How to enable efficient threat hunting

Tässä pro gradu -tutkielmassa keskitytään siihen, kuinka mahdollistetaan tehokas kyberuhkien metsästys. Aihetta on tärkeää tutkia, sillä uhkien metsästys on varsin uusi aihe, eikä koko prosessista ole tehty juurikaan tutkimuksia. Monet aiemmista tutkimuksista ovat keskittyneet pääasiassa tutkimusalueisiin, kuten uhkamallinnukseen, uhkien havaitsemiseen ja kybertapahtumiin vastaamiseen, ja vain muutamia tutkimuksia on tehty kyberuhkien metsästys -viitekehyksistä. Tutkielma suoritettiin laadullisena kirjallisuuskatsauksena, jota seurasi viitekehyksen kehittäminen käyttäen Design Science Research Methodology -prosessia. Kirjallisuuskatsausta käytettiin perustana viitekehyksen kehittämiselle. Tämän jälkeen kehitettyä viitekehystä esiteltiin kolmelle kyberturvallisuuden ammattilaiselle arviointia varten. Arviointi suoritettiin semistrukturoiduilla haastatteluilla. Kehitetyssä viitekehyksessä on kolme erilaista aloituspistettä, riippuen siitä, mihin metsästys perustuu. Jos metsästys perustuu IoC:ihin, erillistä hypoteesia ei kehitetä, koska tutkinnan pitäisi olla kevyempi verrattuna tutkintaan, joka perustuu TTP:ihin tai haavoittuvuusraportteihin. Palautetta annetaan, jos metsästys hylätään, tai kun metsästys on suoritettu loppuun riippumatta siitä, löydettiinkö metsästyksen tuloksena jotakin. Haastattelujen perusteella tämän viitekehyksen käyttö mahdollistaa tehokkaan uhkien metsästyksen, erityisesti kun sitä käytetään jatkuvana prosessina. Tämä kehys mahdollistaa tiimien yhteistyön ja palautteen antamisen tavalla, jota on helppo ottaa käyttää SOC:n päivittäisissä toiminnoissa.