Proactief je ICT-omgeving beveiligen met een threat hunt

In de wereld van security evolueren de risico’s en dreigingen constant. Om hier goed tegen bestand te zijn vormen threat hunts een belangrijk verdedigingsmiddel. In deze blog leggen we uit wat een threat hunt is, wat de toegevoegde waarde ervan is en hoe de uitvoering van een threat hunt in zijn werk gaat.

Wat is een threat hunt?

Threat hunting is het proactief zoeken naar dreigingen binnen het netwerk, in tegenstelling tot forensisch onderzoek dat zich richt op het opsporen van overblijfsels die mogelijk nog aanwezig zijn in de omgeving na een eerder cyberincident. Met een threat hunt neem je aan dat er een dreiging aanwezig is binnen het netwerk en systeem. Threat hunters zoeken indicators of compromise (IoC), zoals ongebruikelijk gedrag en andere signalen van een mogelijke inbreuk op het systeem. Een threat hunt vereist dus de nodige intuïtie en ervaring van de securityprofessional én goede tooling die kwaadaardige activiteiten kan detecteren die geautomatiseerde systemen mogelijk missen.

Proactief threat hunten

Traditionele beveiligingsmaatregelen, zoals firewalls en endpoint protection, zijn ontworpen om het effect van bekende risico’s te verzachten. Helaas gebruiken grotere criminele cyberbendes en advanced persistent threats (APT’s) – zoals statelijke actoren – nieuwe en onbekende middelen om netwerken te infiltreren. Threat hunting helpt met het opsporen en identificeren van deze nieuwe dreigingen. Hierdoor verlaagt ook de medium time to detect (MTD). Dit is de tijd tussen de eerste infectie van het systeem en de ontdekking van die infectie. Hoe meer tijd hiertussen zit, hoe grote de mogelijke schade aan het systeem. Door constant te monitoren en proactief te zoeken naar infecties en eventuele gaten in de beveiliging verklein je doorlopend je aanvalsoppervlakte en vergroot het volwassenheidsniveau van je