Was ist Threat Hunting?

Die Welt ist digital, vernetzt – und das mit neuen und alten Technologien. Das wird sich wohl auch in Zukunft nicht ändern. Was sich jedoch verändern sollte, ist das Neudenken von IT-Sicherheitslösungen, die den Erwartungen in Zeiten des New Work mit einer Vielzahl von Geräten, Netzwerken und Cloud-Anwendungen Schritt halten muss.

Unbewusst wird durch die technologischen Möglichkeiten der Netzwerkschutz von Unternehmen ausgehebelt. Die Herausforderung für die IT-Sicherheitsveranwortlichen in Unternehmen wächst, um die Produktivität und Sicherheit unter einen Hut zu bringen. Was ein Threat Hunting dabei leisten kann, um Malware, Viren, Hacker oder Ransomware frühzeitig zu erkennen, erfahren Sie in diesem Artikel.

Welche Vorteile bietet Threat Hunting?

Threat Hunting ist eine häufig falsch verstandene Funktion und ist heutzutage mehr als nur ein Sicherheitsprogramm. Threat-Hunting-Programme dienen der Prävention und enttarnen unbekannte Bedrohungen, die in der Lage sind, technologiebasierte Kontrollen zu umgehen, indem untypische Verhaltensweisen erkannt werden. Die Mehrwerte die sich durch Threat Hunting ergeben sind folgende:

  1. Die frühzeitige Entdeckung und Unterbrechung interner und externer Bedrohungen, die technologiebasierte Kontrollen umgangen haben, bevor es zu einer Sicherheitsverletzung kommt.
  2. Potenzielle Angreifer werden entdeckt und können sich nicht unbemerkt in der IT-Umgebung bewegen.
  3. Erweiterung der Sicherheitstechnologien durch menschliches Fachwissen, um die Verweildauer zu verkürzen.
  4. Threat-Hunting liefert Sicherheitsteams wertvolle Erkenntnisse, mit denen sie ausreichend gerüstet sind, um Angreifer in großem Umfang zu erkennen.
  5. Es trägt dazu bei, die Angriffsfläche zu verringern und die automatischen Erkennungsfunktionen zu verbessern.

Bewusstmacher: Der ungeschützte Zugriff u. a. von Heimnetzwerken auf eine Unternehmensanwendung in der Cloud ist ein absolutes Sicherheits-No-Go. Threat Hunting soll unbekannte Bedrohungen enttarnen, die in der Lage sind, technologiebasierte Kontrollen zu umgehen.

Thread Hunting Methoden

Grundsätzlich gehen Threat-Hunting-Experten davon aus, dass sich bereits Angreifer in der IT-Umgebung befinden! Untersuchungen werden eingeleitet, um ungewöhnliches Verhalten aufzufinden, welches auf böswillige Netzwerkaktivitäten hindeutet. Folgende drei Methoden stehen bei akuter Bedrohungslage zur Verfügung und werden von Menschen betrieben, um proaktiven Cyberschutz für Unternehmen zu gestalten :

1. Hypothesengetriebene Untersuchung

Neue Bedrohungen erfordern hypothesengetriebene Untersuchungen. Hierbei werden mittels Crowdsourcing durch einen großen Pool Angriffsdaten identifiziert, um Einblicke in die neuesten Taktiken, Techniken und Verfahren der Angreifern zu erhalten. Die gewonnenen Angriffsdaten werden danach mit der eigenen IT-Umgebung verglichen.

2. Untersuchung bekannter Kompromittierungs- oder Angriffsindikatoren

Bei dieser Threat-Hunting-Methode werden strategische und taktische Maßnahmen erhoben, beispielsweise durch die Heranziehung folgender Indikatoren:

  • Indicator of Attack (IOA)
  • Indicator of Compromise (IOC)

Der IOA konzentriert sich darauf, die Motive der Angreifer zu erkennen, losgelöst von der Malware. Ist die Sicherheit einer IT-Umgebung verletzt worden, so spricht man in der Forensik von einem IOC, der als Beweis auf dem Computer gilt, ein Beispiel ist ein verdächtiges Verhalten, durch die eine ungewöhnliche von Datenzugriffen im Netzwerk.

