t.ex. endpoint-, n?tverks- och molndata - kan hotj?garna s?ka igenom dina system efter potentiella risker, misst?nkta aktiviteter eller triggers som avviker fr?n det normala. Om ett k?nt eller potentiellt hot uppt?cks kan hotj?garna utveckla hypoteser och djupg?ende n?tverksunders?kningar. Under dessa unders?kningar f?rs?ker threat hunters ta reda p? om ett hot ?r skadligt eller godartat, eller om n?tverket ?r tillr?ckligt skyddat mot nya typer av cyberhot.

?r jakt p? cyberhot en del av threat intelligence?

Cyber threat intelligence ?r ett fokus p? analys, insamling och prioritering av data f?r att f?rb?ttra v?r f?rst?else f?r de hot som en verksamhet st?r inf?r.

Threat typer av jaktutredningar

Det finns tre huvudsakliga typer av utredningar f?r hotjakt:

  • Strukturerad: Denna typ av cybers?kerhetsjakt baseras p? en attackindikator samt en angripares taktik, tekniker och procedurer (TTP). Med hj?lp av MITRE Adversary Tactics Techniques and Common Knowledge (ATT&CK?)-ramverket g?r strukturerad jakt det m?jligt f?r hotj?gare att identifiera en illvillig akt?r innan de kan skada n?tverket.
  • Ostrukturerad: Baserat p? en trigger eller en indikator p? kompromettering (IoC) anv?nder hotj?gare ostrukturerad jakt f?r att s?ka efter alla m?rkbara m?nster i n?tverket b?de f?re och efter att en trigger eller IoC hittades.
  • Situationsbaserad eller baserad p? underr?ttelser om hot: Hypoteser h?rleds fr?n situationella omst?ndigheter, t.ex. s?rbarheter som uppt?ckts under en riskbed?mning av n?tverket. Med den senaste hotinformationen kan hotj?gare h?nvisa till interna eller crowdsourcade data om cyberattacktrender eller angriparnas TTP:er n?r de analyserar sitt n?tverk.

I alla dessa tre typer av utredningar s?ker hotj?gare igenom h?ndelser efter avvikelser, svagheter eller misst?nkt aktivitet utanf?r f?rv?ntade eller auktoriserade h?ndelser. Om s?kerhetsluckor eller ovanlig aktivitet uppt?cks kan hothanterarna ?tg?rda n?tverket innan en cyberattack intr?ffar eller upprepas.

De fyra stegen i jakten p? cyberhot

F?r att effektivt starta ett program f?r att jaga cyberhot finns det fyra steg som din s?kerhetspersonal b?r f?lja:

  • Utveckla en hypotes: Threat hunters b?r utveckla en hypotes baserad p? risker eller s?rbarheter som kan finnas inom organisationens infrastruktur, aktuell hotinformation eller angriparens TTP:er, eller fr?n misst?nkt aktivitet eller en utl?sande faktor som avviker fr?n standard baslinjeaktivitet. De kan ocks? anv?nda sin kunskap, erfarenhet och kreativa probleml?sningsf?rm?ga f?r att uppr?tta en hothypotes och besluta om en v?g fram?t f?r att testa den.
  • P?b?rja utredningen: Under en utredning kan en hotj?gare luta sig mot komplexa och historiska datam?ngder som h?rr?r fr?n hotjaktl?sningar som SIEM, MDR och User Entity Behavior Analytics. Utredningen forts?tter tills hypotesen bekr?ftas och avvikelser uppt?cks, eller tills hypotesen visar sig vara godartad.
  • Uppt?ck nya m?nster: N?r avvikelser eller skadlig aktivitet uppt?cks ?r n?sta steg att vidta snabba och effektiva ?tg?rder. Det kan handla om att inaktivera anv?ndare, blockera IP-adresser, implementera s?kerhetsuppdateringar, ?ndra n?tverkskonfigurationer, uppdatera beh?righeter eller inf?ra nya identifieringskrav. N?r s?kerhetsteamen arbetar med att l?sa n?tverkshot p? ett proaktivt s?tt kommer de att l?ra sig hotakt?rernas TTP:er och hur de kan minska dessa hot i framtiden.
  • Svara, berika och automatisera: Arbetet med hotjakt tar aldrig slut, eftersom cyberbrottslingar hela tiden utvecklas och skapar nya n?tverkshot. Jakten p? cyberhot b?r bli en del av vardagen inom organisationen och fungera parallellt med automatiserade tekniker f?r hotdetektering och s?kerhetsteamets nuvarande processer f?r identifiering och ?tg?rdande av hot.

