Vad är cyberhotjakt?
Cyberhotjakt är processen att proaktivt söka efter okända eller oupptäckta hot i en organisations nätverk, slutpunkter och data.
Så här fungerar cyberhotjakt
Cyberhotjakt använder hotjakter för att förebyggande söka efter potentiella hot och attacker i ett system eller nätverk. På så sätt kan du få flexibla och effektiva svar på allt mer komplexa, människodrivna cyberattacker. Även om traditionella metoder för cybersäkerhet identifierar säkerhetsöverträdelser efter faktumet, arbetar cyberhotjakten under antagandet att ett intrång har inträffat och kan identifiera, anpassa och reagera på potentiella hot omedelbart efter identifiering.
Sofistikerade angripare kan bryta mot en organisation och förbli oupptäckta under längre tidsperioder, dagar, veckor eller ännu längre. Genom att lägga till cyberhotjakt i din befintliga profil av säkerhetsverktyg, till exempel slutpunktsidentifiering och svar (EDR) och säkerhetsinformation och händelsehantering (SIEM), kan du förhindra och åtgärda attacker som annars inte upptäcks av automatiserade säkerhetsverktyg.
Automatiserad hotjakt
Cyberhotsjakter kan automatisera vissa aspekter av processen med hjälp av maskininlärning, automatisering och AI. Genom att dra nytta av lösningar som SIEM och EDR kan hotjägarna effektivisera jaktprocedurerna genom att övervaka, identifiera och svara på potentiella hot. Hotjakter kan skapa och automatisera olika spelböcker för att svara på olika hot, vilket minskar it-teamets belastning när liknande attacker uppstår.
Verktyg och tekniker för cyberhotjakt
Hotjakter har flera verktyg till sitt tillgängliga, inklusive lösningar som SIEM och XDR, som är utformade för att fungera tillsammans.
- SIEM: SIEM är en lösning som samlar in data från flera källor med realtidsanalys och kan ge hotjakter ledtrådar om potentiella hot.
- Utökad identifiering och svar (XDR): Hotjakter kan använda XDR, som tillhandahåller hotinformation och automatiserade angreppsstörningar, för att få bättre insyn i hot.
- EDR: EDR, som övervakar slutanvändarenheter, ger även hotjakter ett kraftfullt verktyg som ger dem insikt i potentiella hot inom alla organisationens slutpunkter.
Tre typer av cyberhotjakt
Jakt på cyberhot tar vanligtvis någon av följande tre former:
Strukturerad: I en strukturerad jakt letar hotjakter efter misstänkta taktiker, tekniker och procedurer (TTPs) som tyder på potentiella hot. I stället för att kontakta data eller system och leta efter angripare skapar hotjakten en hypotes om en potentiell angripares metod och arbetar metodiskt för att identifiera symptomen för angreppet. Eftersom strukturerad jakt är en mer proaktiv metod kan IT-proffs som använder den här taktiken ofta fånga upp eller stoppa angripare snabbt.
ostrukturerade: I en ostrukturerad jakt söker cyberhotjakten efter en indikator för kompromisser (IoC) och genomför sökningen från den här utgångspunkten. Eftersom hotjakten kan gå tillbaka och söka i historiska data efter mönster och ledtrådar kan ostrukturerade jakter ibland identifiera tidigare oupptäckta hot som fortfarande kan utgöra en risk för organisationen.
Situationsmässig: Jakt på situationsmässiga hot prioriterar specifika resurser eller data i det digitala ekosystemet. Om en organisation bedömer att vissa anställda eller tillgångar är de högsta riskerna kan den dirigera cyberhotsägare att koncentrera sig på eller förhindra eller åtgärda attacker mot dessa sårbara personer, datauppsättningar eller slutpunkter.
Steg och implementering av hotjakt
Cyberhotsjakter följer ofta dessa grundläggande steg när de undersöker och åtgärdar hot och attacker:
- Skapa en teorin eller hypotes om ett potentiellt hot. Hotjakter kan börja med att identifiera en angripares vanliga TTP:er.
- Utföra forskning. Hotjägarna undersöker organisationens data, system och aktiviteter som en SIEM-lösning kan vara ett användbart verktyg och samla in och bearbeta relevant information.
- Identifiera utlösaren. Forskningsresultat och andra säkerhetsverktyg kan hjälpa hotjägarna att urskilja en utgångspunkt för sin undersökning.
- Undersök hotet. Hotjakter använder sina forsknings- och säkerhetsverktyg för att avgöra om hotet är skadligt.
- Svara och åtgärda. Hotjakter vidtar åtgärder för att lösa hotet.
