Trusseljakt

Trusseljakt, bedre kjent som “threat hunting”, er bruk av proaktive metoder for å finne trusler som har passert under radaren. Det springer ut av mantraet “assume the breach”, altså anta at trusselaktøren allerede har kommet seg inn i systemene dine. I tillegg til å aktivt finne trusler, bidrar trusseljakt til å utfordre og forbedre eksisterende sikkerhetsovervåkning.

Jakten kan ha ulike utgangspunkter, f.eks. trusseletterretning, avvik eller en hypotese om en mulig teknikk for å omgå et sikringstiltak som er ment å beskytte virksomhetens kronjuveler. Trusseljakt beskrives som regel som aktivitet rettet mot å avdekke avanserte trusselaktører og målrettede angrep, men det er ingenting i veien for å utvide trusseljakten til å belyse utilsiktede sikkerhetshendelser. Det er kun tilgangen på data, oppfinnsomheten og evnen til å utforme hypoteser som setter begrensninger.

Trusseljakt er krevende. I tillegg til tilgjengelig tid, krever det betydelig kunnskap om trusselaktører og teknikker. Dette gjør det utfordrende for mange virksomheter å innarbeide trusseljakt som en integrert del av det pågående sikkerhetsarbeidet. Selv om ad-hoc trusseljakt ikke kan forventes å levere verdi tilsvarende det et modent og velintegrert trusseljaktprogram kan, bør det ikke hindre virksomheten fra å forsøke. Noe verdi er bedre enn ingen verdi.

I tillegg til å avdekke trusler på et tidligere stadium, kan trusseljakt bidra til å utfordre sikkerhetsovervåkningen, avdekke sårbarheter, og gi verdifull trening til fremtidig hendelseshåndtering. Utstyrt med tekniske indikatorer eller en hypotese om hvordan trusselaktør vil gå frem, tar det ofte ikke lang tid før man blir gjort klar over manglende synlighet i informasjonssystemene. Dette er en viktig oppdagelse, da det både har innvirkning på evnen til å oppdage trusler, og på evnen til å håndtere sikkerhetshendelser. Videre er det ikke uvanlig at dypdykk i logger avdekker avvik fra normalen, uten at avvikene nødvendigvis representerer sikkerhetshendelser. Slike avvik kan være forårsaket av ukjent programvare, privat maskinvare, eller andre forhold som virksomheten sannsynligvis vil ønske å kontrollere. Om jakten fører til fangst eller ikke, er jakten i seg selv en utmerket øvelse som forbereder til triage, analyse og håndtering av fremtidige sikkerhetshendelser.

Secunor tilbyr virksomheter bistand til trusseljakt gjennom:

  • Analyse av virksomhetens behov for trusseljakt
  • Teknisk tilrettelegging for trusseljakt
  • Integrasjon av trusseljakt i sikkerhetsarbeidet
  • Opplæring
  • Gjennomføring av trusseljakt

Virksomheter kan ha svært ulike utgangspunkt for å drive med trusseljakt, både når det gjelder informasjonsverdier, infrastruktur, angrepsflate og tekniske muligheter for trusseljakt. Dette er momenter som må tas i betraktning når ambisjonsnivået skal settes og aktiviteter skal planlegges. Ta kontakt dersom du har generelle spørsmål om trusseljakt eller ønsker å diskutere hvordan trusseljakt kan styrke virksomhetens operative sikkerhetsarbeid.