Direct contact opnemen? T 0318-762620 E info@masero.nl

Waarom Threat Hunting essentieel is binnen het SOC

Gepubliceerd: 24-03-2025

Voor een sterke cybersecuritystrategie is het van groot belang om proactieve maatregelen te treffen, afwachten hoort daar niet bij. Er moet actief gezocht worden naar verborgen dreigingen binnen netwerken en systemen. Dit proces noemen we Threat Hunting en is in onze ogen onmisbaar binnen het Security Operations Center. In deze blog gaan we iets dieper in op wat Threat Hunting precies inhoudt en waarom wij dit zo belangrijk vinden.

 

Zoals hierboven al benoemd is Threat Hunting een proactieve strategie waarbij analisten actief op zoek gaan naar tekenen van een cyberaanval, of verdachte activiteiten binnen een IT-omgeving. In tegenstelling tot de traditionele detectie methodes, zoals geautomatiseerde beveiligingstools die wachten op alerts, richt Threat Hunting zich op het opsporen van (nog) verborgen dreigingen voordat ze schade kunnen aanrichten.

 

Binnen het Threat Hunting proces wordt onderscheid gemaakt tussen drie verschillende soorten dreigingsinformatie. We lichten deze toe aan de hand van een overzichtelijke uitleg die terug te vinden is in één van de vele artikelen over Threat Intelligence, geschreven door Microsoft.

 

Strategische dreigingsinformatie

Dit helpt organisaties inzicht te krijgen in de motieven van dreigingsactoren. Anders geformuleerd: dit helpt organisaties te begrijpen wie hen zou kunnen aanvallen en waarom. Zo worden overheidsinstanties vaak door statelijke actoren aangevallen in de vorm van cyberspionage, terwijl ziekenhuizen juist een doelwit zijn vanwege de vertrouwelijke patiëntgegevens.

 

Operationele dreigingsinformatie

Het is nuttig om te weten hoe groot het aanvalsoppervlak van een organisatie is, inclusief kritieke systemen, laterale bewegingspaden en bestaande beveiligingscontroles. Oftewel: hoe bewegen aanvallers zich binnen je netwerk en welke maatregelen heb je al getroffen? Door het ontwikkelen van een baseline kunnen afwijkingen sneller worden geïdentificeerd en kunnen detectiemechanismen worden verbeterd.

 

Tactische dreigingsinformatie

Door bekende indicatoren van hacker-gedrag te gebruiken, kunnen afwijkingen snel worden gedetecteerd die overeenkomen met aanvallerstechnieken. Denk hierbij aan verdachte IP-adressen, kwaadaardige bestanden of verdachte domeinnamen. Deze informatie is vooral nuttig tijdens actieve cyberaanvallen om snel te reageren en verdere schade te voorkomen.

 

Hoe Threat Hunting in zijn werk gaat

We onderscheiden in het Threat Hunting proces de volgende fasen:

  1. Hypothesevorming – er wordt een hypothese gesteld op basis van dreigingsinformatie in het netwerk. Bijvoorbeeld: “een APT-groep gebruikt laterale beweging via RDP om systemen binnen te dringen”.
  2. Datacollectie en analyse – gegevens uit logs, endpoints en netwerkverkeer worden onderzocht om verdachte patronen te identificeren.
  3. Detectie en respons – zodra er een dreiging wordt ontdekt, worden incident response procedures in werk gesteld om schade te beperken. Hierbij moet je denken aan quarantainemaatregelen, patching en verder onderzoek.
  4. Rapportage waarbij de bevindingen uit voorgaande fasen worden vastgelegd.
  5. Continue verbetering – de inzichten die Threat Hunting oplevert, worden gebruikt om de securitymaatregelen verder te optimaliseren.

Hierbij wordt gebruik gemaakt van verschillende geavanceerde tools, zoals:

  • SIEM (Security Information and Event Management) voor het verzamelen en analyseren van logbestanden en security-events.
  • EDR (Endpoint Detection and Response) voor het monitoren van endpoints en detecteren van afwijkend gedrag.
  • Threat Intelligence Platforms, om actuele dreigingsinformatie te verzamelen en deze te vergelijken met de netwerkactiviteiten die herkend worden.
  • Behavior analytics & machine learning, om afwijkend gedrag te detecteren en onbekende dreigingen te identificeren.

 

Van dreigingsinformatie naar threat hunting
Van dreigingsinformatie naar Threat Hunting

 

Het belang van Threat Hunting

Er worden steeds geavanceerdere technieken gebruikt door cybercriminelen om zo lang mogelijk onder de radar te blijven binnen een netwerk. Deze zogeheten Advanced Persistent Threats (APT’s) kunnen maanden of zelfs jaren ongemerkt sluimeren voordat ze toeslaan. Threat Hunters spelen hierin een cruciale rol door deze aanvallen vroegtijdig op te sporen en te neutraliseren voordat ze grote schade kunnen aanrichten.

Hoewel veel organisaties vertrouwen op geautomatiseerde beveiligingstools, zoals SIEM of EDR, zijn deze niet altijd in staat om onbekende of geavanceerde dreigingen te herkennen. Deze tools moeten in onze ogen gezien worden als hulpmiddel in het hele proces maar niet als losstaande oplossing. Threat Hunting vult dit gat door geautomatiseerde en handmatige analyses uit te voeren die verder gaan dan standaard detectie-algoritmes.

Daarnaast helpt Threat Hunting bij het minimaliseren van ‘dwell time’, oftewel de periode waarin een aanvaller onopgemerkt blijft binnen een systeem. Deze periode moet natuurlijk zo kort mogelijk gehouden worden want hoe langer een aanvaller toegang heeft, hoe meer schade hij kan aanrichten.

Door proactief te zoeken naar verdachte activiteiten en afwijkende patronen kunnen we aanvallers sneller identificeren en elimineren. Bovendien levert Threat Hunting waardevolle inzichten op met betrekking tot kwetsbaarheden en aanvalstechnieken. Met deze kennis kunnen we organisaties helpen bij het voortdurend verbeteren van hun cybersecuritystrategie, zodat zij zich beter kunnen wapenen tegen toekomstige dreigingen.

 

Nico weet hier alles van

Nico van de Haar

Neem contact op met Nico van de Haar voor meer infomatie
T0318-762620
Einfo@masero.nl

Meer over dit onderwerp?
Bekijk onze blogs

Security Health Check
Security Awareness training
24×7 Detection & Response

Volg ons ook op LinkedIn

En blijf op de hoogte van de laatste updates!

Klik hier