Was ist Threat Hunting?

Die Welt ist digital, vernetzt – und das mit neuen und alten Technologien. Das wird sich wohl auch in Zukunft nicht ändern. Was sich jedoch verändern sollte, ist das Neudenken von IT-Sicherheitslösungen, die den Erwartungen in Zeiten des New Work mit einer Vielzahl von Geräten, Netzwerken und Cloud-Anwendungen Schritt halten muss.

Unbewusst wird durch die technologischen Möglichkeiten der Netzwerkschutz von Unternehmen ausgehebelt. Die Herausforderung für die IT-Sicherheitsveranwortlichen in Unternehmen wächst, um die Produktivität und Sicherheit unter einen Hut zu bringen. Was ein Threat Hunting dabei leisten kann, um Malware, Viren, Hacker oder Ransomware frühzeitig zu erkennen, erfahren Sie in diesem Artikel.

Welche Vorteile bietet Threat Hunting?

Threat Hunting ist eine häufig falsch verstandene Funktion und ist heutzutage mehr als nur ein Sicherheitsprogramm. Threat-Hunting-Programme dienen der Prävention und enttarnen unbekannte Bedrohungen, die in der Lage sind, technologiebasierte Kontrollen zu umgehen, indem untypische Verhaltensweisen erkannt werden. Die Mehrwerte die sich durch Threat Hunting ergeben sind folgende:

  1. Die frühzeitige Entdeckung und Unterbrechung interner und externer Bedrohungen, die technologiebasierte Kontrollen umgangen haben, bevor es zu einer Sicherheitsverletzung kommt.
  2. Potenzielle Angreifer werden entdeckt und können sich nicht unbemerkt in der IT-Umgebung bewegen.
  3. Erweiterung der Sicherheitstechnologien durch menschliches Fachwissen, um die Verweildauer zu verkürzen.
  4. Threat-Hunting liefert Sicherheitsteams wertvolle Erkenntnisse, mit denen sie ausreichend gerüstet sind, um Angreifer in großem Umfang zu erkennen.
  5. Es trägt dazu bei, die Angriffsfläche zu verringern und die automatischen Erkennungsfunktionen zu verbessern.

Bewusstmacher: Der ungeschützte Zugriff u. a. von Heimnetzwerken auf eine Unternehmensanwendung in der Cloud ist ein absolutes Sicherheits-No-Go. Threat Hunting soll unbekannte Bedrohungen enttarnen, die in der Lage sind, technologiebasierte Kontrollen zu umgehen.

Thread Hunting Methoden

Grundsätzlich gehen Threat-Hunting-Experten davon aus, dass sich bereits Angreifer in der IT-Umgebung befinden! Untersuchungen werden eingeleitet, um ungewöhnliches Verhalten aufzufinden, welches auf böswillige Netzwerkaktivitäten hindeutet. Folgende drei Methoden stehen bei akuter Bedrohungslage zur Verfügung und werden von Menschen betrieben, um proaktiven Cyberschutz für Unternehmen zu gestalten :

1. Hypothesengetriebene Untersuchung

Neue Bedrohungen erfordern hypothesengetriebene Untersuchungen. Hierbei werden mittels Crowdsourcing durch einen großen Pool Angriffsdaten identifiziert, um Einblicke in die neuesten Taktiken, Techniken und Verfahren der Angreifern zu erhalten. Die gewonnenen Angriffsdaten werden danach mit der eigenen IT-Umgebung verglichen.

2. Untersuchung bekannter Kompromittierungs- oder Angriffsindikatoren

Bei dieser Threat-Hunting-Methode werden strategische und taktische Maßnahmen erhoben, beispielsweise durch die Heranziehung folgender Indikatoren:

  • Indicator of Attack (IOA)
  • Indicator of Compromise (IOC)

Der IOA konzentriert sich darauf, die Motive der Angreifer zu erkennen, losgelöst von der Malware. Ist die Sicherheit einer IT-Umgebung verletzt worden, so spricht man in der Forensik von einem IOC, der als Beweis auf dem Computer gilt, ein Beispiel ist ein verdächtiges Verhalten, durch die eine ungewöhnliche von Datenzugriffen im Netzwerk.

3. Advanced Analytics und Machine Learning

Bei dieser Threat-Hunting-Methode handelt es sich um einen Technologie-Mix, damit riesige Datenmengen gesichtet werden können zur Erkennung von böswilligen Aktivitäten. Erkannte Anomalien manuell und individuell unterstützt durch Advanced Analtiycs und Machine Learning als heiße Spuren, die auf eine Cybergefahr hindeuten verfolgt.

Voraussetzungen für ein Threat-Hunting-Programm

Die Einrichtung eines internen Threat-Hunting-Programms ist jedoch mit einigen Herausforderungen verbunden. Dazu gehören u. a. der Mangel an Technologien, strukturierte Arbeitsabläufe und nicht vorhandene Ressourcen in Form von Fachleuten für das Threat Hunting.

