Trace Id is missing
Gå til hovedinnhold
Microsoft Sikkerhet

Hva er jakt på datatrusler?

Jakt på datatrusler er prosessen med proaktiv søking etter ukjente eller uoppdagede trusler i en organisasjons nettverk, endepunkter og data.

Hvordan jakt på datatrusler fungerer

Jakt på datatrusler bruker trusseljegere til forebyggende søk etter potensielle trusler og angrep i et system eller nettverk. Dette muliggjør smidige, effektive svar på stadig mer komplekse, menneskestyrte cyberangrep. Mens tradisjonellenettsikkerhetsmetoder identifiserer sikkerhetsbrudd i etterkant, tar datatrusseljakt forutsetning av at det har oppstått et brudd, og kan identifisere, tilpasse og reagere på potensielle trusler umiddelbart etter oppdagelse.

Sofistikerte angripere kan bryte en organisasjon og forbli ubeskyttet i lengre perioder – dager, uker eller enda lenger. Ved å legge til jakt på datatrusler i den eksisterende profilen din av sikkerhetsverktøy, for eksempel endepunktsoppdagelse og svar (EDR) og administrasjon av sikkerhetsinformasjon og -hendelser (SIEM), kan det hjelpe deg med å forhindre og utbedre angrep som ellers ikke ville blitt oppdaget av automatiserte sikkerhetsverktøy.

Automatisert trusseljakt

Datatrusseljegere kan automatisere visse aspekter av prosessen ved hjelp av maskinlæring, automatisering og kunstig intelligens. Ved å utnytte løsninger som SIEM og EDR kan trusseljegere effektivisere jaktprosedyrene ved å overvåke, oppdage og reagere på potensielle trusler. Trusseljegere kan opprette og automatisere ulike strategiplaner for å svare på ulike trusler, og dermed lette byrden for IT-teamene når lignende angrep oppstår.

Verktøy og teknikker for jakt på datatrusler

Trusseljegere har mange verktøy til rådighet, inkludert løsninger som SIEM og XDR, som er utformet for å fungere sammen.

  • SIEM: SIEM er en løsning som samler inn data fra flere kilder med sanntidsanalyse som kan trusseljegere hint om potensielle trusler.
  • Utvidet oppdagelse og svar (XDR): Trusseljegere kan bruke XDR, som gir trusselinformasjon og automatiserte angrepsavbrudd, for å oppnå større innsyn i trusler.
  • EDR: EDR, som overvåker sluttbrukerenheter, gir også trusseljegere et kraftig verktøy og innsikt i potensielle trusler i alle organisasjonens endepunkter.

Tre typer jakt på datatrusler

Jakt på datatrusler tar vanligvis én av følgende tre former:

Strukturert: I en strukturert jakt ser trusseljegere etter mistenkelige taktikker, teknikker og prosedyrer (TTP-er) som antyder potensielle trusler. I stedet for å nærme seg dataene eller systemet og lete etter inntrengere, skaper trusseljegeren en hypotese om en potensiell angripers metode og arbeider metodisk for å identifisere symptomer på angrepet. Fordi strukturert jakt er en mer proaktiv tilnærming, kan IT-teknikere som bruker denne taktikken, ofte fange opp eller stoppe angripere raskt.

Ustrukturert: I en ustrukturert jakt søker datatrusseljegeren etter en indikator for brudd (IoC) og utfører søket fra dette utgangspunktet. Fordi trusseljegeren kan gå tilbake og søke i historiske data etter mønstre og hint, kan ustrukturerte jakter noen ganger identifisere tidligere uoppdagede trusler som fortsatt kan sette organisasjonen i fare.

Situasjonsmessig: Situasjonsmessig trusseljakt prioriterer spesifikke ressurser eller data i det digitale økosystemet. Hvis en organisasjon vurderer at bestemte ansatte eller ressurser utgjør den største risikoen, kan den instruere datatrusseljegere til å konsentrere innsatsen om å forhindre eller avhjelpe angrep mot disse sårbare personene, datasettene eller endepunktene.

Trinn og implementering for trusseljakt

Datatrusseljegere følger ofte disse grunnleggende trinnene når de undersøker og utbedrer trusler og angrep:

  1. Opprette en teori eller hypotese om en potensiell trussel. Trusseljegere kan begynne med å identifisere en angripers vanlige TTP-er.
  2. Utføre undersøkelser. Trusseljegere undersøker organisasjonens data, systemer og aktiviteter – en SIEM-løsning kan være et nyttig verktøy – og samler inn og behandler relevant informasjon.
  3. Identifisere utløseren. Forskningsresultater og andre sikkerhetsverktøy kan hjelpe trusseljegere med å finne et utgangspunkt for undersøkelsen.
  4. Undersøke trusselen. Trusseljegere bruker forsknings- og sikkerhetsverktøyene sine til å avgjøre om trusselen er skadelig.
  5. Svare og utbedre. Trusseljegere iverksetter tiltak for å løse trusselen.

