Proactief je ICT-omgeving beveiligen met een threat hunt

In de wereld van security evolueren de risico’s en dreigingen constant. Om hier goed tegen bestand te zijn vormen threat hunts een belangrijk verdedigingsmiddel. In deze blog leggen we uit wat een threat hunt is, wat de toegevoegde waarde ervan is en hoe de uitvoering van een threat hunt in zijn werk gaat.

Wat is een threat hunt?

Threat hunting is het proactief zoeken naar dreigingen binnen het netwerk, in tegenstelling tot forensisch onderzoek dat zich richt op het opsporen van overblijfsels die mogelijk nog aanwezig zijn in de omgeving na een eerder cyberincident. Met een threat hunt neem je aan dat er een dreiging aanwezig is binnen het netwerk en systeem. Threat hunters zoeken indicators of compromise (IoC), zoals ongebruikelijk gedrag en andere signalen van een mogelijke inbreuk op het systeem. Een threat hunt vereist dus de nodige intuïtie en ervaring van de securityprofessional én goede tooling die kwaadaardige activiteiten kan detecteren die geautomatiseerde systemen mogelijk missen.

Proactief threat hunten

Traditionele beveiligingsmaatregelen, zoals firewalls en endpoint protection, zijn ontworpen om het effect van bekende risico’s te verzachten. Helaas gebruiken grotere criminele cyberbendes en advanced persistent threats (APT’s) – zoals statelijke actoren – nieuwe en onbekende middelen om netwerken te infiltreren. Threat hunting helpt met het opsporen en identificeren van deze nieuwe dreigingen. Hierdoor verlaagt ook de medium time to detect (MTD). Dit is de tijd tussen de eerste infectie van het systeem en de ontdekking van die infectie. Hoe meer tijd hiertussen zit, hoe grote de mogelijke schade aan het systeem. Door constant te monitoren en proactief te zoeken naar infecties en eventuele gaten in de beveiliging verklein je doorlopend je aanvalsoppervlakte en vergroot het volwassenheidsniveau van je cybersecurity. Hiermee voldoe je ook aan de wet- en regelgeving voor informatieveiligheid (compliancy).

Doelstellingen en hypothesen

Stel voordat je begint met threat hunten duidelijk de doelen van je activiteiten vast. Ben je bijvoorbeeld op zoek naar specifieke soorten bedreigingen, zoals ransomware of interne bedreigingen? Het definiëren van je doelstellingen helpt je gerichter te zoeken. Vervolgens verzamel je gegevens uit verschillende bronnen, zoals logbestanden, netwerkverkeer, apparaten en dreigingsinformatiefeeds. Hoe uitgebreider je gegevens, hoe effectiever je threat hunt is. Op basis van je doelstellingen en beschikbare gegevens formuleer je hypotheses over mogelijke bedreigingen. Bijvoorbeeld: vermoed je phishingaanvallen, dan kun je de hypothese stellen dat bepaalde e-mailpatronen indicatief zijn voor zulke aanvallen. Gebruik vervolgens geavanceerde analytische tools en technieken om je gegevens door te spitten en je hypotheses te testen. Let hierbij vooral op afwijkingen, ongebruikelijke patronen en IoC’s.

Analyse en rapportage

Zodra potentiële bedreigingen zijn geïdentificeerd voer je een gedetailleerd onderzoek uit om hun geldigheid te bevestigen. Dit kan betekenen dat je specifieke apparaten onderzoekt, personeel interviewt of aanvullend onderzoek uitvoert. Wordt een bedreiging bevestigd? Onderneem dan onmiddellijk actie om de impact zoveel mogelijk te minimaliseren (mitigeren). Mogelijk moet je getroffen systemen isoleren, kwetsbaarheden patchen of extra beveiligingsmaatregelen implementeren. Documenteer alle bevindingen, genomen acties en lessen die zijn geleerd tijdens het threat hunting-proces. Rapportage helpt bij het verfijnen van toekomstige threat hunts en het delen van inzichten met betrokkenen. Threat hunting is geen eenmalige activiteit. Verfijn continu je strategieën, tools en technieken op basis van evoluerende bedreigingen en feedback van eerdere threat hunts.