Kyberturvallisuuden uusimmalle ilmiölle, edistyneiden uhkien metsästykselle (Threat Hunting), ei ole vielä muodostunut vakiintunutta merkitystä. Sillä voidaan viitata löyhästi tai jopa opportunistisesti muuhunkin kuin mahdollisten uhkien aktiiviseen etsimiseen. Perinteiset tietoturvallisuuden valvonnan palveluiden tarjoajat ovat saattaneet ryhtyä kutsumaan tietoturvahälytysten tuijottamiseen keskittyvää palveluaan Threat huntingiksi varsinaisesti kuitenkaan muuttamatta palvelunsa sisältöä.
Mitä Threat hunting itse asiassa on?
Se on iteratiivinen prosessi, jota noudattamalla puolustaja löytää ja paikkaa organisaatiossa havaintokyvyn puutteet ennen kuin hyökkääjä ehtii hyödyntämään niitä. Nämä aukot voidaan sulkea, ennen kuin hyökkääjä ehtii hyödyntää niitä. Threat hunting -toiminnassa oletetaan, että organisaation tiedot ovat jo vaarantuneet. Prosessiin kuuluu hyökkääjän ajattelumallin ymmärtäminen ja hyökkääjän käyttämien tekniikoiden hyödyntäminen. Kun hyökkääjän käyttämät tekniikat on tunnistettu, Threat hunting -asiantuntija voi luoda tunnistuksista mallitapauksia, jotka voidaan automatisoida. Tämä parantaa organisaation kykyjä tunnistaa uhkia.
Threat hunting ei ole ainoa tehokkaaseen puolustautumiseen tarvittava keino – prosessin toimivuus edellyttää myös muita tietoturvatoimintoja. Countercept on kehittänyt yhteen metodologiaan niputtavan vastatoimien Continuous Response -ratkaisun, joka vähentää viivettä ja mahdollistaa välittömän valmiuden ensivasteeseen. Asianmukaisesti laaditussa kokoonpanossa Threat hunting -toiminta ja välitön valmius toimivat integroidusti toinen toistaan ruokkien ja kehittäen. Olemme laatineet Myths and Misconceptions About Threat Hunting -infografiikan, joka kuvaa, mitä Threat hunting todellisuudessa on – ja mitä se ei todellakaan ole.
Threat-hunting-myths-and-truths
Infografiikka on peräisin F-Secure Counterceptin uudesta Demystifying Threat Hunting -julkaisusta, jossa puretaan käsitteeseen yleisesti yhdistettyjä harhaluuloja ja väärinkäsityksiä. Julkaisussa on kuvattu myös sitä, mitä Threat hunting -toiminta tarkoittaa käytännössä ja miten se liittyy välittömään ensivasteeseen. Sisällössä eritellään hyvät käytännöt ja niihin tarvittavat työkalut, kuvaillaan uusimpia suuntauksia ja arvioidaan, mitä Threat hunting -aiheen ympärillä tapahtuu tulevaisuudessa.
Demystifying Threat Hunting whitepaper ‑julkaisu kannattaa ehdottomasti lukea, jos haluaa tietää, miten kyberturvallisuuden puolustautumistekniikat kehittyvät jatkossa – ja etenkin jos haluaa tietää, mitä Threat hunting todella tarkoittaa.
Lataa whitepaper
Kategoriat