Threat hunting – en metode for proaktivt sikkerhetsarbeid

Reglene som skapes i  monitoreringssystemet, er generiske for sikkerhetssystemets oppbygninger, uten å avsløre noe om en bestemt kundes data. Med hjelp av denne metoden skapes det også en klar oversikt over hvilke systemer som brukes av hvem i organisasjonen og hvordan man som selskap bør jobbe med systemet. Dette gir mulighet for spesifikk tilpasning og konfigurasjon for hver enkelt kundes system basert på sikkerhet, behov og ønsker. Metoden bygger dermed sterkere beskyttelse for hver threat hunt som utføres.

Hva er fordelen med å bruke threat hunting som en komplementær metode i et proaktivt sikkerhetsarbeid?

Det første trinnet som utføres på threat hunting er å gjennomgå backup av operativsystemloggene så vel som nettverkstrafikk. Jo flere lagrede logger kunden har, slik at man har så mye data å jobbe med som mulig.

Den største fordelen med å bruke threat hunting  som metode er å få kunnskap og oversikt over aktivitetene i virksomhetens kritiske nettverk. Ved å jobbe metodisk med threat hunting får virksomheten større muligheter til å identifisere både risikoer og cybertrusler. Dessuten får virksomheten god oversikt over hva som faktisk har skjedd i nettverkene og ikke minst hva som skjer akkurat nå i sanntid. På denne måten kan man ligge i forkant og ikke minst forberede seg på hva som kan skje i fremtiden.

“Det er en stor fordel å kunne gå tilbake i lagrede logger, da det gir muligheten til å oppdage om noen tidligere har prøvd eller til og med klart å komme seg inn i nettverket. Når vi jobber med threat hunting  i et nettverk, ser vi alltid etter tegn eller oppførsel av uregelmessigheter. Hvis vi ser noe som stikker ut, kan vi sammenligne oppførselen mot Mitre-rammeverket, for å se om oppførselen følger et angrepsmønster som allerede er kjent.”

Hvorfor er proaktiv sikkerhet viktig?

Proaktiv sikkerhet er viktig i flere perspektiver, men fremfor alt hjelper denne tilnærmingen en virksomhet med å etablere en kontinuerlig drift ved å jobbe forebyggende for å håndtere cybertruslene og risiko som eksisterer mot deres kritiske produksjonsnettverk. En stans i deres produksjon kan få svært alvorlige konsekvenser for samfunnet og ikke minst store kostnader for virksomheten i tapt omsetning. Å jobbe proaktivt med sikkerhet, gjør at virksomheten kan ligge ett skritt foran angriperen og dermed redusere risikoen for produksjonsstans.

3 tips for proaktivt sikkerhetsarbeid

Det er aldri noen garanti for at en hendelse ikke vil oppstå, men det er mye en bedrift kan gjøre for å redusere konsekvensene av et mulig cyberangrep. Blant de viktigste tingene er å jobbe proaktivt med kontinuerlig sikkerhetsarbeid og hele tiden prøve å forutse hvilke trusler og risikoer som finnes, og dermed kunne oppdage unormal aktivitet på servere og nettverk. Emil deler tre tips om hvordan en bedrift kan jobbe proaktivt med sikkerhet:

1. Noe av det viktigste en virksomhet kan gjøre er å kontinuerlig trene sine ansatte og gi dem verktøyene som trengs for å unngå menneskelig feil, som for eksempel å klikke på mistenkelige linker i email. Hvis de ansatte er godt forberedt og har den nødvendige kunnskapen, reduseres risikoen for en feil som kan påvirke virksomhetens produksjon.
2. Ta kontinuerlig sikkerhetskopier og backup av loggdata på alle kritiske servere og systemer, slik at disse kan, gjenopprettes ved et eventuelt cyberangrep. I den sammenheng er det vikitig at sikkerhetskopiene holdes oppdatert og ikke minst adskilt fra resten av systemene.
3. Det siste tipset er å implementere sentral monitorering og overvåking av all nettverkstrafikk og sikkerhetsrelavante logger. Begynn med å logge en sentral/kritisk server med mye trafikk som har god dekning i nettverkene, slik at man får tilgang til så mye data som mulig. Dette er et svært kraftig verktøy for å jobbe proaktivt med cybersikkerhet og ikke minst for å identifisere risikoer og trusler i de kritiske systemene. Det vil hjelpe en bedrift til å kunne oppdage mistenkelige aktiviteter i god tid, noe som gir de muligheten til å unngå et cyberangrep og deretter redusere risikoen for å bli utsatt for produksjonsstans.