Typer av hot som jägare kan identifiera
Cyberhotjakt har kapacitet att identifiera en mängd olika hot, inklusive följande:
- Skadlig kod och virus: Skadlig kodSkadlig kod hindrar användningen av normala enheter genom att få obehörig åtkomst till slutpunktsenheter. Nätfiskeattacker, spionprogram, annonsprogram, trojaner, maskar och utpressningstrojaner är alla exempel på skadlig kod. Virus, några av de vanligaste formerna av skadlig kod, är utformade för att störa en enhets normala drift genom att registrera, skada eller ta bort dess data innan de sprids till andra enheter i ett nätverk.
- Interna hot: Insiderhot härrör från personer med auktoriserad åtkomst till en organisations nätverk. Oavsett om det gäller skadliga åtgärder eller oavsiktliga eller försumliga beteenden missbrukar eller orsakar dessa insiders skada på organisationens nätverk, data, system eller anläggningar.
- Avancerade beständiga hot: Sofistikerade aktörer som bryter mot en organisations nätverk och förblir oupptäckta under en viss tid representerar avancerade beständiga hot. Dessa angripare är skickliga och ofta resurstilldelade.
Sociala manipuleringsattacker: Cyberattacker kan använda manipulering och modifiering för att lura en organisations anställda att ge bort åtkomst eller känslig information. Vanliga socialtekniska attacker är nätfiske, hot och skadlig kod.
Metodtips för cyberhotjakt
Tänk på följande metodtips när du implementerar ett protokoll för cyberhotjakt i din organisation:
- Ge hotjakter fullständig insyn i din organisation. Hotjakter är mest framgångsrika när de förstår helheten.
- Underhåll kompletterande säkerhetsverktyg som SIEM, XDR och EDR. Cyberhotsägare förlitar sig på automatisering och data som tillhandahålls av dessa verktyg för att identifiera hot snabbare och med större kontext för snabbare lösning.
- Håll dig informerad om de senaste nya hoten och taktikerna. Angripare och deras taktiker utvecklas ständigt och ser till att dina hotjakter har de senaste resurserna för aktuella trender.
- Utbilda anställda för att identifiera och rapportera misstänkta beteenden. Minska risken för insiderhot genom att hålla dina personer informerade.
- Implementera sårbarhetshantering för att minska organisationens totala riskexponering.
Varför hotjakt är viktigt för organisationer
I takt med att skadliga aktörer blir alltmer sofistikerade i sina angreppsmetoder är det viktigt för organisationer att investera i proaktiv cyberhotjakt. Som komplement till mer passiva former av hotskydd stänger cyberhotjakten säkerhetsluckor, vilket gör det möjligt för organisationer att åtgärda hot som annars skulle gå oupptäckta. Att förhindra hot från komplexa angripare innebär att organisationer måste stärka sitt försvar för att upprätthålla förtroendet för sin förmåga att hantera känsliga data och minska kostnaderna för säkerhetsöverträdelser.
Produkter som Microsoft Sentinel kan hjälpa dig att hålla dig före hot genom att samla in, lagra och komma åt historiska data i molnskala, effektivisera undersökningar och automatisera vanliga uppgifter. De här lösningarna kan ge cyberhotsägare kraftfulla verktyg som hjälper dig att skydda din organisation.
Mer information om Microsoft Security
Microsoft Sentinel
Se och stoppa hot i hela företaget med intelligent säkerhetsanalys.
Microsoft Defender jaktexperter
Få proaktiv hotjakt som sträcker sig bortom slutpunkten.
Microsoft Defender Hotinformation
Skydda din organisation mot moderna angripare och hot som utpressningstrojaner.
Vanliga frågor och svar
-
Ett exempel på cyberhotjakt är en hypotesbaserad jakt där hotägaren identifierar misstänkta taktiker, tekniker och procedurer som en angripare kan använda och sedan söker efter bevis på dem i en organisations nätverk.
-
Hotidentifiering är en aktiv, ofta automatiserad, metod för cybersäkerhet, medan hotjakt är en proaktiv, icke-automatiserad metod.
-
Ett security operations center (SOC) är en centraliserad funktion eller ett team, antingen på plats eller outsourcat, som ansvarar för att förbättra organisationens cybersäkerhetsstatus och förhindra, identifiera och svara på hot. Cyberhotjakt är en av de taktiker som SOC använder för att identifiera och åtgärda hot.
-
Verktyg för cyberhotjakt är programvaruresurser som är tillgängliga för IT-team och hotjakter för att identifiera och åtgärda hot. Exempel på hotjaktverktyg är bland annat antivirus- och brandväggsskydd, EDR-programvara, SIEM-verktyg och dataanalys.
-
Huvudsyftet med cyberhotjakt är att proaktivt identifiera och åtgärda sofistikerade hot och attacker innan de skadar organisationen.
-
Information om cyberhot Cyberhotinformation är den information och de data som cybersäkerhetsprogramvaran samlar in, ofta automatiskt, som en del av sina säkerhetsprotokoll för att bättre skydda mot cyberattacker. Hotjakt innebär att ta information som samlas in från hotinformation och använda den för att informera hypoteser och åtgärder för att söka efter och åtgärda hot.
Följ Microsoft Security