De afgelopen tijd heb ik het op deze plaats gehad over zaken die het securityteams een stuk makkelijker moeten maken. Vanwege de alsmaar toenemende complexiteit van cyberscecurity, ICT-infrastructuren en de talloze beveiligingsoplossingen, moeten we security consolideren en automatiseren met behulp van AI en machine learning. Wie mijn wijze raad heeft opgevolgd, zal merken dat niet alleen de security verbeterd is, maar ook dat er weer tijd is. Tijd om zelf eens op jacht te gaan naar dreigingen – threat hunting klinkt wat spannender – om zo de security nog verder op te voeren.
Want ook met inzet van de meest geavanceerde technieken is het onmogelijk om altijd alle dreigingen buiten de deur te houden. Die wetenschap betekent natuurlijk niet dat we daar genoegen mee moeten nemen. Bovendien, veel securitywerk is redelijk passief: wachten op een alert, beoordelen of respons nodig is en, zo ja, in actie komen. Het zoeken naar dreigingen binnen de infrastructuur, en het in kaart brengen van de karakteristieken daarvan, is het werk van securitybedrijven – en van cybercriminelen. Maar binnen de eigen IT-infrastructuur zijn er altijd wel zaken te vinden die de security bedreigen. En het zijn precies die gaatjes die aanvallers met hun geavanceerde methoden vroeg of laat zullen vinden.
Er is nóg een argument om binnen de eigen IT-omgeving zelf op zoek te gaan naar dreigingen. De verhalen over het enorme tekort aan securityprofessionals zijn bekend. En als ze al te vinden zijn, willen ze wel spannend werk. Achter een monitor zitten wachten op alerts valt niet in die categorie. Zelf op jacht gaan daarentegen is veel leuker!
Het uiteindelijke doel van threat hunting is niet alleen het vangen en elimineren van dreigingen. Misschien wordt er wel helemaal geen dreiging gevonden. De jacht begint met aandacht voor opvallende zaken. Bijvoorbeeld korte maar hoge pieken in het netwerkverkeer. Niet ongebruikelijk misschien, maar de vraag is toch: waar komt dat door? Wordt er misschien informatie weggesluisd? Een eigen webserver die af en toe niet bereikbaar is. Zou dat het gevolg kunnen zijn van DDoS-activiteit? Allemaal zaken die misschien weggeredeneerd worden met een niet-kwaadaardige verklaring.
Maar ‘threat hunting’ vraagt om een gebalanceerde aanpak. Dat wil zeggen: ga er niet vanuit dat elke afwijking door malware wordt veroorzaakt, maar ga er ook niet te snel vanuit dat er niets aan de hand is. Zeker als er al allerlei securitymaatregelen zijn genomen, is de neiging te denken dat het loos alarm is. De oorzaak kan immers ook liggen aan vergissingen of nalatigheden die niet zijn opgemerkt, bijvoorbeeld een securitybeleid dat niet overal is doorgevoerd. De jachtbuit kan ook dus ook bestaan uit nieuwe kwetsbaarheden of zwakke plekken in de IT-omgeving. Dan is het natuurlijk verstandig om te checken of er elders in de IT-omgeving dezelfde zwakke plekken te vinden zijn.
Threat hunting kan zo voor securityteams waardevol zijn om de informatiebeveiliging verder te verbeteren. Wie meer informatie wil over hoe ‘threat hunting’ in zijn werk gaat kan die vinden in de white paper Hunting for Hidden Threats: Incorporating Threat Hunting Into Your Security Program. En de komende maanden gaan we threat hunting workshops organiseren, waarin we laten zien hoe je deze jacht het beste kan aanpakken..