Vad är hotjakt 2024? [Komplett guide]

Senast uppdaterad på: November 5, 2023 by

Cyberhotsjakt är en proaktiv metod för internetsäkerhet där hotjägare letar efter säkerhetsrisker det må så vara gömd i ett företags nätverk.

Cyberjakt letar aktivt efter tidigare oupptäckta, oidentifierade eller oåtgärdade hot som kan ha undgått ditt nätverks automatiska försvarsmekanismer, i motsats till mer passiva cybersäkerhetsjakttekniker som automatiska hotdetekteringssystem.

Vad är hotjakt

Vad är hotjakt?

Handlingen att aktivt leta efter cyberhot som smyger oupptäckt i ett nätverk kallas hotjakt. Cyberhotsjakt letar igenom din miljö efter illvilliga aktörer som har tagit sig förbi dina initiala säkerhetsåtgärder för slutpunkter.

Vissa faror är mer sofistikerade och avancerade, medan majoriteten inte kan ta sig förbi säkerhetssystemen. I veckor kan angripare förbli oupptäckta i systemet och filerna medan de sakta går vidare via nätverket för att samla in mer data.

Veckor eller till och med månader kan gå under denna procedur. Den kan lätt undvika upptäckt från säkerhetsverktyg och personal utan att aktivt jaga.

Hotjakt

Varför är hotsjakt viktigt?

Eftersom sofistikerade hot kan undvika automatiserad cybersäkerhet är hotjakt avgörande.

Du måste fortfarande vara orolig för de återstående 20 % av hoten även om automatiserade säkerhetsverktyg och nivå 1 och 2 säkerhetsoperationscenter (SOC) analytiker bör kunna hantera ca 80% av dem.

Hot i de återstående 20% är mer sannolikt att vara komplexa och kan göra stor skada.

En angripare kan komma in i ett nätverk i hemlighet och stanna där i månader när de i tysthet samlar information, söker efter känsliga dokument eller får inloggningsuppgifter som gör att de kan ströva runt i miljön.

Många företag saknar de sofistikerade upptäcktsfärdigheterna som krävs för att förhindra avancerade ihållande hot från att dröja kvar i nätverket när en motståndare har lyckats undkomma upptäckt och ett övergrepp har brutit mot en organisations försvar.

Hotjakt är därför en avgörande del av varje försvarsstrategi.

Typer av hotjakt

IBM:s officiella webbplats har förklarat de tre huvudtyperna av hotjakt på ett riktigt sätt. Enligt deras blogg är hotjakt av följande typer:

1. Strukturerad jakt

An indikation på attack (IoA) och angriparens taktik, metoder och procedurer (TTP) fungerar som grunden för en systematisk jakt.

Varje jakt är planerad och baserad på hotaktörernas TTP:er. På grund av detta känner jägaren ofta igen en hotaktör innan angriparen har en chans att störa miljön. 

2. Ostrukturerad jakt

En ad hoc-jakt inleds utifrån en trigger, en av många indikatorer på kompromiss (IoC). Denna trigger används vanligtvis för att uppmana en jägare att leta efter före och efter detektionsmönster.

I den mån datalagring och tidigare kopplade brott tillåter, kan jägaren genomföra en undersökning för att fastställa sin plan.

3. Situations- eller enhetsstyrd

En situationshypotes kan framställas av en organisations interna riskbedömning eller genom en undersökning av trender och svagheter som är unika för dess IT-infrastruktur.

Attackdata som samlats in från allmänheten, som, när den granskas, visar de senaste TTP:erna för pågående cyberhot, är där enhetsorienterade leads skapas. Hotjagaren kan sedan skanna omgivningen efter dessa specifika beteenden.

Hur fungerar hotsjakt?

Den mänskliga aspekten och den massiva databehandlingsförmågan hos en mjukvarulösning kombineras för att effektivt jaga cyberhot.

Mänskliga hotjägare förlitar sig på data från sofistikerade säkerhetsövervaknings- och analysverktyg för att hjälpa dem att proaktivt upptäcka och eliminera hot.

Deras mål är att använda lösningar och intelligens/data för att hitta motståndare som kan undgå normala försvar genom att använda strategier som att leva av landet.

Intuition, etiskt och strategiskt tänkande och kreativ problemlösning är alla viktiga komponenter i cyberjaktprocessen.

