Vad är hotjakt och hur utövar du det?

Eftersom cybersäkerhetsattacker sker oftare och blir allt mer störande, är det viktigt att människor inser att de löper större risk för sådana händelser än de kanske tror. Men hotjakt är en kritisk del av en stark internetsäkerhetsstrategi.

Så vad betyder hotjakt egentligen? Hur skiljer det sig från penetrationstestning? Och hur stärker hotjakt din säkerhet på nätet?

Vad är hotsjakt?

Hotjakt innebär att aktivt söka efter tecken på farlig, oönskad aktivitet. Det är motsatsen till att vänta på att få en varning från säkerhetsplattformen om tecken på problem.

Vissa människor tror till en början att penetrationstest är detsamma som hotjaktövningar. Ett penntest syftar dock till att hitta alla sårbarheter och fastställa riskerna med att lämna dem oadresserade. Hotjakt förutsätter att en attack har skett, och målet är att stävja dess framsteg.

Utfall av hotjakt avslöjar ofta också sårbarheter. Det är särskilt sant när cybersäkerhetsutövare lär sig mer om ingångspunkter och attackmetoder.

Hur mycket tjänar hotjägare för sina insatser? Den genomsnittliga grundlönen i USA är mer än

$110 000 per år, vilket indikerar att sådana tjänster är mycket efterfrågade.

Hur engagerar människor sig i hotsjakt?

Hotjägare letar efter Indikatorer för kompromiss (IoC) och Indikatorer för attack (IoA). En IoC fokuserar på vad hackare vill åstadkomma genom att bryta sig in i nätverket. Då är IoA en misstänkt aktivitet som kan vara ett tecken på en attack.

En person som utövar hotjakt bedömer miljön med flera möjliga metoder. Till exempel tittar ett datadrivet tillvägagångssätt på resurser som proxyloggar och bevis på stora dataöverföringsvolymer.

Intel-baserad hotjakt bygger på öppna och kommersiella datakällor som visar cybersäkerhetsrisker och symptomen på sådana problem.

Hotjägare kan också fokusera på en angripares taktik, tekniker och procedurer (TTP). Till exempel, vilka verktyg använder en hackare för att bryta sig in i nätverket? När och hur distribuerar de dem?

Beteendebaserad hotjakt är en nyare teknik men extremt användbar för att upptäcka möjliga insiderrisker. Hotjägare upprättar en baslinje för förväntade åtgärder från nätverksanvändare och söker sedan efter avvikelser.

Vikten av relevant information

För att lyckas med dessa tekniker krävs att en hotjägare har omfattande kunskap om förväntad aktivitet på ett nätverk.

I takt med att dagens arbetskraft blir mer distribuerad är ett företags brandväggar ofta otillräckliga för att skydda ett nätverk. Dock, tror experter det finns ett ständigt behov av att verifiera att de personer som försöker komma åt företagets resurser är auktoriserade parter. Det är därför företag ofta autentiserar arbetare med olika delar av information.

Relaterad: Vad är principen om minsta privilegium och hur kan det förhindra cyberattacker?

Hotjaktslag behöver stora mängder loggdata som samlas in över tid. Att få den informationen från olika källor hjälper dem att fortsätta effektivt och upptäcka tecken på problem. Slutpunktsdata är i allmänhet den mest värdefulla för hotjägare eftersom den ligger närmast den oönskade händelsen.

Hotjakt stärker din cybersäkerhet

Hotjakt är inte något att göra en gång och betrakta jobbet som gjort. Kontinuerlig iteration gör detektionsinsatser mer fruktbara. När hotjägare får veta vad som är normal aktivitet blir ovanliga händelser mer uppenbara.

Ju mer kunskap man får om en IT-miljö och ett nätverk, desto starkare kommer en enhet att vara mot försök till cyberattacker.

Värre än nätfiske: Vad är en cyberattack för valfångst?

Medan nätfiskeattacker riktar sig mot individer, riktar valfångst cyberattacker mot företag och organisationer. Här är vad du ska hålla utkik efter.

Läs Nästa

Om författaren