Introduktion til Incident Response og Threat Hunting

I den moderne cybersikkerhedsverden er det ikke længere et spørgsmål om, hvis en organisation bliver ramt af et angreb, men hvornår. For at håndtere denne virkelighed er to discipliner blevet centrale: Incident Response (IR) og Threat Hunting (TH). Denne artikel gennemgår de vigtigste koncepter fra lektion 1 i faget Incident Response.

Hvad er en Incident?

En sikkerhedshændelse (incident) defineres ofte som en handling, der via brug af informationssystemer eller netværk resulterer i en faktisk eller potentielt negativ effekt på systemet, netværket eller den information, der findes deri.

DFIR: Den kombinerede disciplin

Du vil ofte støde på forkortelsen DFIR, som står for Digital Forensics and Incident Response. Digital Forensics handler om at indsamle digitale beviser for at efterforske og forstå en hændelse, mens Incident Response er selve processen med at håndtere og løse hændelsen.

Incident Response Lifecycle (NIST)

Ifølge NIST (Special Publication 800-61) består håndteringen af en hændelse af en cyklus med fire faser:

  1. Preparation (Forberedelse): Opbygning af værktøjer, processer og træning af medarbejdere.
  2. Detection & Analysis (Detektion og Analyse): Identificering af hændelser og analyse af deres omfang og alvorlighed.
  3. Containment, Eradication & Recovery (Inddæmning, Udryddelse og Genopretning): Stop af angrebet, fjernelse af truslen og genetablering af normal drift.
  4. Post-Incident Activity (Efterbehandling): Læring fra hændelsen (Lessons Learned) for at forbedre fremtidigt forsvar.

Threat Hunting: Den proaktive tilgang

Hvor traditionel detektion er reaktiv (man venter på en alarm), er Threat Hunting proaktiv. Det defineres som den iterative og menneskecentrerede identifikation af trusler, der allerede er inde i netværket, men som har omgået de eksisterende sikkerhedskontroller.

Hypotesebaseret jagt

En “hunt” starter ofte med en hypotese – en testbar idé om, hvad en trusselsaktør kunne gøre i netværket. Hypoteser genereres ud fra:

  • Threat Intelligence: Viden om aktuelle trusselsaktører og deres metoder.
  • Situational Awareness: Forståelse for ens eget netværk og “kronjuveler”.
  • Domain Expertise: Erfaring og mavefornemmelse hos analytikeren.

Pyramid of Pain

Udviklet af David Bianco, beskriver denne model, hvor svært det er for en angriber at ændre deres adfærd, når vi opdager dem:

  • Hash-værdier (Trivial): Nemt at ændre for angriberen.
  • IP-adresser (Easy): Kræver lidt mere arbejde.
  • Domænenavne (Simple): Kræver ny registrering.
  • Netværks-/Host-artefakter (Annoying): Angriberen skal ændre deres værktøjer.
  • Værktøjer (Challenging): Angriberen skal lære nye værktøjer.
  • TTPs (Tough): Det sværeste at ændre – angriberens grundlæggende adfærd og metoder.

Vigtige begreber: IOC og TTP

Indicators of Compromise (IOC)

IOC’er er forensic artefakter eller spor, der indikerer, at et system er kompromitteret. Eksempler inkluderer:

  • Usædvanlige DNS-opslag.
  • Mistænkelige fil-hashes.
  • IP-adresser tilhørende kendte C2 (Command & Control) servere.
  • Mange mislykkede login-forsøg.

Tactics, Techniques, and Procedures (TTP)

TTP’er beskriver en trusselsaktørs adfærd:

  • Tactics: Den overordnede “hvorfor” (f.eks. Privilege Escalation).
  • Techniques: “Hvordan” (f.eks. LSASS Memory Dumping).
  • Procedures: Den specifikke implementation (f.eks. brug af Mimikatz).

Frameworks og Modeller

MITRE ATT&CK®

Dette er en omfattende videnbase over angrebsmetoder baseret på virkelige observationer. Det fungerer som et fælles sprog for både offensive og defensive sikkerhedsfolk til at beskrive og kategorisere trusselsaktørers adfærd.

STRIDE-modellen

En model fra Microsoft til at kategorisere trusler:

  • Spoofing (Identitetsforfalskning)
  • Tampering (Manipulering af data)
  • Repudiation (Nægtelse af handling)
  • Information Disclosure (Læk af information)
  • Denial of Service (Nedbrud af tjeneste)
  • Elevation of Privilege (Rettighedseskalering)

11 Strategier for et SOC i verdensklasse

Baseret på MITRE’s anbefalinger, her er de 11 fundamentale strategier for et Security Operations Center:

  1. Kend hvad du beskytter og hvorfor: Hav styr på dine aktiver (assets) og deres forretningsmæssige betydning.
  2. Giv SOC’en autoritet til at gøre sit job: Sikr mandat fra ledelsen til at overvåge og respondere.
  3. Byg en SOC-struktur, der passer til organisationen: Vælg den rette model (centraliseret, distribueret eller hybrid).
  4. Ansæt og fasthold de rigtige folk: Mennesker er vigtigere end værktøjer.
  5. Prioritér Incident Response: Detektion er intet værd uden evnen til at handle.
  6. Brug Cyber Threat Intelligence (CTI): Forstå modstanderens metoder for at målrette forsvaret.
  7. Vælg og indsaml de rigtige data: Kvalitet over kvantitet i log-indsamling.
  8. Udnyt værktøjer, der støtter dine analytikere: Automatisering skal mindske “alert fatigue”, ikke øge kompleksiteten.
  9. Mål performance for at forbedre performance: Brug metrics (som MTTD/MTTR) til at identificere svagheder.
  10. Udvid funktionaliteten med Threat Hunting: Led proaktivt efter det, dine systemer ikke fanger.
  11. Vær en god nabo: Del trusselsinformation og samarbejd med community’et (f.eks. via ISACs).

To store trends i moderne angreb er:

  • In-Memory teknikker: Malware der kører direkte i RAM uden at efterlade spor på harddisken.
  • Living off the Land (LOLBAS): Angribere bruger legitime systemværktøjer (som PowerShell eller WMI) til ondsindede formål for at undgå detektion.

Dette understreger behovet for proaktiv overvågning og dybdegående analyse, da traditionelle signatur-baserede systemer ofte vil fejle i at opdage disse avancerede metoder.

Kilder

  • NIST SP 800-61 Rev. 2: Computer Security Incident Handling Guide.
  • MITRE: 11 Strategies of a World-Class Cybersecurity Operations Center (Zimmerman, 2022).
  • David Bianco: The Pyramid of Pain (2013).
  • MITRE ATT&CK®: Framework for modstanderens taktikker og teknikker.
  • SANS Institute: Threat Hunting: Open Season on the Adversary.