Nieuw SANS-rapport stelt: threat hunters slaan terug

Het actief opsporen van cyberdreigingen (Threat Hunting) begint langzaam maar zeker uit te groeien tot een vast onderdeel van de beveiligingsstrategie van grotere ondernemingen en organisaties die in het verleden door cyberaanvallen zijn getroffen. Dit blijkt uit een nieuw rapport van SANS. De resultaten geven echter ook aan dat de jacht op cyberdreigingen nog in de kinderschoenen staat en in sterke mate op menselijke intuïtie is gebaseerd.

Threat hunting

SANS definieert ‘Threat hunting’ als een gerichte en herhaalbare zoektocht die ten doel heeft om cybercriminelen die zich in het netwerk van organisaties ophouden op te sporen en inzicht te verwerven in hun identiteit en tactieken. Hoewel de jacht op cyberdreigingen proactief van aard zou moeten zijn, zegt 43% van de respondenten dat hun inspanningen op dit gebied worden ingegeven door een specifieke gebeurtenis dan wel door een ingeving. Nog eens 5% van de respondenten zegt niet te weten wat de aanzet heeft gegeven tot de zoektocht. De overige respondenten monitoren hun netwerk continu (iets wat SANS aanbeveelt) dan wel regelmatig, bijvoorbeeld één keer per week.

"Threat hunting is nieuw voor de meeste organisaties. Regelmatige inspanningen op dit gebied kunnen een positieve uitwerking hebben op de verblijftijd van hackers binnen netwerken", zegt Rob Lee, auteur van het onderzoek, fellow bij SANS en curriculum lead author voor het SANS Incident Response & Forensics-trainingsaanbod.

Jaagvaardigheden

60% van de respondenten die cyberdreigingen actief opsporen, geeft aan dat hun activiteiten hebben geleid tot meetbaar verbeterde resultaten voor hun programma voor informatiebeveiliging. 91% maakte melding van een snellere en nauwkeurige incidentrespons. Het aantrekken van personeel met de juiste vaardigheden blijft een probleem voor organisaties. Slechts 31% van alle organisaties slaagt erin om vaste medewerkers toe te wijzen aan hun threat hunting-programma. Analyse van logbestanden, netwerkkennis, dreigingsanalyse, incidentrespons en digitaal forensisch onderzoek zijn stuk voor stuk gewilde vaardigheden voor de ontwikkeling van opsporingsprogramma’s.

Aanbevelingen

De vaardigheden en tools van organisaties moeten doorontwikkeld worden om het doorzoeken van data, het leggen van verbanden tussen informatiebronnen, de opzet en uitvoer van de zoekacties naar dreigingen te verbeteren, zo blijkt uit de antwoorden van respondenten.

"Dit onderzoek informeert onze branche komt onze branche ten goede door duidelijk te maken dat de meeste organisaties nieuwkomers zijn wat betreft de jacht op cyberdreigingen", aldus Lee. “Dit kan dienen als stimulans voor organisaties die threat hunting nog niet in hun beveiligingsstrategie hebben opgenomen."

Threat hunting vaardigheden op Secure Europe

De gewenste threat hunting-vaardigheden staan centraal in twee van de negen hands-on trainingen die plaatsvinden tijdens SANS Secure Europe 2017. Dit beveiligingsevenement vindt plaats van 12 t/m 20 juni in Amsterdam. FOR572: Advanced Network Forensics and Analysis wordt gegeven door SANS Instructor en voormalig US Airforce security professional Philip Hagen. Tijdens de training komen de meest essentiële vaardigheden aan bod om efficiënte en effectieve zoekacties op touw te zetten ‘post-incident response’, met focus op communicatiestromen.

In FOR508: Advanced Digital Forensics, Incident Response, and Threat Hunting leert SANS Instructor Nick Klein threat hunting teams geavanceerde vaardigheden om een grote variatie aan dreigingen op bedrijfsnetwerken op te sporen, te identificeren, bestrijden en herstellen aan de hand van een ‘real-life intrusion lab’. Nick Klein geeft regelmatig als expert getuigenis in rechtszaken in Australië en andere landen, waaronder de rechtszaken na de bomaanslagen in Bali in 2003. Het volledige programmaoverzicht en een inschrijfformulier zijn te vinden op de website van SANS.