Wat is bedreigingsjacht 2024? [Volledige gids]

Laatst geupdate op: 5 november 2023 by

De jacht op cyberdreigingen is een proactieve methode van internetbeveiliging waarin dreigingsjagers zoeken veiligheidsrisico's Dat kan wel zo zijn verborgen in het netwerk van een bedrijf.

Cyberjacht zoekt actief naar voorheen niet-gedetecteerde, niet-geïdentificeerde of niet-geremedieerde bedreigingen die mogelijk de geautomatiseerde verdedigingsmechanismen van uw netwerk zijn ontgaan, in tegenstelling tot meer passieve jachttechnieken voor cyberbeveiliging, zoals geautomatiseerde systemen voor het detecteren van bedreigingen.

Wat is jacht op bedreigingen

Wat is dreigingsjacht?

Actief zoeken naar cyberdreigingen die onopgemerkt op een netwerk sluipen staat bekend als jacht op bedreiging. De jacht op cyberdreigingen doorzoekt uw omgeving op kwaadwillende actoren die uw initiële beveiligingsmaatregelen voor eindpunten zijn gepasseerd.

Sommige gevaren zijn geavanceerder en geavanceerder, terwijl de meerderheid niet voorbij beveiligingssystemen kan komen. Wekenlang kunnen aanvallers onopgemerkt blijven in het systeem en de bestanden, terwijl ze langzaam via het netwerk oprukken om meer gegevens te verzamelen.

Tijdens deze procedure kunnen weken of zelfs maanden verstrijken. Het kan gemakkelijk detectie door beveiligingstools en personeel ontwijken zonder actief te jagen.

Bedreiging op jacht

Waarom is het opsporen van bedreigingen belangrijk?

Omdat geavanceerde bedreigingen geautomatiseerde cyberbeveiliging kunnen omzeilen, is het opsporen van bedreigingen van cruciaal belang.

U moet zich nog steeds zorgen maken over de resterende 20% van de bedreigingen, zelfs als geautomatiseerde beveiligingstools en tier 1 en 2 beveiligingscentrum (SOC)-analisten moeten overweg kunnen 80% van hen.

Bedreigingen in de resterende 20% zijn eerder complex en kunnen grote schade aanrichten.

Een aanvaller kan heimelijk een netwerk binnendringen en daar maandenlang blijven terwijl ze in stilte informatie verzamelen, naar gevoelige documenten zoeken of inloggegevens krijgen waarmee ze door de omgeving kunnen zwerven.

Veel bedrijven missen de geavanceerde detectievaardigheden die nodig zijn om te voorkomen dat geavanceerde, hardnekkige bedreigingen in het netwerk blijven hangen zodra een tegenstander erin is geslaagd aan detectie te ontsnappen en een aanval de verdediging van een organisatie heeft doorbroken.

Het opsporen van bedreigingen is daarom een ​​cruciaal onderdeel van elke verdedigingsstrategie.

Soorten jacht op bedreigingen

De officiële website van IBM heeft de drie belangrijkste soorten bedreigingsjacht heel toepasselijk uitgelegd. Volgens hun blog is de jacht op bedreigingen van de volgende typen:

1. Gestructureerde jacht

An indicatie van aanval (IoA) en de tactieken, methoden en procedures van de aanvaller (TTP's) dient als de basis van een systematische jacht.

Elke jacht is gepland en gebaseerd op de TTP's van de bedreigingsactoren. Hierdoor herkent de jager vaak een bedreigingsactor voordat de aanvaller de kans krijgt om de omgeving te verstoren. 

2. Ongestructureerd jagen

Een ad-hocjacht wordt gestart op basis van een trigger, een van de vele indicatoren van een compromis (IoC). Deze trigger wordt meestal gebruikt om een ​​jager aan te sporen om te zoeken patronen voor en na detectie.

Voor zover het bewaren van gegevens en eerdere gerelateerde overtredingen dit toelaten, kan de jager een onderzoek uitvoeren om zijn plan vast te stellen.

