Hunting

Hunting, ook bekend als threat hunting, is het proactief zoeken naar cyberdreigingen die bestaande beveiligingstools niet hebben gedetecteerd. In tegenstelling tot reactieve methoden zoals incident response, waarbij je pas in actie komt na een alert, gaat hunting ervan uit dat aanvallers mogelijk al in je netwerk aanwezig zijn zonder dat automatische systemen dat hebben opgepikt. Een threat hunter onderzoekt systematisch data, ontwikkelt hypotheses en analyseert patronen om verdachte activiteit te identificeren voordat deze schade aanricht. Het is een proces dat menselijke expertise combineert met geavanceerde tooling en threat intelligence.

Het belang van hunting neemt toe naarmate aanvallers geavanceerder worden in hun methoden. Volgens onderzoek van CrowdStrike maken aanvallers steeds vaker gebruik van technieken die geen malware vereisen en daardoor onzichtbaar zijn voor traditionele beveiligingstools. Ze gebruiken legitieme systeemtools zoals PowerShell en WMI, gestolen credentials en living-off-the-land technieken om onder de radar te blijven. Hunting is de discipline die deze stealthy aanvallen aan het licht brengt door actief te zoeken naar wat automatische detectiesystemen missen.

Hoe werkt hunting? Stappen

Het huntingproces volgt een gestructureerde methodologie die begint met het formuleren van een hypothese. Deze hypothese is gebaseerd op threat intelligence, bekende tactieken en technieken van dreigingsactoren via frameworks als MITRE ATT&CK, of op anomalieen die zijn opgemerkt in de omgeving. Een hypothese kan bijvoorbeeld zijn: "Een aanvaller heeft via een phishing-aanval initiele toegang verkregen en gebruikt PowerShell voor laterale beweging naar systemen met gevoelige data."

Vervolgens verzamelt en analyseert de hunter data uit diverse bronnen om de hypothese te toetsen. Denk aan endpoint telemetrie die procesuitvoering en bestandswijzigingen registreert, netwerk traffic logs die ongebruikelijke verbindingen onthullen, authenticatierecords die verdachte inlogpatronen tonen, DNS-queries naar onbekende domeinen en cloudactiviteit die afwijkt van het normale gebruikspatroon. De hunter zoekt naar indicatoren die de hypothese ondersteunen of weerleggen met een analytische en methodische aanpak.

Dit vereist diepgaande kennis van zowel normale als afwijkende patronen in je IT-omgeving. Elke organisatie heeft een specifiek baseline gedrag en de hunter moet dat kennen om afwijkingen te herkennen die op een dreiging wijzen. Als de hunter bewijs vindt dat de hypothese ondersteunt, escaleert het onderzoek naar incident response voor containment en remediatie. De bevindingen worden gedocumenteerd en vertaald naar verbeterde detectieregels voor je SIEM of EDR-platform. Zo wordt elke hunt een investering in betere geautomatiseerde detectie voor de toekomst.

Wanneer voer je hunting uit?

Hunting is een doorlopend proces, geen eenmalige activiteit die je na een incident uitvoert en dan vergeet. Organisaties met een volwassen beveiligingsorganisatie voeren continu hunts uit als onderdeel van hun SOC-operatie. De frequentie hangt af van het risicoprofiel van de organisatie, de beschikbare middelen en de actuele dreigingscontext. Minimaal maandelijks is een goed startpunt voor de meeste organisaties die serieus aan beveiliging werken.

Specifieke triggers voor hunting zijn nieuwe threat intelligence over dreigingsactoren die actief zijn in jouw sector, een verdachte maar niet bewezen indicatie in je monitoring die geen volledige alert genereert, grote veranderingen in je IT-omgeving zoals cloudmigraties, fusies of overnames, of na een beveiligingsincident bij een vergelijkbare organisatie in je branche. Het Cybersecuritybeeld Nederland van het NCSC kan dienen als input voor hypotheses, omdat het dreigingen beschrijft die specifiek relevant zijn voor Nederlandse organisaties in verschillende sectoren.

