De uitdaging van Threat Hunting voor het Security Operations Center

Als een organisatie geen opvallende meldingen op het netwerk ziet, betekent dit dan dat de omgeving vrij van bedreigingen is? Elk Security Operations Center (SOC) team weet dat het antwoord daarop nee is. Analisten kunnen nooit zeker zijn dat tegenstanders niet ongemerkt zijn binnengedrongen of dat er geen onbekende kwetsbaarheden bestaan.

Daarom is het van cruciaal belang dat het SOC in staat is om op bedreigingen te jagen. Threat hunting stelt beveiligingsteams in staat om proactief te handelen: nog vóórdat een incident wordt geïdentificeerd of een onderzoek begint, speuren ze naar risicovol gedrag. Wanneer een geloofwaardige bedreiging wordt gevonden, onthult dit een blinde vlek in de zichtbaarheid van het SOC in de IT-infrastructuur van de organisatie. Dit betekent dat een indringer of zwakke plek in de beveiliging onopgemerkt is gebleven, en dat een aanval al onderweg kan zijn.

Dit benadrukt het belang van threat hunting als een beveiligingsstrategie. Niet alle verdachte of kwaadaardige activiteiten vallen immers meteen op; vaak gebruiken aanvallers geldige inloggegevens om gegevens te compromitteren zonder alarmsignalen af te geven. Hoewel threat hunting essentieel is, kan het effectief uitvoeren hiervan ontzettend uitdagend zijn.

Bedreigingen Kunnen van Binnenuit en van Buitenaf Komen

Tegenstanders buiten een organisatie hebben verschillende manieren om legitieme toegang tot gegevens en systemen te krijgen. Phishing en andere scams kunnen betrouwbare medewerkers in gevaar brengen en hen, onbewust, tot een kwetsbaarheid voor de organisatie maken.

Onderzoek toont aan dat 68% van de datalekken een niet-kwaadaardige menselijke factor omvat, zoals een medewerker die een fout maakt of slachtoffer wordt van social engineering. In deze gevallen worden medewerkers onbedoelde medeplichtigen en helpen zij tegenstanders lateraal door het netwerk te bewegen en gegevens te exfiltreren.

Daarnaast zijn er ook kwaadwillende interne bedreigingen: personen die al geldige inloggegevens hebben doordat de organisatie hen vertrouwde. Van de verschillende soorten insider threats zijn deze kwaadwillende insiders de meest verraderlijke en gevaarlijke.

Om uiteenlopende redenen—een conflict met een leidinggevende, de overstap naar een concurrent, of een omkoping door een crimineel—kan iemand opzettelijk misbruik maken van hun toegang om gegevens te stelen, te wijzigen of te vernietigen. De vraag is: hoe kunnen deze insiders worden opgespoord?

Voor Threat Hunters Zijn Standaard IoAs en IoCs Niet Voldoende

Traditionele threat hunting schiet vaak tekort als het gaat om het snel en accuraat detecteren van insider threats. Dit komt doordat het gebaseerd is op basis-indicatoren van een aanval (IoAs) en indicatoren van compromittering (IoCs), zoals hashwaarden, IP-adressen en domeinnamen. Hoewel deze enige informatie kunnen bieden over externe bedreigingen, zijn ze beperkt in het identificeren van interne bedreigingen die als vertrouwde gebruikers overkomen.

IoAs en IoCs duiken vaak pas op wanneer een aanval al in volle gang is. Ze herkennen zelden de activiteiten en gedragingen die aan een aanval voorafgaan, wat betekent dat de schade mogelijk al is aangericht. Basis-IoAs en IoCs vormen daarom de onderste lagen van het bekende Pyramid of Pain-model.

Effectieve threat hunting wordt verder bemoeilijkt doordat veel organisaties afhankelijk zijn van correlatiemotoren met duizenden regels voor dreigingsdetectie. Wanneer logboeken gegevens bevatten van endpoints, firewalls, webverkeer en tools van meerdere leveranciers, ontstaat er een enorme hoeveelheid ruis die analisten kan afleiden en de activiteiten van tegenstanders kan maskeren.

Om de vloedgolf aan meldingen te beheersen, schakelen beveiligingsteams vaak het merendeel van de regels van hun correlatiemotor uit. Dit compromis kan echter leiden tot het onopgemerkt blijven van afwijkingen en onbekende bedreigingen.

Threat Hunters Moeten Stijgen Tot Bovenaan de Pyramid of Pain

Hoe kunnen analisten verder kijken dan basis-IoAs en IoCs om de vroege tekenen van een aanval op te sporen of de intentie van een tegenstander te detecteren? De sleutel ligt in het identificeren van tactieken, technieken en procedures (TTPs).

TTPs vertegenwoordigen de hogere lagen van het Pyramid of Pain-model en omvatten complexere, op gedrag gebaseerde indicatoren. Door TTPs te detecteren, volgen analisten de best practices voor threat hunting. Bijvoorbeeld, het MITRE ATT&CK®-framework koppelt TTPs aan specifieke gedragingen van tegenstanders.

Het identificeren en onderscheppen van TTPs van aanvallers helpt niet alleen om een dreigende aanval te voorkomen, maar dwingt tegenstanders ook om hun strategieën te herzien. Zodra hun methoden worden gedetecteerd, kunnen ze niet langer aan het oog van de beveiliging ontsnappen. Dit maakt TTPs tot een essentiële verdedigingslinie voor organisaties.

Twee mogelijkheden zijn van cruciaal belang voor geavanceerde dreigingsdetectie. De eerste is een moderne SIEM-oplossing die gegevens in de hele organisatie verzamelt, meldingen stroomlijnt en threat hunting door analisten centraliseert.

De tweede mogelijkheid is user and entity behavior analytics (UEBA), die gebruik maakt van machine learning om een basislijn van normaal gedrag binnen de organisatie op te stellen. Hierdoor worden afwijkingen automatisch gemarkeerd, zelfs als ze afkomstig zijn van een vertrouwde gebruiker of apparaat met legitieme inloggegevens.

Samen vormen deze oplossingen een solide basis voor het detecteren van afwijkingen, identificeren van TTPs, detecteren van insider threats en versterken van uw threat hunting-programma.

Over Exabeam

Exabeam is een wereldwijde leider op het gebied van cybersecurity die AI-gedreven beveiligingsoperaties levert. Data-inname met hoge integriteit, krachtige analyses en workflow-automatisering vormen de basis van het meest geavanceerde zelfbeheerde en cloud-native beveiligingsplatform voor dreigingsdetectie, onderzoek en respons (TDIR). Exabeam stelt beveiligingsteams wereldwijd in staat om cyberdreigingen te bestrijden, risico’s te beperken en beveiligingsoperaties te stroomlijnen. Meer informatie is te vinden op www.exabeam.com.

 

originele artikel

 


Wilt u meer weten wat Exabeam voor uw organisatie kan betekenen? Neem dan contact op met Exclusive Networks op + 31 (0) 499 462121 of mail naar info@exclusive-networks.nl