3. Situationeel of entiteitsgestuurd

Een situationele hypothese kan worden opgesteld door de interne risicobeoordeling van een organisatie of door een onderzoek naar trends en zwakke punten die uniek zijn voor de IT-infrastructuur.

Aanvalsgegevens verzameld van het grote publiek, die, wanneer beoordeeld, de meest recente TTP's van lopende cyberdreigingen laten zien, is waar entiteitgerichte leads worden gecreëerd. De bedreigingsjager kan vervolgens de omgeving scannen op dit specifieke gedrag.

Hoe werkt de jacht op bedreigingen?

Het menselijke aspect en de enorme gegevensverwerkingscapaciteit van een softwareoplossing worden gecombineerd om cyberdreigingen effectief op te sporen.

Menselijke bedreigingsjagers vertrouwen op gegevens van geavanceerde beveiligingsmonitoring- en analysetools om hen te helpen bij het proactief ontdekken en elimineren van bedreigingen.

Hun doel is om oplossingen en intelligentie/gegevens te gebruiken om tegenstanders te vinden die de normale verdediging kunnen ontwijken door strategieën te gebruiken zoals van het land leven.

Intuïtie, ethisch en strategisch denken en creatieve probleemoplossing zijn allemaal essentiële componenten van het cyberjachtproces.

Organisaties zijn in staat om bedreigingen sneller en nauwkeuriger op te lossen door gebruik te maken van deze menselijke eigenschappen die “Jagers op cyberdreigingen” naar de tafel brengen in plaats van alleen te vertrouwen op geautomatiseerde systemen voor het detecteren van bedreigingen.

Jagers op cyberdreigingen

Wie zijn cyberdreigingsjagers?

Cyber ​​Threat Hunters voegen een menselijk tintje toe aan zakelijke beveiliging door geautomatiseerde maatregelen te verbeteren. Het zijn bekwame IT-beveiligingsprofessionals die bedreigingen identificeren, registreren, in de gaten houden en uitroeien voordat ze de kans krijgen om ernstige problemen te worden.

Hoewel het af en toe externe analisten zijn, zijn het idealiter beveiligingsanalisten die goed op de hoogte zijn van de werking van de IT-afdeling van het bedrijf.

Threat Hunters doorzoeken beveiligingsinformatie. Ze zoeken naar verdachte gedragspatronen die een computer mogelijk heeft gemist of waarvan werd gedacht dat ze werden afgehandeld, maar die niet zijn gevonden, evenals naar verborgen malware of aanvallers.

Ze helpen ook bij het patchen van het beveiligingssysteem van een bedrijf om toekomstige gevallen van dezelfde soort inbraken te voorkomen.

Wat is jacht op bedreigingen

Vereisten voor het opsporen van bedreigingen

Bedreigingsjagers moeten eerst een basislijn opbouwen van verwachte of goedgekeurde gebeurtenissen om anomalieën beter te kunnen opsporen om effectief te kunnen jagen op cyberdreigingen.

Bedreigingsjagers kunnen vervolgens beveiligingsgegevens en informatie doornemen die is verzameld door technologieën voor bedreigingsdetectie met behulp van deze basislijn en de meest recente informatie over bedreigingen.

Deze technologieën kunnen omvatten managed detectie en respons (MDR), hulpprogramma's voor beveiligingsanalyseof oplossingen voor beveiligingsinformatie en gebeurtenisbeheer (SIEM).

Bedreigingsjagers kunnen uw systemen doorzoeken op potentiële gevaren, duistere activiteiten of triggers die afwijken van de norm nadat ze zijn gewapend met gegevens uit verschillende bronnen, waaronder eindpunt-, netwerk- en cloudgegevens.

Bedreigingsjagers kunnen hypothesen opstellen en uitgebreide netwerkonderzoeken uitvoeren als er een bedreiging wordt gevonden of als bekende bedreigingsinformatie wijst op nieuwe mogelijke bedreigingen.

Bedreigingsjagers zoeken tijdens deze onderzoeken naar informatie om te bepalen of een dreiging schadelijk of goedaardig is en of het netwerk op passende wijze is beschermd tegen opkomende cyberdreigingen.

