Al eerder in de expertblog “Detecteer ransomware – Stap 4: Endpoint Detection and Response” lieten we het woord “threat hunting” vallen. In deze tijd waarin we te maken hebben met statelijke actoren actoren en cybercrime groepen moet het security team proactief kunnen reageren op dreigingen, zonder dat ze hoeven te wachten totdat er een alert komt in hun SIEM of EDR systeem. Gemiddeld zijn aanvallers meer dan 200 dagen actief in het netwerk voordat ze gedetecteerd worden (Messer, 2018).
Wat nodig is, is dat threat hunters op basis van de laatste threat intelligence informatie proactief zoeken naar malafide activiteiten in uw netwerk. Deze threat hunters hebben EDR, SIEM en NTA producten nodig om hun hypotheses te kunnen testen. Threat hunters gaan verder dan de automatische alerts die uw tooling genereert. Zij denken op een intelligente manier na over uw infrastructuur en denken als de aanvaller. Op basis daarvan toetsen zij actuele dreigingen of checken zij uw infrastructuur op sporen van bepaalde hacktechnieken. Ook kan de alerting op basis van hun onderzoek aangescherpt worden.
De tactieken, technieken en procedures (TTP’s) die cybercriminelen gebruiken zijn bekend en veel daarvan zijn nauwkeurig gedocumenteerd in het Mitre ATT@CK framework (Mitre, 2020). Threat hunters kunnen dit framework gebruiken om sporen van deze technieken te vinden op systemen in hun omgeving (Mitre, 2020). In het framework is per groep aangegeven welke technieken gebruikt worden. Maar er kan ook per aanvalsfase in de kill chain gekeken worden welke technieken mogelijk zijn. Er is gratis software beschikbaar die in staat is om een groot aantal van de technieken gebruikt in Windows te kunnen detecteren (Hansson, 2020).
Soms hebben bepaalde APT groepen verhoogde activiteit of lanceren ze een nieuwe campagne (FireEye, 2020). Een threathunter kan op dat moment inzoomen op de gebruikte TTP van deze groep en nagaan of er sporen te vinden zijn in het netwerk op de processen op je netwerk en afwijkingen op de policies gelogd worden (SANS, 2017).