Threat Hunting

Definitie

Threat hunting is het proactief zoeken naar verborgen dreigingen en aanvallers die reeds aanwezig zijn in een netwerk, maar nog niet door automatische detectiesystemen zijn opgepikt.

Threat hunting is het proactief zoeken naar cyberdreigingen die bestaande geautomatiseerde beveiligingssystemen niet hebben gedetecteerd. Volgens het SANS Institute 2024 Threat Hunting Survey rapporteert 73% van de organisaties met een threat hunting-programma dat ze dreigingen ontdekken die anders onopgemerkt zouden zijn gebleven.

Hoe werkt threat hunting?

In tegenstelling tot traditionele beveiligingsmonitoring die wacht op alerts, begint threat hunting met een hypothese: wat als een aanvaller al in het netwerk aanwezig is? De threat hunter formuleert een hypothese op basis van threat intelligence, bekende TTP's van dreigingsactoren of afwijkingen in netwerkdata. Vervolgens doorzoekt de hunter systematisch logs, endpoint-telemetrie, netwerkverkeer en andere databronnen op bewijs dat de hypothese ondersteunt of ontkracht. Dit vereist diepgaande kennis van aanvalstechnieken, het IT-landschap van de organisatie en de tools om grote hoeveelheden data te analyseren.

Soorten threat hunting

Hypothese-gedreven hunting begint met een vermoeden gebaseerd op nieuwe dreigingsinformatie of een geidentificeerd risico. IOC-gedreven hunting zoekt naar bekende indicators of compromise in de omgeving. Anomalie-gedreven hunting gebruikt machine learning en statistische analyse om afwijkend gedrag te identificeren dat kan wijzen op een inbraak. TTP-gedreven hunting zoekt specifiek naar bekende aanvalstechnieken uit het MITRE ATT&CK-framework.

Impact voor organisaties

Organisaties die uitsluitend vertrouwen op geautomatiseerde detectie missen gemiddeld 20-30% van de geavanceerde aanvallen die hun omgeving binnendringen. APT-groepen en geavanceerde ransomware-operators gebruiken technieken die specifiek zijn ontworpen om detectieregels te omzeilen. Threat hunting vult dit gat door menselijke intelligentie en creativiteit toe te voegen aan geautomatiseerde systemen. NIS2 vereist dat organisaties in kritieke sectoren adequate detectiecapaciteiten implementeren. Organisaties met een actief threat hunting-programma detecteren inbraken gemiddeld 50% sneller dan organisaties zonder, volgens het Mandiant M-Trends 2024 rapport.

Bescherming

Effectief threat hunting vereist toegang tot hoogwaardige telemetriedata van endpoints, netwerk en cloud. EDR en XDR-platforms vormen de technische basis. Threat intelligence-feeds bieden context over actuele dreigingen en TTP's. Het MITRE ATT&CK-framework structureert de zoekstrategie. Een dedicated threat hunting-team combineert technische expertise met kennis van het dreigingslandschap. Bevindingen uit threat hunting worden vertaald naar nieuwe detectieregels die de geautomatiseerde systemen versterken.

Hoe DEFION helpt

DEFION biedt Managed Threat Hunting als onderdeel van de MDR-dienstverlening. Ervaren threat hunters doorzoeken de IT-omgeving proactief op indicatoren van geavanceerde dreigingen. Bevindingen worden vertaald naar concrete detectieverbeteringen en aanbevelingen.

Gerelateerde termen

DEFION Security helpt organisaties hiermee: