Threat Hunting is een methode waarbij mens en machine samenwerken tegen cyberaanvallen en -dreigingen om IT-infrastructuren en netwerken te beschermen tegen aanvallen van buitenaf.
Beveiligingsfunctionarissen en teams die verantwoordelijk zijn voor IT in bedrijven en organisaties bereiken hun grenzen in het licht van de steeds groeiende en steeds geavanceerdere dreigingen. Zonder de ondersteuning van machines is het nu al bijna onmogelijk om de snelle ontwikkelingen bij te benen.
Met elke nieuwe notebook, tablet of smartphone, met elke extra cloudgebaseerde toepassing, groeit voor bedrijven het risico om het slachtoffer te worden van een cyberaanval. Criminele specialisten worden steeds vindingrijker en listiger in het vinden van zwakke punten in netwerken en het gebruik ervan voor hun eigen doeleinden. Deskundigen schatten dat er elke minuut meer dan 200 cyberdreigingen zijn die moeten worden opgespoord en waartegen moet worden opgetreden. Beveiligingsteams kunnen hier alleen op reageren, omdat er meestal niet genoeg capaciteit is voor een proactieve aanpak. De enige kans om greep op het probleem te krijgen, is het inschakelen van machines die bepaalde taken overnemen.
Hoe kunnen machines helpen bij defensie?
Machines met de juiste software zijn bijzonder geschikt voor het uitvoeren van repetitieve taken, zoals het analyseren van gegevens voor IT-beveiliging. Vergeleken met mensen kunnen zij in zeer korte tijd enorme hoeveelheden gegevens onderzoeken, nagaan of er afwijkende patronen zijn en vooraf gedefinieerde verdedigingsmaatregelen nemen. Routineaanvallen met bekende gedragspatronen zijn voor mensen gemakkelijk op te sporen, maar het kost enorm veel tijd om daartegen op te treden. Machines kunnen dit sneller en efficiënter doen.
Verwacht, jaag niet na
Alleen reageren op cyberdreigingen is niet langer voldoende nu deze steeds complexer worden. Threat hunting heeft tot doel met behulp van machines proactief te zoeken naar kwetsbaarheden in iemands netwerk en mogelijke aanvalspatronen te identificeren voordat ze worden toegepast. Een threat hunter heeft tot taak om op basis van hypotheses en specifieke aanwijzingen mogelijke infiltratiepunten te vinden en zijn bevindingen te vertalen in geautomatiseerde regels en scripts die vervolgens in de beveiligingsinfrastructuur worden ingevoerd.
Samenwerking in plaats van concurrentie
Threat hunting gaat dus niet over het verdringen van mensen door machines. De nadruk moet veeleer liggen op de vraag hoe beide facties elkaar het best kunnen aanvullen en hoe zij door hun samenwerking de beveiliging van de IT-infrastructuur kunnen versterken. Machines zijn beter geschikt om kwantitatieve en geautomatiseerde taken uit te voeren, terwijl mensen beter in staat zijn de juiste strategieën te ontwikkelen. In samenwerking kan het mogelijk zijn altijd op de hoogte te zijn van externe bedreigingen.