Organisationer kan lösa hot snabbare och mer exakt genom att använda dessa mänskliga egenskaper som "Cyberhotsjägare” ta upp till bordet i motsats till att bara förlita sig på automatiserade system för upptäckt av hot.

Cyberhotsjägare

Vilka är cyberhotsjägare?

Cyberhotsjägare lägger till en mänsklig touch till företagssäkerhet och förbättrar automatiserade åtgärder. De är skickliga IT-säkerhetsproffs som identifierar, registrerar, håller ett öga på och utrotar hot innan de har en chans att bli allvarliga problem.

Även om de ibland är externa analytiker, är de helst säkerhetsanalytiker som är kunniga om hur företagets IT-avdelning fungerar.

Hotjägare söker igenom säkerhetsinformation. De letar efter misstänkta beteendemönster som en dator kan ha missat eller trodde att de hanterats men inte är det, liksom dold skadlig programvara eller angripare.

De hjälper också till med att patcha ett företags säkerhetssystem för att förhindra framtida händelser av samma typ av intrång.

Vad är hotjakt

Förutsättningar för hotjakt

Hotjägare måste först bygga en baslinje av förväntade eller godkända händelser för att bättre upptäcka anomalier för att jakten på cyberhot ska vara effektiv.

Hotjägare kan sedan gå igenom säkerhetsdata och information som samlats in av hotdetektionstekniker med hjälp av denna baslinje och den senaste hotintelligensen.

Dessa tekniker kan inkludera hanterad detektion och respons (MDR), säkerhetsanalysverktyg, eller lösningar för säkerhetsinformation och händelsehantering (SIEM).

Hotjägare kan söka i dina system efter potentiella faror, skum aktivitet eller triggers som avviker från normen efter att de är beväpnade med data från en mängd olika källor, inklusive slutpunkts-, nätverks- och molndata.

Hotjägare kan skapa hypoteser och göra omfattande nätverksundersökningar om ett hot hittas eller om känd hotintelligens pekar på nya möjliga hot.

Hotjägare letar efter information under dessa undersökningar för att avgöra om ett hot är skadligt eller godartat eller om nätverket är lämpligt skyddat från nya cyberhot.

Hotjaktsmetoder

Hotjägare startar sina undersökningar förutsatt att motståndare redan finns i systemet och letar efter konstigt beteende som kan peka på förekomsten av fientliga aktiviteter.

Denna början av en utredning faller ofta in i en av tre kategorier inom proaktiv hotjakt.

I syfte att proaktivt försvara en organisations system och information involverar alla tre strategierna en människodriven insats som kombinerar hotintelligensresurser med spjutspetssäkerhetsteknologi.

1. Hypotesdriven undersökning

En ny fara som har upptäckts genom en stor databas med crowdsourced attackdata utlöser ofta hypotesdrivna undersökningar som ger information om de senaste strategierna, teknikerna och procedurerna som angripare (TTP) använder.

Hotjägare kommer sedan att kontrollera om angriparens unika handlingar finns i deras egen miljö när en ny TTP har upptäckts.

2. En utredning baserad på identifierade indikatorer på attack eller indikatorer på kompromiss

Med hjälp av taktisk hotintelligens listar denna metod för hotjakt kända IOC och IOA kopplade till nya hot. Hotjägare kan sedan använda dessa som triggers för att hitta potentiella hemliga attacker eller pågående skadliga aktiviteter.

3. Avancerade analyser och undersökningar av maskininlärning

Den tredje metoden bryter igenom en stor mängd data med hjälp av maskininlärning och avancerad dataanalys för att leta efter anomalier som kan peka på möjliga fientliga aktiviteter.

Dessa anomalier blir jaktledningar som undersöks av kunniga analytiker för att hitta hemliga faror.

Hotjakt med fullmakter

Hotjägare kan hitta en mängd information i webbproxy-poster. Dessa proxyservrar fungerar som kanaler mellan servern eller enheten som tar emot förfrågningar och enheten som skickar förfrågan.

En vanlig uppsättning data som genereras av webbproxyer kan användas för att upptäcka ovanligt eller misstänkt beteende.

Till exempel kan en hotjagare vid en organisation analysera faroinformationen som ingår i webbproxyloggarna och upptäcka misstänkt aktivitet med användaragenter som cURL- och SharePoint-webbplatser.

De uppmärksammar problemet och upptäcker att förfrågningarna är legitima och kommer från DevOps-teamen.