Vilka ?r de st?rsta utmaningarna med att jaga cyberhot?

Eftersom cyberhot hunting inneb?r ett proaktivt, praktiskt tillv?gag?ngss?tt f?r att uppt?cka och ?tg?rda hot st?r vissa organisationer inf?r betydande utmaningar n?r de implementerar denna s?kerhetspraxis. F?r att ett program f?r jakt p? cyberhot ska bli framg?ngsrikt m?ste en organisation ha tre nyckelkomponenter som arbetar i harmoni:

  • Experter p? att jaga hot: Det som ?r involverat i jakten p? cyberhot ?r utan tvekan den mest kritiska komponenten. Threat j?gare m?ste vara experter p? hotbilden och snabbt kunna identifiera varningssignalerna f?r sofistikerade attacker.
  • Omfattande data: F?r att kunna s?ka efter hot p? r?tt s?tt m?ste j?garna ha tillg?ng till en m?ngd data (b?de aktuella och historiska data) som ger insyn i en hel infrastruktur. Utan dessa aggregerade data kommer hotj?garna inte att kunna skapa v?lgrundade hothypoteser baserat p? dina endpoints, n?tverk eller molninfrastruktur.
  • Uppdaterad threat intelligence: Threat hunters m?ste vara utrustade med den mest uppdaterade threat intelligence, s? att de kan j?mf?ra aktuella cyberattacktrender med interna data. Utan att veta vilka nya eller trendiga hot som finns har hotj?garna inte den information som kr?vs f?r att analysera potentiella n?tverkshot korrekt.

Att distribuera alla dessa tre komponenter och se till att de fungerar s?ml?st tillsammans kr?ver m?nga organisatoriska resurser. Tyv?rr har vissa s?kerhetsteam inte tillg?ng till r?tt verktyg, personal eller information f?r att etablera ett fullskaligt program f?r att jaga cyberhot.

Uppt?ck hanterad jakt p? cyberhot med 好色先生TV Cybersecurity

F?r att lyckas med att skydda organisationens infrastruktur kr?vs ett proaktivt tillv?gag?ngss?tt snarare ?n ett reaktivt. Tiden ?r f?rbi d? automatiserad teknik f?r att uppt?cka hot r?cker f?r att skydda konfidentiella data eller information. Ist?llet m?ste dina s?kerhetsteam implementera ett p?g?ende program f?r att jaga cyberhot som g?r det m?jligt f?r dem att skapa v?lgrundade hypoteser och hitta avvikelser, risker eller misst?nkt aktivitet i n?tverket innan en extern angripare eller ett insiderhot kan orsaka skada.

Letar du efter en managed service f?r att leverera cyberhotjakt utan att beh?va investera i programvara och resurser? 好色先生TV? Security Services tillhandah?ller punktvisa hotjakter och prenumerationsbaserade tj?nster f?r att utf?ra situationsbaserade, ostrukturerade och strukturerade hot och identifiera anomalier, svagheter och misst?nkta aktiviteter. I kombination med v?r expertis inom risk och efterlevnad, digital kriminalteknik och incidenthantering litar v?ra kunder p? 好色先生TV f?r att f?rb?ttra sin cyberresiliens.

Jakt p? cyberhot

Kom ig?ng redan idag.

Beg?r en demo

Relaterade produkter

好色先生TV? Cybersecurity Cloud

Smartare, enklare skydd

好色先生TV? ArcSight? Enterprise Security Manager (ESM)

Snabbare uppt?ckt av hot och snabbare svar med realtidsdetektering och inbyggd SOAR

好色先生TV? ArcSight? Intelligence

Proaktivt uppt?cka insiderrisker, nya attacker och avancerade ih?llande hot

F?renkla logghantering och efterlevnad samtidigt som du p?skyndar kriminaltekniska unders?kningar. Jaga och besegra hot med s?kning, visualisering och rapportering i stora datam?ngder

Anv?nda en ?ppen plattform som samlar in och berikar data i realtid f?r organiserad information som kan anv?ndas d?r du beh?ver den

St?rk SOC-teamet med: hotdetektering i realtid; begr?nsning av insiderhot; logghantering, efterlevnad och funktioner f?r hotjakt; s?kerhetsorkestrering, automatisering och respons

Se alla relaterade produkter

Hur kan vi hj?lpa till?

Fotnoter