How to enable efficient threat hunting

Abstract

Tässä pro gradu -tutkielmassa keskitytään siihen, kuinka mahdollistetaan tehokas kyberuhkien metsästys. Aihetta on tärkeää tutkia, sillä uhkien metsästys on varsin uusi aihe, eikä koko prosessista ole tehty juurikaan tutkimuksia. Monet aiemmista tutkimuksista ovat keskittyneet pääasiassa tutkimusalueisiin, kuten uhkamallinnukseen, uhkien havaitsemiseen ja kybertapahtumiin vastaamiseen, ja vain muutamia tutkimuksia on tehty kyberuhkien metsästys -viitekehyksistä. Tutkielma suoritettiin laadullisena kirjallisuuskatsauksena, jota seurasi viitekehyksen kehittäminen käyttäen Design Science Research Methodology -prosessia. Kirjallisuuskatsausta käytettiin perustana viitekehyksen kehittämiselle. Tämän jälkeen kehitettyä viitekehystä esiteltiin kolmelle kyberturvallisuuden ammattilaiselle arviointia varten. Arviointi suoritettiin semistrukturoiduilla haastatteluilla. Kehitetyssä viitekehyksessä on kolme erilaista aloituspistettä, riippuen siitä, mihin metsästys perustuu. Jos metsästys perustuu IoC:ihin, erillistä hypoteesia ei kehitetä, koska tutkinnan pitäisi olla kevyempi verrattuna tutkintaan, joka perustuu TTP:ihin tai haavoittuvuusraportteihin. Palautetta annetaan, jos metsästys hylätään, tai kun metsästys on suoritettu loppuun riippumatta siitä, löydettiinkö metsästyksen tuloksena jotakin. Haastattelujen perusteella tämän viitekehyksen käyttö mahdollistaa tehokkaan uhkien metsästyksen, erityisesti kun sitä käytetään jatkuvana prosessina. Tämä kehys mahdollistaa tiimien yhteistyön ja palautteen antamisen tavalla, jota on helppo ottaa käyttää SOC:n päivittäisissä toiminnoissa.

This master’s thesis focuses on how to enable efficient threat hunting. Subject is important to research, because threat hunting is a new subject and not much studies have been made about the whole process. Many of the previous studies have focused primarily on research areas like threat modeling, threat detection and incident response, and there are only few studies made about threat hunt-ing frameworks. Thesis was done with qualitative literature review followed by developing the framework with Design Science Research Methodology pro-cess. Literature review was used as a base for the development of threat hunt-ing framework. Then the developed framework was presented for three cyber security professionals for review. Reviewing was done with semi-structured interviews. The threat hunting framework developed has three different start-ing points, based what the hunt is based on. If the hunting is based on the IoCs, separate hypothesis will not be developed, as the search should be lighter compared to a search which is based on TTPs or vulnerability reports. Feed-back will be given if the hunt is being rejected, or when the hunt has been com-pleted no matter if something was found as a result of the hunt. Based on the interviews, using this framework allows efficiency in threat hunting, especially when it is being used as a conctinuos process. This framework allows teams to collaborate and give feedback in a way that is easy to use as a part of daily activities in SOC.