Methodologieën voor het opsporen van bedreigingen

Bedreigingsjagers beginnen hun onderzoek in de veronderstelling dat er al tegenstanders in het systeem aanwezig zijn en zoeken naar vreemd gedrag dat kan wijzen op de aanwezigheid van vijandige activiteiten.

Dit begin van een onderzoek valt vaak in een van de drie categorieën bij het proactief opsporen van bedreigingen.

Voor het proactief verdedigen van de systemen en informatie van een organisatie, omvatten alle drie de strategieën een door mensen aangedreven inspanning die bronnen voor bedreigingsinformatie combineert met geavanceerde beveiligingstechnologie.

1. Hypothesegedreven onderzoek

Een nieuw gevaar dat is ontdekt via een enorme database met gecrowdsourcete aanvalsgegevens leidt vaak tot hypothesegestuurd onderzoek, waarbij informatie wordt verstrekt over de meest recente strategieën, technieken en procedures die door aanvallers worden gebruikt (TTP).

Bedreigingsjagers zullen vervolgens controleren of de unieke acties van de aanvaller aanwezig zijn in hun eigen omgeving zodra een nieuwe TTP is gedetecteerd.

2. Een onderzoek op basis van geïdentificeerde indicatoren van aanval of indicatoren van compromittering

Met behulp van tactische dreigingsinformatie geeft deze methode van dreigingsjacht een lijst van bekende IOC's en IOA's die verband houden met nieuwe dreigingen. Bedreigingsjagers kunnen deze vervolgens gebruiken als triggers om potentiële geheime aanvallen of voortdurende schadelijke activiteiten te vinden.

3. Geavanceerde analyses en machine learning-onderzoeken

De derde methode doorzoekt een enorme hoeveelheid gegevens met behulp van machine learning en geavanceerde gegevensanalyse om te zoeken naar afwijkingen die kunnen wijzen op mogelijke vijandige activiteiten.

Deze anomalieën worden jachtsporen die door deskundige analisten worden onderzocht om verborgen gevaren te vinden.

Op jacht naar bedreigingen met proxy's

Bedreigingsjagers kunnen een schat aan informatie vinden in webproxyrecords. Deze proxy's functioneren als kanalen tussen de server of het apparaat dat verzoeken ontvangt en het apparaat dat het verzoek verzendt.

Een gemeenschappelijke set gegevens die door webproxy's wordt gegenereerd, kan worden gebruikt om ongebruikelijk of verdacht gedrag op te sporen.

Een bedreigingsjager bij een organisatie kan bijvoorbeeld de gevareninformatie analyseren die is opgenomen in de webproxy-logboeken en verdachte activiteiten ontdekken met user-agents zoals cURL- en SharePoint-sites.

Ze vestigen de aandacht op het probleem en ontdekken dat de verzoeken legitiem zijn en afkomstig zijn van de DevOps-teams.

Om deze logboeken te onderzoeken en eventuele kwaadwillende personen tussen de mix te vinden, gebruiken dreigingsjagers een verscheidenheid aan protocollen en methodologieën. Web proxy logs bieden vaak de volgende details:

  • Bestemmings-URL (hostnaam)
  • Destination IP
  • HTTP-status
  • Domein categorie
  • Protocol
  • Haven van bestemming
  • User Agent
  • Verzoekmethode:
  • Apparaatactie
  • Gevraagde bestandsnaam
  • Duur

**En meer!

Hoe werkt het opsporen van bedreigingen met proxylogboeken?

Laten we eens kijken hoe webproxy-logboeken deze jagers helpen nu u de jacht op bedreigingen begrijpt. Analisten moeten verschillende manieren gebruiken om kwetsbaarheden en kwaadwillende partijen te vinden die zich met het netwerk bezighouden, omdat webproxy-logboeken verschillende gegevens bevatten.

1. Geblokkeerd verkeer bekijken:

Het is belangrijk om erachter te komen waardoor de gebruiker toegang heeft gekregen tot een bepaalde website, ook al is dit mogelijk verboden voor de gebruikers van de organisatie. Het kan betekenen dat hun computer is geïnfecteerd.

