For at kunne komme hackere i forkøbet, kræver det insight og faglig kunnen. Her gennemgår vi hvad TTP er, hvordan specialister arbejder med det, og hvad de typisk ser efter, når de opsporer TTP.
TTP - hackeres metode
TTP er en forkortelse for det engelske Tactics, Techniques, and Procedures, som på dansk kan oversættes til taktik, teknik og procedure. Det er hackeres, og generelt set cyberkriminelles, tilgang til hacking og cybersvindel. Jagten på TTP skal altså opsnappe teknikker, som hackere bruger, og dermed forhindre potentielle hackerangreb i at ske.
De eksperter, der sidder og studerer TTP, bliver altså kloge på de nyeste trends, redskaber og teknologier, som hackere bruger, for derefter at kunne opspore cyberkriminelle, inden de når at slå til.
Jagten på TTP, og generelt set cybertruslen, er en proaktiv bekæmpelse af cyberangreb, der belyser de metoder som hackere benytter ved cyberangreb. Ved at gøre dette, bliver f.eks. IT-ansvarlige opmærksomme på, hvor hackere kan trænge igennem hos virksomheder, samt hvilke kneb de bruger for at indsamle og stjæle følsomme oplysninger.
Dog kræver det aktuel insight for dem, der sidder og jagter hackeres TTP, da de i princippet skal være et skridt foran de cyberkriminelle, for at gennemskue hvilke metoder og teknikker, de cyberkriminelle kommer til at benytte.
Derudover skal TTP-specialisterne også være eksperter i programmer og software, for netop at kunne gennemskue hvor hackere trænger igennem, og hvilke svage punkter i softwaren, der bliver udnyttet til hacking. Det er ofte mere sofistikeret malware, som hackere infiltrere software med, så det er ikke altid at man kan se, at ens software er blevet infiltreret. Derfor er det også en god investering for virksomheder, at have fagpersoner til at opfange mulige malware-downloads og andre tegn på, at hackere er kommet igennem systemerne.
Det skal bemærkes, at der er forskel på at opspore cybertrusler og opspore TTP. Ved at opspore cybertrusler, opfanger specialister hvordan hackere kommer igennem sikkerhedssystemer, samt hvilke fejl og huller der er i softwaren. Ved at opspore TTP, er fokus specifikt på hackeres adfærd, angrebsmønstre og operationelle teknikker som aktørerne bruger.
Ved at opspore TTP er man altså proaktiv i bekæmpelsen af cybertrusler - ofte finder specialister inspiration ved tidligere angreb, for netop at se, om de cyberkriminelle har et angrebsmønster de følger.
Metoden bag opsporing af TTP
Den mest normale metode, som specialisterne der opsporer TTP, benytter, er at lave en hypotese og dermed afprøve metoder, der skal forhindre hackere i at trænge igennem deres software. De afprøver altså forskellige metoder og teknikker med den viden og insight, de har gjort sig, ved at analysere mønstre hos hackeren.
Fordi de har bygget en ekspertise omkring TTP, kan de prioritere deres tilgang og hvilke sikkerhedsforanstaltninger virksomheder skal tage, for at sikre en bedre cybersikkerhed. Nedenfor går vi i dybden med nogle af de processer, som specialisterne gennemgår, når de undersøger mulige TTP’er.
Undersøg landskabet
Som nævnt, så bruger hackere og cyberkriminelle hele tiden nye metoder, til at trænge igennem software hos virksomheder, og til at stjæle personfølsomme informationer. Derudover kommer der også hele tiden nye former for malware, som bliver sværere at opspore - derfor skal specialisterne også hele tiden undersøge det skiftende cyberlandskab, for at være up-to-date med hvad hackerne laver.
Nogle af de spørgsmål som specialisterne kan stille sig selv, når de undersøger cyberlandskabet er:
- Hvordan ville en potentiel hacker trænge igennem vores netværk?
- Hvilke teknikker er vi bekendt med, som tidligere cyberkriminelle har brugt?
- Hvor er det lettest at trænge igennem vores software og sikkerhedsnet? Hvad er mest sårbart?