För att undersöka dessa loggar och hitta eventuella skadliga individer bland blandningen använder hotjägare en mängd olika protokoll och metoder. Webproxy loggar erbjuder ofta följande detaljer:

  • Destinationsadress (värdnamn)
  • Destination IP
  • HTTP -status
  • Domänkategori
  • Protokoll
  • Destinationshamn
  • Användaragent
  • Begär metod
  • Enhetsåtgärd
  • Begärt filnamn
  • Duration

**Och mer!

Hur fungerar hotsjakt med proxyloggar?

Låt oss studera hur webbproxyloggar hjälper dessa jägare nu när du förstår hotjakt. Analytiker måste använda en mängd olika sätt att hitta sårbarheter och skadliga parter som engagerar sig i nätverket eftersom webbproxyloggar innehåller flera databitar.

1. Granska blockerad trafik:

Det är viktigt att ta reda på vad som fick användaren att gå in på en viss webbplats även om det kan ha varit förbjudet för organisationens användare. Det kan betyda att deras dator har blivit infekterad.

2. URL:er med IP-begäranden:

Denna filtrering kan upptäcka loggar som fungerar kring DNS-säkerhetsbegränsningar genom att använda hårdkodade IP-adresser.

3. URL:er med filtillägg:

Detta filter gör potentiellt farliga webbadresser med filtillägg som .doc, .pdf och .exe synliga. Angripare använder ofta dokument- eller pdf-filer med makrofunktionalitet för att implantera skadlig programvara på en maskin eller ett nätverk.

4. Känd hänvisningsadress med ovanlig webbadress:

Att identifiera nätfiske-länkar kan göras lättare genom att filtrera bort loggar som innehåller populära hänvisningsdomäner och distinkta webbadresser.

Skillnaden mellan hotjakt och hotintelligens

Hotintelligens är en samling data om försök eller framgångsrika intrång som vanligtvis samlas in och undersöks av automatiserade säkerhetssystem som använder maskininlärning och artificiell intelligens.

Denna information används i hotjakt för att utföra en grundlig, systemomfattande sökning efter skadliga användare.

Hotjakt börjar med andra ord där hotintelligensen slutar. En produktiv hotjakt kan också hitta faror som ännu inte har setts i det vilda.

Hotindikatorer används ibland som ledtråd eller hypotes vid hotjakt. Virtuella fingeravtryck som lämnas av skadlig programvara eller en angripare, en udda IP-adress, nätfiske-e-postmeddelanden eller annan onormal nätverkstrafik är alla exempel på hotindikatorer.

Snabblänkar:

Slutsats: Vad är hotjakt 2024? 

Den vanliga proceduren för upptäckt av incidenter, reaktion och åtgärdande kompletteras starkt av hotjakt. En realistisk och praktisk strategi för företag är att stärka sig mot oförutsedda hot.

Ändå gör övervakning av proxyloggar det också möjligt att identifiera användare som kan skrapa webbplatser. De som bara försöker utföra legitima uppgifter stöter på problem i en sådan situation.

Genom att använda flera proxyservrar, särskilt de som hjälper till att dölja sin riktiga IP-adress, kan användare undvika hotjägare från att upptäcka deras aktiviteter.

Deras loggar lyfter inte heller en röd flagga för dessa jägare eftersom det inte finns en enda IP-adress för alla deras aktiviteter.

För detta behöver du högkvalitativa proxyservrar som verkar legitima för programvara för hotjakt. För att svara på din fråga är programvara för hotjakt i grunden ett program som utför hot-jaktprotokoll och analys.

Snabblänkar 

Kashish Babber
Denna författare är verifierad på BloggersIdeas.com

Kashish är en B.Com-examen, som för närvarande följer hennes passion att lära sig och skriva om SEO och blogging. Med varje ny Google-algoritmuppdatering dyker hon ner i detaljerna. Hon är alltid angelägen om att lära sig och älskar att utforska varje vändning och vändning av Googles algoritmuppdateringar, för att komma in i det stökiga för att förstå hur de fungerar. Hennes entusiasm för dessa ämnen syns i hennes skrivande, vilket gör hennes insikter både informativa och engagerande för alla som är intresserade av det ständigt föränderliga landskapet för sökmotoroptimering och konsten att blogga.

Närstående information: I fullständig öppenhet - några av länkarna på vår webbplats är anslutna länkar. Om du använder dem för att göra ett köp tjänar vi en provision utan extra kostnad för dig (ingen alls!).

relaterade inlägg

Lämna en kommentar