Når det drejer sig om threat hunting inden for cybersikkerhed, glider samtalerne ofte over i en bølge af tekniske udtryk og forkortelser som IoA - Indicator of Attack, IoC - Indicators of Compromise eller TTP - Tactics, Techniques and Procedures. Termerne er selvfølgelig vigtige, men de siger ikke meget om konceptet bag threat hunting, og hvad denne teknik handler om.

Ikke alle threat hunters har de samme opgaver, når de søger efter nye angrebsmetoder eller evaluerer koder, scripts og klassiske data- og databaseanalyser. Groft sagt er der fire grupper, hvor de tre første leverer mere data, som threat hunter i virksomheder også bruger som thread intelligence:

• Evangelister: Selvom disse eksperter ikke er direkte threat hunters, har nogle af dem et fremragende overblik over det aktuelle IT-trusselslandskab gennem årtier og ved, hvordan man fortolker data, der allerede er blevet analyseret. De leverer vigtigt datamateriale, som bliver til efterretningsdata. Et eksempel på dette er computersikkerhedsekspert og trusselsjæger Mikko Hyppönen. Han jagtede allerede angribere online og analyserede deres data, da alle disse begreber endnu ikke var defineret. Det er værd at følge hans foredrag og præsentationer. Hans forudsigelser, selv mange år ud i fremtiden, går desværre alt for ofte i opfyldelse, som f.eks. hans tidlige citat om IoT: "Hvis det er smart, er det sårbart".
• Researchers: På mange universiteter udfører ekspertteams forskning og threat hunting ved at undersøge, hvad der er muligt med nye teknologier, og hvilke metoder angriberene bruger i øjeblikket og vil bruge i fremtiden. Amerikanske MIT CSAIL og Fraunhofer Institute SIT er i front her.
• Headsr: Nogle specialister ønsker ikke at være officielt kendte, men er kun i kontakt med hinanden og udveksler informationer. Check Point Research-teamet er noget mere kendt og beskriver i sin blog, hvordan de først udfører threat hunting og derefter analyserer den nøjagtige sekvens af et malwareangreb i alle dets trin. For eksempel hvordan et angreb på et system til administration af mobile enheder - MDM - fandt sted. Teamet præsenterede først taktikken og sporede derefter angrebet trin for trin. Dokumentationen viser de anvendte scripts, koder, porte og værktøjer. Men institutter som AV-TEST Institute beskæftiger sig også med aktiv threat hunting. AV-TEST bruger sine egne analyseværktøj til dette og producerer en masse information som "Threat Intelligence" (TI) gennem sin datastrøm og foreløbige analyser - grundlaget for threat hunting.
• SecOps-eksperter: Denne største gruppe er den virkelige søjle i den daglige threat hunting. De drager fordel af evangelisternes, forskernes og ledernes analyser. Disse eksperter arbejder i mange SecOps-afdelinger hos sikkerhedsleverandører og tjenesteudbydere, der tilbyder managed SOC som en tjeneste. Mange detektionssystemer producerer datastrømme med anomalier, som først analyseres ved hjælp af maskinlæring (ML) eller AI. Den vigtige rest, den egentlige trusselsinformation, bruges derefter til efterforskning og threat hunting. Gennem løbende evaluering identificerer specialteams sårbarheder og sender dem videre som detektionsdata. Dette sikrer et passende forsvar mod udnyttelser, klassificerer sårbarheder eller iværksætter modforanstaltninger til angrebskampagner.

Enkelt forklaret er threat intelligence indsamlingen af alle de oplysninger, som threat hunters bruger til at undersøge uregelmæssigheder. Spørger man CTO og threat hunter Maik Morgenstern fra AV-TEST, er det klart, at "threat hunting ikke kan fungere uden god trusselsinformation fra forskellige kilder og it-sikkerhedsværktøjer".

En sådan datastrøm kan sammensættes af mange dele. Hvis trusselsjægere f.eks. arbejder i en virksomheds SecOps, bruger de alle de data, der leveres af de lokale sikkerhedsværktøjer. Ud over netværksprotokoller og strukturelle data om it-infrastrukturen omfatter dette data fra en EDR-, XDR- (med NDR) eller SIEM-løsning. Værktøjerne kender it-strukturen og registrerer alle dataoverførsler i netværket, genkender softwareafhængigheder og deres kommunikation i netværket, fra klient-pc'en til cloud-applikationen.

Threat hunters tjekker normalt iøjnefaldende processer, anomalier eller undersøger sårbarheder baseret på indikationer eller tidligere offentliggjorte sårbarheder. I bedste fald er disse allerede beskrevet som CVE (Common Vulnerabilities and Exposures) i en offentliggjort database. Ekspert Maik Morgenstern fra AV-TEST kender et praktisk eksempel, der illustrerer dette: "Hvis man f.eks. ved, at en aktuel malware-kampagne bruger port 777 til kommunikation efter en infektion, kan en threat hunter også tjekke, om hans virksomhed kan være berørt og dermed spore angrebet. Men de kan også forhindre skader ved at overvåge porten mere intensivt eller endda blokere den forebyggende."

Threat huntere tjekker konstant deres eget netværk for uregelmæssigheder eller andre mistænkelige aktiviteter. Til det formål bruger de threat intelligence, som er den viden, de har fået fra aktuelle hændelser, der er sket andre steder. Hvis de finder de processer, eksekverede filer og adgange, de leder efter, sender de normalt disse vigtige oplysninger videre til incident response-teamet, som stopper angrebet. EDR-, XDR- (med NDR) eller SIEM-løsninger hjælper igen her, da de kan bruges til hurtigt at rulle omfattende netværksregler ud og andre handlinger og sikre yderligere overvågning. Først når angrebet og al adgang er inddæmmet, kommer forensic eksperter i spil, da de er de bedste analytikere af farlige scripts, koder eller malware, der er brugt til angrebet.

• Threat Hunting giver dig et bedre overblik over det aktuelle trusselsbillede i virksomhedens eget netværk. Hvis der identificeres en trussel eller et angreb, aktiveres incident response-teamet og den endelige forensic fortsætter.
• Threat hunters bruger ikke kun eksisterende it-sikkerhedsanalysesystemer, såsom EDR, XDR (med NDR) eller SIEM-løsninger, der arbejder sammen med endpoint-sikkerhed. De kan også træne systemer, implementere regler og dermed reducere angrebsvektorer.
• Threat huntere har som regel et godt netværk og har derfor dyb indsigt i de fora, som potentielle angribere bruger til at udveksle oplysninger. Threat hunters søger på Darknet, hvor kriminelle ofte handler med stjålne credentials oplysninger eller andre virksomhedsdata. En sådan research kan også afsløre et datatab eller en cyberindtrængen, som ingen endnu har bemærket.
• Enhver CISO og CTO bør selv bruge ti minutter på threat hunting, f.eks. ved at kigge på Shodan.io, en søgemaskine for internetforbundne enheder med IP-adresser. Hvis man der søger efter "VMware vCenter"-servere, som er sårbare uden en patch via port 443, præsenterer Shodan over 1.700 sårbare servere i testen. Er din virksomhed på listen?