Landskabet er altså fundamentet for både hackerangreb og hvordan de opstår, men også bekæmpelsen af dem. Man kan bl.a. gennemgå awareness-træning for netop at bekæmpe cyberangreb.
Dan et overblik over truslerne
Dernæst er det essentielt for TTP-specialisterne, når de skal opspore de cyberkriminelles teknikker og processer, at de danner sig et overblik over truslerne og de data, som hackere typisk vil gå efter.
De specialister, der sidder og skal opspore hackere og deres metoder, kan bruge forskellige typer af sikkerhedsværktøjer til selvsamme formål. De har værktøjer, der analyserer data, og derefter opfanger abnormaliteter, hvis der skulle være sådan nogle.
Derefter kan de bruge den data, og de udslag der skulle være, til at lave forskellige “trusselsmodeller”, der altså giver et overblik over de forskellige trusler, der potentielt skulle være for virksomheden. Her kan de bl.a. skabe overblik over hvor en virksomhed kan blive angrebet, og de forskellige scenarier virksomheden kan komme ud for, ved et cyberangreb.
Nogle af de programmer som TTP-specialisterne bruger, er bl.a. SIEM og MDR. Det er værktøjer, der overvåger, kontrollerer og analyserer IT-systemer for eventuelle uregelmæssigheder - og dermed også tegn på hackere eller huller, som hackere kan trænge igennem.
Undersøg IoC’er
IoC’er er digitale spor og beviser efter en datalækage. Sikkerhedsteams kan altså bruge disse til at danne sig et overblik over mulige mønstre hos hackeren eller for at opspore mulige trusler.
For at kunne opspore abnormaliteter, skal man have høj faglig viden inden for teknikken, der ligger bag systemerne. Hvis ikke man har det, kan man heller ikke lige så sikkert opspore de abnormaliteter der eventuelt skulle være. Specialisterne skal sidde og fine-tune de forskellige filtre, for at kunne finde ud af, hvad der kan være en del af en hackers mønster. Hvis man foretager en bred søgning, vil man altså ikke kunne finde data, der er præcist nok, til at opspore et angrebsmønster.
Eksempler på almindelige IOC’er:
- Uregelmæssig trafik på netværket
- Der bliver anmodet om store mængder af filer i systemet
- Ukendte IP-adresser
- Utallige forkerte forsøg på at logge ind
- Atypiske ændringer i systemer eller filer
Så snart IOC er blevet klarlagt, kan specialisterne gå videre og se nærmere på IoA (Indicators of Attack). IoA indikerer hvornår et cyberangreb kan finde sted, og opdateres i realtid - derfor er det også et af de vigtigste værktøjer i jagten på TTP’er.
En god cybersikkerhedsplan
Optimalt set har en virksomhed fuldtidsansatte til at sidde med TTP-opsporing, og ikke kun specialister i en begrænset periode. Hackere og cyberkriminelle ændrer konstant deres taktik og metode, når de ønsker at hacke sig ind i software eller stjæle persondata.
Det er en god idé - og investering - for en virksomhed at lave en god sikkerhedsplan for fremtidige procedure, når det kommer til cybersikkerheden. Man bør overveje hvilke sikkerhedsforanstaltninger, man som virksomhed skal tage, for at undgå at ende i en situation, hvor jeres data bliver udnyttet eller stjålet.
Derfor bør man altid overveje email-sikkerhed og awareness-træning for medarbejderne, så I selv kan være proaktive i bekæmpelsen mod cybertruslen, og undgå at det er jeres virksomhed, der bliver offer for et cyberangreb.
Caroline Preisler
Caroline er copywriter for Moxso udover hendes daglige studie. Hun er i gang med sin kandidat i Engelsk og specialiserer sig i oversættelse og sprogpsykologi. Begge felter arbejder med kommunikationen mellem mennesker, og hvordan man skaber en fælles forståelse – disse elementer bliver inkorporeret i arbejdet, som hun laver her hos Moxso.
Se alle indlæg af Caroline Preisler