Compliance-eisen vormen ook een driver voor hunting. De NIS2-richtlijn vereist dat organisaties proactieve maatregelen nemen voor het detecteren van cyberdreigingen. Threat hunting past direct in deze eis en is een concrete manier om aan te tonen dat je proactief werkt aan dreigingsdetectie in plaats van alleen op alerts te wachten. Auditors waarderen het als je kunt aantonen dat je systematisch op zoek gaat naar dreigingen die automatische detectiesystemen mogelijk missen.

Wat kost hunting?

De kosten van threat hunting varieren sterk afhankelijk van de gekozen aanpak en de omvang van je omgeving. Intern hunting vereist gespecialiseerd personeel met diepgaande kennis van threat intelligence, data-analyse, aanvalstechnieken en de specifieke IT-omgeving van je organisatie. Een ervaren threat hunter kost als FTE doorgaans tussen 70.000 en 110.000 euro per jaar, exclusief tooling, dataopslag en trainingskosten. Voor veel MKB-organisaties is dit financieel niet haalbaar als voltijdse functie.

Managed threat hunting als dienst biedt een toegankelijk alternatief. Gespecialiseerde providers voeren regelmatig hunts uit in je omgeving tegen een voorspelbaar maandelijks tarief. De kosten liggen doorgaans tussen 3.000 en 15.000 euro per maand, afhankelijk van de omvang van je omgeving, het aantal endpoints en de frequentie van de hunts. Je profiteert van de ervaring van hunters die bij meerdere klanten werken en daardoor een breder beeld hebben van het dreigingslandschap en sneller patronen herkennen die op specifieke aanvalsgroepen wijzen.

De investering in hunting betaalt zich terug door het verkorten van de detectietijd bij een daadwerkelijke inbreuk. Hoe sneller je een aanvaller ontdekt, hoe kleiner de schade die wordt aangericht. Onderzoek toont dat de gemiddelde detectietijd van een inbreuk maanden kan bedragen als je alleen vertrouwt op geautomatiseerde detectie. Proactieve hunting kan die tijd terugbrengen tot dagen of weken, wat substantiele kostenbesparingen oplevert bij een daadwerkelijk incident. De kosten van een onontdekte aanval die maanden actief is, overtreffen vrijwel altijd de investering in regelmatige hunting.

Veelgestelde vragen over hunting

Wat is het verschil tussen hunting en incident response?

Hunting is proactief: je zoekt naar dreigingen voordat ze ontdekt zijn door automatische systemen. Incident response is reactief: je reageert op een bevestigd of vermoedelijk beveiligingsincident. Hunting kan leiden tot incident response wanneer een dreiging wordt gevonden, maar begint vanuit een hypothese in plaats van een alert.

Heb je een SOC nodig voor threat hunting?

Een SOC is niet strikt nodig, maar biedt wel de infrastructuur en data die hunting effectief maken. Je hebt minimaal goede logging, endpoint telemetrie en toegang tot threat intelligence nodig. Managed hunting services bieden een alternatief als je geen eigen SOC hebt en toch proactief dreigingen wilt opsporen.

Welke tools gebruik je bij hunting?

Threat hunters gebruiken SIEM-platforms, EDR-tools, netwerk traffic analysers en threat intelligence platforms. MITRE ATT&CK dient als framework om hypotheses te structureren rond bekende aanvalstechnieken. Aanvullend gebruiken hunters scripting en data-analyse tools om grote hoeveelheden logdata te doorzoeken op correlaties.

Hoe vaak moet je hunting uitvoeren?

Minimaal maandelijks is een goed startpunt voor de meeste organisaties. Organisaties met een hoog risicoprofiel of in sectoren die regelmatig doelwit zijn van gerichte aanvallen, voeren wekelijks of continu hunts uit. De frequentie hangt af van je risicoprofiel en beschikbare middelen.

Is hunting geschikt voor het MKB?

Ja, via managed hunting services. Een interne threat hunter is voor veel MKB-organisaties te kostbaar, maar managed services maken de expertise toegankelijk tegen een voorspelbaar maandbedrag. Begin met kwartaallijkse hunts en verhoog de frequentie naarmate je beveiligingsvolwassenheid groeit.

Vind een specialist voor threat hunting via SOC as a Service op IBgidsNL.