11.10.2019
5 min læsetid

Kom hackeren i forkøbet med Threat hunting

Vil du fange hackerne, før de rammer dig? Her er 5 trin til at komme i gang med aktiv threat hunting, så du kan gribe ind, før skaden er sket.

IDA Learning

afIDA Learning

For at undgå, at kritisk infrastruktur i din virksomhed bliver ødelagt eller låst af hackere, skal du kunne overvåge og genkende unormale aktiviteter på dit netværk, så du kan gribe ind, før skaden er sket.

I modsætning til et klassisk incident response, hvor du opdager et angreb og søger at inddæmme og udbedre skaderne, arbejder flere og flere virksomheder nu med aktiv threat hunting.

Her sigter du mod at indfange truslerne, før de rammer dig. Threat hunting (eller active defense) er centreret omkring analyser, der proaktivt spejder efter tidlige indikatorer for svagheder i og potentielle trusler mod dine systemer.

Typisk vil en threat hunter benytte sig af værktøjer som sikkerhedsovervågningsløsninger såsom firewalls, antivirus-software, netværkssikkerhedsovervågning, network intrusion- og insider threat-detektionsværktøjer.

SIEM-løsninger (Security Information and Event Management) er gode til at indsamle interne strukturerede data i dit miljø og give en realtidsanalyse af sikkerhedsadvarsler fra netværket. Grundlæggende forvandler de rå sikkerhedsdata til en meningsfuld analyse. Netop det gør det muligt at finde sammenhænge, der kan afsløre skjulte sikkerhedstrusler.

Grib ind, før skaden er sket

Arbejder du med operationel cybersikkerhed? Lær hvordan du bedst opbygger et effektivt forsvar og beskytter driften i din virksomhed.

Deltag på IDAs kursus: Cybersecurity - Threat hunting og Honeypots

Sådan kommer du i gang med Threat Hunting

Opdag og lokaliser

Start med at afdække hvilket udstyr/services, der reelt befinder sig i dit miljø: Indsaml netværksdata, analyser MAC-adresser, kør pcap-analyser mv. - og benyt dig af open-source intelligence (OSINT) på eksterne netværk.

Analyser (baseline)

Tag udgangspunkt i dine data fra trin 1 - fx dine netflowdata/PCAP-filer:

Hvilke adgange er der i miljøet? Hvad med tredjeparts leverandører? Kan dit udstyr logge? Er der noget indbygget, du ikke benytter?

Og måske den mest værdifulde: Hvordan ser normal drift ud

Review (reality check)

Hvilke sårbarheder har du – og hvad kan du gøre ved dem? Hvilke muligheder har du?

Overvåg

Læg din opdaterede viden om netværk/enheder sammen med din viden om baseline. Nu har du en reel mulighed for at opdage anomaliteterne.

Threat Hunting

Identificer angrebsvinkler (fx ved hjælp af et attack tree) og tænk mulige angreb igennem: Kan du fx opdage standardvæktøjer som keyloggers, Nmap, ARP-spoofing, PowerShell Empire mm?

Lær at tænke som en hacker

To beat a hacker, you need to think like one! Lær at hacke, teste, scanne og sikre dine egne systemer ved hjælp af avancerede hackingværktøjer og teknikker.

Deltag på IDAs kursus: Certified Ethical Hacker v10

Tilmeld dig Technorama

I Technorama får du et overblik over de vigtigste historier fra teknologiens verden, hvad end det handler om etiske dilemmaer, nye teknologiske landvindinger eller spæde opfindelser.
  • Aktuelle artikler
  • Det bedste vi har set
  • Ugens nyhedsoverflyvning
Tilmeld dig nyhedsbrevLæs det seneste nyhedsbrev