Threat Hunting – en metod för proaktivt säkerhetsarbete

Intervju med Emil Johansson, säkerhetsanalytiker på Sectra Communications.

Genom att arbeta förebyggande och metodiskt kan en verksamhet identifiera risker och hot i ett tidigt skede. Proaktivt säkerhetsarbete är därför en viktig del i att uppnå en balanserad säkerhet över hela verksamheten, och på så sätt minska risken för intrång i kritiska system. Vi har intervjuat Sectras säkerhetsanalytiker Emil Johansson om en av dessa metoder för proaktivt säkerhetsarbete – Threat Hunting.

Vad är Threat Hunting?

Threat Hunting är en metod som används vid proaktivt säkerhetsarbete och som utförs genom att undersöka sparad loggdata utifrån teorin att avvikelser från det normala beteendet har inträffat. Således kan tecken på att någon har försökt ta sig in i en verksamhets kritiska system och nätverk identifieras. Genom att göra så kallade slagningar (genomsökningar) i ett system kan informationen därefter genereras till att skapa detektionsregler för monitoreringssystemet att reagera på i framtiden.

“Tack vare dessa undersökningar utvinner vi information som hjälper till att stärka säkerhetssystemets detektionsförmåga, oavsett om vi hittar en potentiell risk eller indikationer på en cyberattack.”

Tillvägagångssättet med denna metod syftar till att kartlägga riskmässiga eller direkt skadliga beteenden hos en aktör i systemet, och därmed blir det möjligt att tillämpa reglerna på samtliga verksamheter som nyttjar den här typen av proaktivt säkerhetsarbete.

Gör vi en Threat Hunt hos en kund så gynnar det alla kunder.

Emil Johansson, säkerhetsanalytiker

Reglerna som skapas i monitoreringssystemet är generiska för säkerhetssystemets uppbyggnad, utan att avslöja något om en specifik kunds data. Med hjälp av den här metoden skapas även en tydlig översikt av vilka system som används av vem i organisationen och hur man som kund arbetar dagligen. Det medför möjligheten för specifik anpassning och konfigurering för varje enskild kunds system utifrån säkerhet, behov och önskemål. Metoden bygger därmed upp ett starkare skydd för varje Threat Hunt som genomförs.

Vad är fördelen med att använda Threat Hunting som en kompletterande metod i ett proaktivt säkerhetsarbete?

Första steget som genomförs vid Threat Hunting hos en ny kund är att gå genom operativsystemets loggar samt nätverkstrafik, som förhoppningsvis finns sparade. Ju mer sparade loggar som kunden har, desto bättre för att få så mycket data att arbeta med som möjligt.

Den främsta fördelen med att använda sig av Threat Hunting som metod är att få kunskapen och överblicken av aktiviteten i sin verksamhets kritiska nätverk. Genom att arbeta metodiskt med Threat Hunting får verksamheten möjlighet att identifiera risker och hot. Dessutom får verksamheten en bra översikt av vad som har hänt i nätverken samt vad som sker just nu, och på så sätt kan de bättre rusta sig för vad som eventuellt kan ske i framtiden.

”Att gå tillbaka i sparade loggar är en stor fördel, då det ger möjligheten att upptäcka om någon tidigare har försökt eller till och med lyckats komma in i nätverket. När vi arbetar med Threat Hunting i ett nätverk tittar vi alltid efter tecken eller beteenden på avvikelser. Ser vi något utstickande så kan vi jämföra beteendet med ramverket Mitre, för att se om beteendet följer ett attackmönster som är känt sedan tidigare.”

Varför är det viktigt med proaktiv säkerhet?

Proaktiv säkerhet är viktigt ur flera perspektiv, men framför allt hjälper detta tillvägagångssätt en verksamhet att upprätta en kontinuerlig drift genom att arbeta förebyggande med att hantera de hot och risker som finns mot deras kritiska nätverk. Ett stopp i deras kritiska produktion kan ge mycket allvarliga konsekvenser för samhället, samt resultera i stora kostnader för verksamheten. Att arbeta proaktivt med säkerheten gör att verksamheten kan ligga steget före angriparen och minskar därför risken för produktionsstopp.

3 tips för proaktivt säkerhetsarbete

Det finns aldrig någon garanti för att en incident inte uppstår, men det finns en hel del en verksamhet kan göra för att minska konsekvenserna av en eventuell attack. Bland det viktigaste är att arbeta med proaktivt säkerhetsarbete och hela tiden förutse vilka hot och risker som finns, och på det sättet upptäcka onormal aktivitet i nätverken. Emil delar här med sig av tre tips på hur en verksamhet kan arbeta proaktivt med säkerheten:

  1. Något bland det viktigaste en verksamhet bör göra är att utbilda sin personal och ge dem de verktyg som behövs för att undvika mänskliga misstag, som att till exempel klicka på en misstänksam länk. Är personalen väl förberedda och har den kunskap som behövs, så minskas risken för att ett misstag ska påverka en verksamhets produktion.
  2. Gör kontinuerliga backuper, av samtliga kritiska system och även loggdata, som går att återställa. Om det värsta händer och en verksamhet blir utsatt för en attack eller att systemen har blivit låsta av till exempel ransomware, så kan verksamheten bygga upp sina system igen med de backuper som man har sparade. Detta kräver dock att backuperna hålls uppdaterade och är separerade från systemet.
  3. Sista tipset är att implementera central övervakning av nätverkstrafik och säkerhetsrelevanta loggar. Börja med att logga en central server med mycket trafik som har bra täckning i nätverken, för att få tillgång till så mycket data som möjligt. Detta är ett mycket kraftfullt verktyg för att arbeta proaktivt med säkerheten och för att identifiera risker och hot i de kritiska systemen. Detta hjälper en verksamhet att kunna upptäcka misstänksamma aktiviteter i god tid, vilket ger möjligheten att kunna undgå en attack och då minska risken att bli utsatta för produktionsstopp.

Meet us next at