Trace Id is missing
Gå til hovedindholdet
Microsoft Security

Hvad er cybertrusselsjagt?

Cybestrusselsjagt er den proces, hvor man proaktivt søger efter, forhindrer og afhjælper ukendte, uopdagede trusler på tværs af en organisations netværk, slutpunkter og data.

Sådan fungerer cybertrusselsjagt

Cybertrusselsjagt bruger trusselsjægere til på forhånd at søge efter potentielle trusler og angreb i et system eller netværk. Det giver mulighed for fleksible og effektive svar på stadigt mere komplekse, menneskedrevne cyberangreb. Mens traditionelle cybersikkerhedsmetoder identificerer sikkerhedsbrud efter de er sket, så fungerer cybertrusselsjagt med den antagelse, at der er sket et brud, og at det kan identificere, tilpasse sig og reagere på potentielle trusler straks efter registrering.

Avancerede hackere kan bryde ind i en organisation og forblive uopdaget i længere perioder – dage, uger eller endnu længere. Tilføjelse af cybertrusselsjagt til din eksisterende profil af sikkerhedsværktøjer, f.eks. registrering af slutpunkter og svar (EDR) og sikkerhedsoplysninger og hændelsesstyring (SIEM), kan hjælpe dig med at forhindre og afhjælpe angreb, der ellers ville ikke blive opdaget af automatiserede sikkerhedsværktøjer.

Automatiseret trusselsjagt

Cybertrusselsjægere kan automatisere visse aspekter af processen ved hjælp af maskinel indlæring, automatisering og kunstig intelligens. Hvis du udnytter løsninger som SIEM og EDR, kan det hjælpe trusselsjægere med at strømline jagtprocedure ved at overvåge, registrere og reagere på potentielle trusler. Trusselsjægere kan oprette og automatisere forskellige strategiplaner for at reagere på forskellige trusler og dermed lette byrden for it-teams, når der opstår lignende angreb.

Værktøjer og teknikker til cybertrusselsjagt

Trusselsjægere har adskillige værktøjer til rådighed, herunder løsninger som SIEM og XDR, som er designet til at arbejde sammen.

  • SIEM: En løsning, der indsamler data fra flere kilder med analyse i realtid, kan SIEM give trusselsjægere et fingerpeg om potentielle trusler.
  • Udvidet registrering og svar (XDR): Trusselsjægere kan bruge XDR-, som leverer trusselsintelligens og automatiserede angrebsafbrydelser, for at opnå større synlighed i trusler.
  • EDR: EDR, som overvåger slutbrugerenheder, giver også trusselsjægere et effektivt værktøj, der giver dem indsigt i potentielle trusler inden for alle en organisations slutpunkter.

Tre typer af cybertrusselsjagt

Cybertrusselsjagt tager typisk en af følgende tre former:

Struktureret: I en struktureret jagt leder trusselsjægere efter mistænkelige taktikker, teknikker og procedurer (TTP'er), der tyder på potentielle trusler. I stedet for at kigge på dataene eller systemet og lede efter sikkerhedsbrud, opretter trusselsjægeren en hypotese om en potentiel hackers metode og arbejder metodisk på at identificere symptomer på det pågældende angreb. Da struktureret jagt er en mere proaktiv tilgang, kan it-teknikere, der anvender denne taktik, ofte opsnappe eller stoppe hackere hurtigt.

Ustruktureret: I en ustruktureret jagt søger cybertrusselsjægeren efter en indikator for kompromittering (IoC) og udfører søgningen fra dette udgangspunkt. Da trusselsjægeren kan gå tilbage og søge i historiske data efter mønstre og ledetråde, kan ustrukturerede jagter nogle gange identificere tidligere uopdagede trusler, der stadig kan udgøre en risiko for organisationen.

Beroende på omstændighederne: Trusselsjagt beroende på omstændighederne prioriterer specifikke ressourcer eller data i det digitale økosystem. Hvis en organisation vurderer, at bestemte medarbejdere eller aktiver udgør de største risici, kan det få cybertrusselsjægere til at koncentrere deres indsats eller forhindre eller afhjælpe angreb på disse sårbare personer, datasæt eller slutpunkter.

Trin og implementering af trusselsjagt

Cybertrusselsjægere følger ofte disse grundlæggende trin, når de undersøger og afhjælper trusler og angreb:

  1. Opret en teori eller hypotese om en potentiel trussel. Trusselsjægere kan starte med at identificere en hackers almindelige TTP'er.
  2. Udfør research. Trusselsjægere undersøger organisationens data, systemer og aktiviteter – en SIEM-løsning kan være et nyttigt værktøj – og indsamler og behandler relevante oplysninger.
  3. Identificer udløseren. Forskningsresultater og andre sikkerhedsværktøjer kan hjælpe trusselsjægere med at skelne et udgangspunkt for deres undersøgelse.
  4. Undersøg truslen. Trusselsjægere bruger deres research- og sikkerhedsværktøjer til at afgøre, om truslen er skadelig.
  5. Reager og afhjælp. Trusselsjægere handler for at løse truslen.