3. Advanced Analytics und Machine Learning

Bei dieser Threat-Hunting-Methode handelt es sich um einen Technologie-Mix, damit riesige Datenmengen gesichtet werden können zur Erkennung von böswilligen Aktivitäten. Erkannte Anomalien manuell und individuell unterstützt durch Advanced Analtiycs und Machine Learning als heiße Spuren, die auf eine Cybergefahr hindeuten verfolgt.

Voraussetzungen für ein Threat-Hunting-Programm

Die Einrichtung eines internen Threat-Hunting-Programms ist jedoch mit einigen Herausforderungen verbunden. Dazu gehören u. a. der Mangel an Technologien, strukturierte Arbeitsabläufe und nicht vorhandene Ressourcen in Form von Fachleuten für das Threat Hunting.

Lösungen von Cyber-Security-Spezialisten bieten beispielsweise ein Threat Hunting Service, um fehlende Know-how oder zeitliche Kapazitiäten zu kompensieren. So kann beispielsweise ein Überwachungsservice mit einer 365-Tage-Telemetrie und einer verhaltensorientierte KI-Engine, als sogenanntes Threat Intelligence genutzt und integriert werden.

Lösungsbeispiele: Bedrohungen können z. B. mit der Hilfe von Open-Source-Intelligence (OSINT), MITRE ATT&CK, Cyber Threat Alliance und proprietäre Intelligenz identifiziert und abnormale Verhaltensweisen kategorisiert.

5 Tipps für den Start von Threat Hunting

Welche Maßnahmen sollten Sie ergreifen, um ein perfektes Threat-Hunting-Programm einzusetzen:

  1. Stellen Sie sicher, dass Sie über die richtigen Daten verfügen.
  2. Ermitteln Sie den Normalzustand Ihrer Umgebung als Basis.
  3. Formulieren Sie eine Hypothese.
  4. Untersuchen und analysieren Sie potenzielle Bedrohungen.
  5. Reagieren Sie schnell, um Bedrohungen abzuwehren.
  6. Passen Sie Ihre Systeme an und automatisieren Sie Prozesse für zukünftige Ereignisse.

Kurzgefasst: Beim Threat Hunting geht es um das letzte 1 % der unbekannten Verhaltensweisen und das Blockieren aller Angriffe beim Versuch eine bösartige Anwendung auszuführen, selbst wenn das anormale Verhalten nicht gestoppt werden kann.

Fazit

Erfolgreiche Threat-Hunting-Programme können sicherstellen, dass Sicherheits- und IT-Teams in der Lage sind, Bedrohungen zu erkennen und auf diese zu reagieren. Es sollte sich um eine kontinuierliche und nicht um eine punktuell aktivierte Funktion handeln. Stellen Sie die Ressourcen sicher oder arbeiten Sie mit einem verlässlichen Cyber Security-Partner zusammen, der Ihnen diese Informationen liefert und die Arbeit abnimmt. Betrachten Sie Threat Hunting nicht als einzelne Lösungen, sondern im Kontext zu Ihrer bestehenden IT-Infrastruktur und Cyber Security-Strategie. Nur so können Sie ein hochmodernes Threat-Hunting-Programm erfolgreich installieren.

Auf dem Laufenden bleiben

Mit einer Anti-Spam-Garantie und dem kostenlosen Informationsservice informieren wir Sie, gemäß Ihrer Themenauswahl kompakt über weitere Projekt- und Praxisbeispiele. Wählen Sie hierzu einfach Ihre Interessen und Themen aus: https://www.it-wegweiser.de/infoservice/