Typer trusler som jegere kan oppdage

Jakt på datatrusler har kapasitet til å identifisere en rekke ulike trusler, inkludert følgende:

  • Skadelig programvare og virus: Skadelig programvareSkadelig programvare hindrer bruken av vanlige enheter ved å få uautorisert tilgang til endepunktenheter. PhishingPhishing-angrep, spionprogrammer, annonseprogrammer, trojanere, ormer og løsepengevirus er alle eksempler på skadelig programvare. Virus, som er en av de vanligste formene for skadevare, er utformet for å forstyrre en enhets normale drift ved å registrere, ødelegge eller slette data før de spres til andre enheter i nettverket.
  • Interne trusler: Insider-trusler stammer fra personer med autorisert tilgang til et organisasjonsnettverk. Enten gjennom ondsinnede handlinger eller utilsiktet eller uaktsom oppførsel, misbruker eller skader disse innsiderne organisasjonens nettverk, data, systemer eller anlegg.
  • Avansert vedvarende trusler: Sofistikerte aktører som bryter seg inn i en organisasjons nettverk og forblir uoppdaget over lengre tid, representerer avanserte vedvarende trusler. Disse angriperen er dyktige og ofte ressurssterke.
    Angrep med sosial manipulering: Nettangripere kan bruke manipulasjon og bedrag for å forlede ansatte i en organisasjon til å gi fra seg tilgang eller sensitiv informasjon. Vanlige angrep med sosial manipulering omfatter phishing, lokking og skremmevare.

 

Anbefalte fremgangsmåter for jakt på datatrusler

Når du implementerer en protokoll for jakt på datatrusler i organisasjonen, bør du huske på følgende anbefalte fremgangsmåter:

  • Gi trusseljegerne full innsikt i organisasjonen. Trusseljegere er mest vellykkede når de forstår det store bildet.
  • Vedlikehold komplementære sikkerhetsverktøy som SIEM, XDR og EDR. Datatrusseljegere er avhengige av automatiseringer og data levert av disse verktøyene for å identifisere trusler raskere og med større kontekst for raskere løsning.
  • Hold deg informert om de nyeste nye truslene og taktikkene. Angripere og deres taktikker er under stadig utvikling – sørg for at trusseljegerne dine har de mest oppdaterte ressursene om gjeldende trender.
  • Lær opp ansatte til å identifisere og rapportere mistenkelig atferd. Reduser muligheten for insider-trusler ved å holde de ansatte informert.
  • Implementer håndtering av trusler og sikkerhetsproblemer for å redusere organisasjonens totale risikoeksponering.

Hvorfor trusseljakt er viktig for organisasjoner

Etter hvert som ondsinnede aktører blir stadig mer sofistikerte i angrepsmetodene sine, er det viktig for organisasjoner å investere i proaktiv jakt på datatrusler. I tillegg til mer passive former for trusselbeskyttelse, lukker jakt på datatrusler sikkerhetshull, slik at organisasjoner kan utbedre trusler som ellers ikke ville blitt oppdaget. Stadig økende trusler fra komplekse angripere betyr at organisasjoner må styrke forsvaret for å opprettholde tilliten til deres evne til å håndtere sensitive data og redusere kostnadene forbundet med sikkerhetsbrudd.

Produkter som Microsoft Sentinel kan hjelpe deg med å holde deg i forkant av trusler ved å samle inn, lagre og få tilgang til historiske data i skyskala, strømlinjeforme undersøkelser og automatisere vanlige oppgaver. Disse løsningene kan gi trusseljegere kraftige verktøy for å holde organisasjonen beskyttet.

Mer informasjon om Microsoft Sikkerhet

Microsoft Sentinel

Legg merke til og stopp trusler på tvers av hele foretaket med intelligent sikkerhetsanalyse.

Microsoft Defender jakteksperter

Ta proaktiv trusseljakt lenger enn endepunktet.

Microsoft Defender trusselinformasjon

Bidra til å beskytte organisasjonen mot moderne fiender og trusler som løsepengevirus.

SIEM og XDR

Oppdag, undersøk og svar på trusler på tvers av hele din digitale eiendom.

Vanlige spørsmål

  • Et eksempel på jakt på datatrusler er en hypotesebasert jakt der trusseljegeren identifiserer antatte taktikker, teknikker og prosedyrer som en angriper kan bruke, og deretter søker etter bevis på dem i et organisasjonsnettverk.

  • Trusselpåvisning er en aktiv, ofte automatisert tilnærming til cybersikkerhet, mens trusseljakt er en proaktiv, ikke-automatisert tilnærming.

  • Et sikkerhetsoperasjonssenter (SOC) er en sentralisert funksjon eller et team, enten lokalt eller innleid, som er ansvarlig for å forbedre organisasjonens cybersikkerhet og hindre, oppdage og svare på trusler. Jakt på datatrusler er en av taktikkene SOC-er bruker til å identifisere og utbedre trusler.

  • Verktøy for jakt på datatrusler er programvareressurser som er tilgjengelige for IT-team og trusseljegere for å bidra til å oppdage og utbedre trusler. Eksempler på trusseljaktverktøy inkluderer ting som antivirus- og brannmurbeskyttelse, EDR-programvare, SIEM-verktøy og dataanalyse.

  • Hovedformålet med jakt på datatrusler er proaktivt å oppdage og utbedre sofistikerte trusler og angrep før de skader organisasjonen.

  • Informasjon om datatrusler Informasjon om datatrusler er informasjonen og dataene som sikkerhetsprogramvaren samler inn, ofte automatisk, som en del av sikkerhetsprotokollene for bedre beskyttelse mot cyberangrep. Trusseljakt innebærer å ta informasjon som samles inn fra trusselinformasjon, og bruke den til å informere hypoteser og handlinger for å søke etter og utbedre trusler.

Følg Microsoft Sikkerhet