Typer af trusler, som trusselsjægere kan registrere

Cybertrusselsjagt har kapacitet til at identificere en lang række forskellige trusler, inklusive følgende:

  • Malware og virus: MalwareMalware forhindrer brugen af normale enheder ved at få uautoriseret adgang til slutpunktsenheder. PhishingPhishingangreb, spyware, adware, trojanske heste, orme og ransomware er alle eksempler på malware. Virus, nogle af de mere almindelige former for malware, er udviklet til at forstyrre en enheds normale drift ved at registrere, beskadige eller slette dens data, før de spredes til andre enheder på et netværk.
  • Insidertrusler: Insidertrusler stammer fra personer med autoriseret adgang til en organisations netværk. Uanset om det sker via ondsindede handlinger eller utilsigtet eller uagtsom adfærd, misbruger disse insidere eller beskadiger organisationens netværk, data, systemer eller faciliteter.
  • Avancerede vedvarende trusler: Sofistikerede aktører, der bryder ind i en organisations netværk og forbliver uopdagede i et stykke tid, repræsenterer avancerede vedvarende trusler. Disse personer med ondsindede hensigter er dygtige og har ofte gode ressourcer.
    Sociale engineering-angreb: Cyberkriminelle kan bruge manipulation og bedrag til at narre en organisations medarbejdere til at forære adgang eller følsomme oplysninger væk. Almindelige social engineering-angreb omfatter phishing, lokkemad og scareware.

 

Bedste praksis for cybertrusselsjagt

Når du implementerer en protokol for cybertrusselsjagt i din organisation, skal du være opmærksom på følgende bedste praksis:

  • Giv trusselsjægere fuld indblik i din organisation. Trusselsjægere har størst succes, når de forstår det store billede.
  • Vedligehold supplerende sikkerhedsværktøjer f.eks. SIEM, XDR og EDR. Cybertrusselsjægereer afhængige af automatiseringer og data, der leveres af disse værktøjer, for at identificere trusler hurtigere og med større kontekst for hurtigere løsning.
  • Hold dig informeret om de seneste nye trusler og taktikker. Hackere og deres taktikker udvikler sig hele tiden – sørg for, at dine trusselsjægere har de mest opdaterede ressourcer til aktuelle tendenser.
  • Træn medarbejderne i at identificere og rapportere mistænkelig adfærd. Reducer risikoen for insidertrusler ved at holde dine medarbejdere informeret.
  • Implementer administration af sikkerhedsrisici for at reducere din organisations overordnede risikoeksponering.

Derfor er trusselsjagt vigtig for organisationer

Efterhånden som ondsindede aktører bliver mere og mere avancerede i deres angrebsmetoder, er det vigtigt for organisationer at investere i proaktiv cybertrusselsjagt. Ud over mere passive former for trusselsbeskyttelse lukker cybertrusselsjagt sikkerhedshuller, hvilket giver organisationer mulighed for at afhjælpe trusler, der ellers ville være uopdagede. På grund af trusler fra komplekse hackere betyder det, at organisationer skal styrke deres forsvar for at bevare tilliden til deres evne til at håndtere følsomme data og reducere de omkostninger, der er forbundet med sikkerhedsbrud.

Produkter som Microsoft Sentinel kan hjælpe dig med at være på forkant med trusler ved at indsamle, lagre og få adgang til historiske data i cloudskala, strømline undersøgelser og automatisere almindelige opgaver. Disse løsninger kan give cybertrusselsjægere effektive værktøjer, der kan hjælpe med at beskytte din organisation.

Få mere at vide om Microsoft Security

Microsoft Sentinel

Se og stop trusler på tværs af hele din virksomhed med intelligent sikkerhedsanalyse.

Få mere at vide

Microsoft Defender jagteksperter

Få proaktiv trusselsjagt på mere end slutpunkterne.

Få mere at vide

Microsoft Defender Threat Intelligence

Hjælp med at beskytte din organisation mod moderne angreb og trusler såsom ransomware.

Få mere at vide

SIEM og XDR

Registrer, undersøg og reager på trusler på tværs af hele din digitale ejendom.

Få mere at vide

Ofte stillede spørgsmål

  • Et eksempel på cybertrusselsjagt er en hypotesebaseret jagt, hvor trusselsjægeren identificerer mistænkelige taktikker, teknikker og procedurer, som en hacker kan bruge, og derefter søger efter beviser på dem i en organisations netværk.

  • Trusselsregistrering er en aktiv, ofte automatiseret, tilgang til cybersikkerhed, mens trusselsjagt er en proaktiv, ikke-automatiseret tilgang.

  • En SOC (Security Operations Center ) er en centraliseret funktion eller et team, enten onsite eller udliciteret, der er ansvarlig for at forbedre en organisations cybersikkerhedstilstand og forhindre, registrere og reagere på trusler. Cybertrusselsjagt er en af de taktikker, SOC‘s bruger til at identificere og afhjælpe trusler.

  • Værktøjer til cybertrusselsjagt er softwareressourcer, der er tilgængelige for it-teams og trusselsjægere for at hjælpe med at registrere og afhjælpe trusler. Eksempler på værktøjer til trusselsjagt omfatter f.eks. antivirus- og firewallbeskyttelse, EDR-software, SIEM-værktøjer og dataanalyse.

  • Det primære formål med cybertrusselsjagt er proaktivt at registrere og afhjælpe avancerede trusler og angreb, før de beskadiger organisationen.

  • Oplysninger om trusler Efterretninger om cybertrussel er de oplysninger og data, som cybersikkerhedssoftwaren indsamler, ofte automatisk, som en del af sikkerhedsprotokollerne for bedre at beskytte mod cyberangreb. Trusselsjagt omfatter at indsamle oplysninger fra trusselsefterretning og bruge dem til at informere hypoteser og handlinger for at søge efter og afhjælpe trusler.

Følg Microsoft Security