2. URL's met IP-verzoeken:

Deze filtratie kan logboeken opsporen die DNS-beveiligingsbeperkingen omzeilen door gebruik te maken van hardgecodeerde IP-adressen.

3. URL's met bestandsextensies:

Dit filter maakt potentieel gevaarlijke URL's met bestandsextensies zoals.doc,.pdf en .exe zichtbaar. Aanvallers gebruiken vaak doc- of pdf-bestanden met macrofunctionaliteit om malware op een machine of netwerk te implanteren.

4. Bekende verwijzende URL met ongebruikelijke URL:

Het identificeren van phishing-links kan gemakkelijker worden gemaakt door logboeken met populaire verwijzingsdomeinen en onderscheidende URL's eruit te filteren.

Verschil tussen bedreigingsjacht en bedreigingsinformatie

Bedreigingsinformatie is een verzameling gegevens over pogingen tot of geslaagde inbraken die doorgaans worden verzameld en onderzocht door geautomatiseerde beveiligingssystemen die gebruik maken van machine learning en kunstmatige intelligentie.

Deze informatie wordt gebruikt bij het opsporen van bedreigingen om een ​​grondige, systeembrede zoektocht naar kwaadwillende gebruikers uit te voeren.

Met andere woorden, de jacht op bedreigingen begint waar informatie over bedreigingen eindigt. Een productieve dreigingsjacht kan ook gevaren vinden die nog niet in het wild zijn gezien.

Bedreigingsindicatoren worden soms gebruikt als aanwijzing of hypothese bij het opsporen van bedreigingen. Virtuele vingerafdrukken achtergelaten door malware of een aanvaller, een vreemd IP-adres, phishing-e-mails of ander afwijkend netwerkverkeer zijn allemaal voorbeelden van bedreigingsindicatoren.

Quick Links:

Conclusie: Wat is Threat Hunting 2024? 

De gebruikelijke procedure voor het detecteren, reageren en herstellen van incidenten wordt sterk aangevuld met het opsporen van bedreigingen. Een realistische en praktische strategie voor bedrijven is zich te wapenen tegen onvoorziene bedreigingen.

Desalniettemin maakt het monitoren van proxy-logboeken het ook mogelijk om gebruikers te identificeren die mogelijk websites schrapen. Degenen die alleen maar proberen legitieme taken uit te voeren, komen in een dergelijke situatie in de problemen.

Door gebruik te maken van verschillende proxy's, met name degenen die helpen om hun echte IP-adres te verbergen, kunnen gebruikers voorkomen dat dreigingsjagers hun activiteiten opmerken.

Ook geven hun logboeken geen rode vlag voor deze jagers omdat er geen enkel IP-adres is voor al hun activiteiten.

Hiervoor hebt u proxy's van hoge kwaliteit nodig die legitiem lijken voor software die op bedreigingen jaagt. Om uw vraag te beantwoorden: software voor het opsporen van bedreigingen is in feite een programma dat protocollen en analyses uitvoert voor het opsporen van bedreigingen.

Links 

Kashish Babber
Deze auteur is geverifieerd op BloggersIdeas.com

Kashish is afgestudeerd aan B.Com en volgt momenteel haar passie om te leren en te schrijven over SEO en bloggen. Bij elke nieuwe Google-algoritme-update duikt ze in de details. Ze is altijd leergierig en onderzoekt graag elke draai aan de algoritme-updates van Google, waarbij ze zich tot de kern van de zaak verdiept om te begrijpen hoe ze werken. Haar enthousiasme voor deze onderwerpen komt tot uiting in haar schrijven, waardoor haar inzichten zowel informatief als boeiend zijn voor iedereen die geïnteresseerd is in het steeds evoluerende landschap van zoekmachineoptimalisatie en de kunst van het bloggen.

Openbaarmaking van aangeslotenen: In volledige transparantie - sommige van de links op onze website zijn gelieerde links, als u ze gebruikt om een ​​aankoop te doen, verdienen we een commissie zonder extra kosten voor u (geen enkele!).

gerelateerde berichten

Laat een bericht achter