Partner Blog

Tijd om proactief aan de slag te gaan met threat hunting

The best defense is always a good offense

Als Arnie Lopez van McAfee denkt aan de vele uitdagingen waar threat hunters tegenwoordig mee te maken hebben, geloof hem dan als hij zegt dat hij hun pijn voelt. In het begin van zijn carrière was hij een Security Engineer in een SOC die in actie kwam wanneer hij het spreekwoordelijke middernachtelijke telefoontje over een incident ontving.  

Het systeem waar hij deel van uitmaakte was niet perfect, omdat ze altijd een stap achter liepen op hun tegenstanders. Toch hielden ze het vol door de inzet van een scala aan beveiligingstechnologieën om eventuele schade te minimaliseren. Bedrijven namen in principe een reactieve "whack-a-mole" benadering aan, waarbij verdedigers eenmalige beveiligingslekken aanpakken als ze opduiken. Maar we hebben te maken met een nieuw cybersecurity landschap dat duidelijk maakt dat we een nieuwe, meer proactieve benadering van threat hunting moeten hanteren.

Zijn we een doelwit?

In het verleden werd cybersecurity door het senior management over het algemeen als een bijzaak beschouwd. Nu niet meer. De bedrijfsbesturen zijn eindelijk afgestemd op de grote uitdaging die cybersecurity voor hun bedrijf vormt. Terwijl het bestuur bereid is om hierin te investeren, wil het ook het maximale rendement halen uit de investeringen in de tools die de CISO's zeggen nodig te hebben.   

Ze zullen echter niet geduldig zijn als hun cybersecurity strategie nog steeds berust op het wachten op de volgende phishing-e-mail om het netwerk te besmetten voordat de verdedigers in actie komen. Bedrijven hebben de luxe niet, zeker niet in het huidige bedreigingslandschap waar ze het doelwit zijn van steeds geavanceerdere aanvallers. Dit heeft gevolgen voor iedereen die betrokken is bij de zakelijke cybersecurity keten - van de CISO tot de meest junior analist in het SOC-team.  

Threat hunters moeten in staat zijn om externe dreigingsfeeds en gegevens te bundelen in een bruikbare context om te weten of de organisatie een doelwit is. En ze hebben ook bruikbare informatie nodig om stappen te ondernemen die de algehele beveiligingspositie van de organisatie versterken. Dit kan van alles zijn, van het instellen van een algemene lockdown tot het aanpassen van beleid dat de endpoints of de webgateway beter beveiligt.   

Helaas blijft deze proactieve houding voor de meeste bedrijven nog steeds buiten bereik. Minder dan 20% van de inbreuken wordt tijdig gestopt omdat dreigingsjagers niet beschikken over de tools die tijdige en bruikbare context leveren waar Andy het over heeft. 

De raden van bestuur zullen niet geduldig zijn als hun threat hunt aanpak het equivalent is van het oproepen van de brandweermannen pas nadat de brand is begonnen. De organisatie moet op voorhand weten wat er in hun cyberomgeving gebeurt, niet achteraf. 

Threat hunting proactief

The Rise of the Strategic Threat Hunter 

Dat zet extra druk op threat hunters om het probleem voor te zijn voordat het een probleem wordt. Aangezien de gemiddelde kosten van datalekken blijven stijgen, loopt men te veel risico door de status-quo te blijven handhaven. Herstel en oplossing na de constatering van het probleem voldoet niet meer. Maar als threat hunters van tevoren weten wie het doelwit is en welke endpoints worden geraakt, dan is dat een game-changer. Op dat moment kunnen ze proactief maatregelen nemen om hun organisaties te beschermen. 

McAfee breidt van hun technologieën portfolio niet alleen de bescherming uit over alle endpoints en de cloud, maar stroomlijnt ook het onderzoeksproces. Hierdoor kunnen threat hunters in verschillende sectoren, industrieën en regio's inzoomen. Ze brengen bestaande campagnes die gebruik maken van industriële en geografische bedreigingsactiviteiten in verband met de eigen endpoint security houding van de organisatie.

Dat is een belangrijke zegen voor threat hunters die nu nauwkeurig inzicht kunnen krijgen in de mogelijke samenstelling van potentiële beveiligingsrisico's. Ze hoeven niet langer handmatig door ongelijksoortige gegevens te bladeren, waarbij ze valse positieven scheiden van echte aanwijzingen voor problemen. Dus in plaats van kostbare tijd te verspillen aan drukke werkzaamheden, zetten ze hun talenten in om de meest effectieve manier te vinden om met binnenkomende bedreigingen om te gaan.  

Zelfs op een goede dag is het werk van de threat hunter al moeilijk genoeg. Zonder de nodige informatie om het grotere geheel te helpen begrijpen, lijkt het meer op Mission Impossible. Maar met een onlangs aangekondigde proactieve MVISION Insights in de hand, kunnen threat hunters eindelijk het script omdraaien om de strijd aan te gaan met de slechteriken. Onthoud: the best defense is always a good offense.

Arnie Lopez - 30 juli 2020

Lees meer over McAfee's MVISION Insights

McAfee® MVISION Insights beschermt gegevens waar ze zich op dit moment bevinden, met een oplossing die in de cloud is gebouwd, voor de cloud.

Lees meer over MVISION Insights

Pagina delen:

Deze website maakt gebruik van cookies. Door verder te gaan op de site ga je akkoord met ons gebruik van cookies. Lees meer