Threat hunting langzaam maar zeker toegevoegd aan beveiligingsarsenaal

0

Opsporing van cyberdreigingen begint langzaam maar zeker uit te groeien tot een vast onderdeel van de beveiligingsstrategie van grotere organisaties die in het verleden door cyberaanvallen zijn getroffen. Threat hunting staat echter nog in de kinderschoenen en is in sterke mate op intuïtie gebaseerd. Daarop duidt onderzoek door SANS, onderwijs-instituut voor cybersecurity-training en -certificering.

Threat hunting is een gerichte en herhaalbare zoektocht die ten doel heeft om cybercriminelen die zich in het netwerk van organisaties ophouden op te sporen en inzicht te verwerven in hun identiteit en tactieken.

Hoewel de jacht op cyberdreigingen proactief van aard zou moeten zijn, zegt 43 procent van de respondenten dat hun inspanningen op dit gebied worden ingegeven door een specifieke gebeurtenis dan wel door een ingeving. Nog eens 5 procent zegt niet te weten wat de aanzet heeft gegeven tot de zoektocht. De overige respondenten monitoren hun netwerk continu of bijvoorbeeld één keer per week.

Vaardigheden

Zes op de tien respondenten die cyberdreigingen actief opsporen, geven aan dat hun activiteiten hebben geleid tot meetbaar verbeterde resultaten van hun informatiebeveiliging. Negen op de tien maken melding van een snellere en nauwkeurige incidentrespons.

Het aantrekken van personeel met de juiste vaardigheden blijft een probleem voor organisaties. Nog net geen derde van alle ondervraagde organisaties slaagt erin om vaste medewerkers toe te wijzen aan hun threat hunting-programma. Analyse van logbestanden, netwerkkennis, dreigingsanalyse, incidentrespons en digitaal forensisch onderzoek zijn stuk voor stuk gewilde vaardigheden voor de ontwikkeling van opsporingsprogramma’s.

De vaardigheden en tools van organisaties moeten verder worden ontwikkeld om het doorzoeken van data, het leggen van verbanden tussen informatiebronnen, de opzet en uitvoer van de zoekacties naar dreigingen te verbeteren, zo blijkt uit de antwoorden van respondenten.

“Threat hunting is nieuw voor de meeste organisaties. Regelmatige inspanningen op dit gebied kunnen een positieve uitwerking hebben op de verblijftijd van hackers binnen netwerken”, zegt Rob Lee, auteur van het onderzoeksrapport, fellow bij SANS en curriculum lead author voor het SANS Incident Response & Forensics-trainingsaanbod.

“Dit onderzoek komt onze branche ten goede door duidelijk te maken dat de meeste organisaties nieuwkomers zijn wat betreft de jacht op cyberdreigingen. Dit kan dienen als stimulans voor organisaties die threat hunting nog niet in hun beveiligingsstrategie hebben opgenomen.”

Over het onderzoek

De enquête werd gehouden onder 306 respondenten binnen de SANS-gemeenschap. 65 procent van deze respondenten is werkzaam als security analyst, security manager/director of incident responder/threat analyst. Dit zijn tevens de groepen die verantwoordelijk zijn voor de uitvoer van threat hunting-activiteiten. De top vijf sectoren die vertegenwoordigd zijn in het rapport zijn de financiële sector (19%), overheid (14 %), high tech (13%), telecom of ISP (8%) en gezondheidszorg (6%).