Lösungen von Cyber-Security-Spezialisten bieten beispielsweise ein Threat Hunting Service, um fehlende Know-how oder zeitliche Kapazitiäten zu kompensieren. So kann beispielsweise ein Überwachungsservice mit einer 365-Tage-Telemetrie und einer verhaltensorientierte KI-Engine, als sogenanntes Threat Intelligence genutzt und integriert werden.

Lösungsbeispiele: Bedrohungen können z. B. mit der Hilfe von Open-Source-Intelligence (OSINT), MITRE ATT&CK, Cyber Threat Alliance und proprietäre Intelligenz identifiziert und abnormale Verhaltensweisen kategorisiert.

5 Tipps für den Start von Threat Hunting

Welche Maßnahmen sollten Sie ergreifen, um ein perfektes Threat-Hunting-Programm einzusetzen:

  1. Stellen Sie sicher, dass Sie über die richtigen Daten verfügen.
  2. Ermitteln Sie den Normalzustand Ihrer Umgebung als Basis.
  3. Formulieren Sie eine Hypothese.
  4. Untersuchen und analysieren Sie potenzielle Bedrohungen.
  5. Reagieren Sie schnell, um Bedrohungen abzuwehren.
  6. Passen Sie Ihre Systeme an und automatisieren Sie Prozesse für zukünftige Ereignisse.

Kurzgefasst: Beim Threat Hunting geht es um das letzte 1 % der unbekannten Verhaltensweisen und das Blockieren aller Angriffe beim Versuch eine bösartige Anwendung auszuführen, selbst wenn das anormale Verhalten nicht gestoppt werden kann.

Fazit

Erfolgreiche Threat-Hunting-Programme können sicherstellen, dass Sicherheits- und IT-Teams in der Lage sind, Bedrohungen zu erkennen und auf diese zu reagieren. Es sollte sich um eine kontinuierliche und nicht um eine punktuell aktivierte Funktion handeln. Stellen Sie die Ressourcen sicher oder arbeiten Sie mit einem verlässlichen Cyber Security-Partner zusammen, der Ihnen diese Informationen liefert und die Arbeit abnimmt. Betrachten Sie Threat Hunting nicht als einzelne Lösungen, sondern im Kontext zu Ihrer bestehenden IT-Infrastruktur und Cyber Security-Strategie. Nur so können Sie ein hochmodernes Threat-Hunting-Programm erfolgreich installieren.

    Kostenloses Ticket Cyber Security Fairevent 2022

    Teilnahme am nächsten Erfahrungsaustausch
    Nutzen Sie unser Kontingent als Medienpartner, und erhalten Sie als Early Bird Ticket ein kostenloses Ticket im Wert von 99,00 Euro.


    Ich wünsche folgenden Ticket als kostenlosen Leserservice

    Interesse zur Teilnahme Vorort in Dortmund
    Interesse zur Teilnahme digital im Cyber Security Showroom
    Interesse zur Teilnahme als Speaker
    Interesse zur Teilnahme als Aussteller


    Nutzen Sie die Möglichkeit und greifen Sie auf die kostenfreien Tickets für unsere Forenmitglieder zurück. Über das nachfolgende Ticketformular erhalten Sie ein Ticket, um den Fachkongress für Cybersecurity kostenfrei besuchen zu können.


    Schnellregistrierung

    Vor- und Nachname

    Ihre E-Mail

    DSGVO-Pflichtfeld: Ich willige ein, dass bei der Kontaktaufnahme über dieses Internetformular, meine Angaben zwecks Bearbeitung der Anfrage sowie für den Fall, dass Anschlussfragen entstehen, gespeichert werden.

    Freiwillige Angaben

    Networking-Interesse:
    Freiwillige Datenfreigabe zur besseren Vernetzung unserer Mitglieder im Netzwerk/Forum (Einzelfallbezogen, nicht öffentlich).Ich willige ein, dass meine Daten, in Ihrem Netzwerk vertraulich und kontextbezogen genutzt werden können. Ohne diese Datenfreigabe kontaktiert Sie, wenn überhaupt, nur das Industrie-Wegweiser Team.

    Firmenname

    Branche

    Funktion

    Straße und Hausnummer

    PLZ/Ort

    Kontaktrufnummer

    Anzahl der Personen - benötigte Tickets?

    Weitere Informationen von Ihnen | Z. B. für die Tickets: Name, Vorname der einzelnen Personen oder zum aktuellen Bedarf:

    Informationsservice industrie-wegweiser.de

    Informationsservice it-wegweiser.de

    Sollten Sie sie eine ältere Version Ihres Internet-Browsers nutzen, kann es zu Schwierigkeiten beim ausfüllen des Anmeldeformulares kommen. Sie können uns in diesem Fall auch per Mail erreichen: info@it-wegweiser.de

    „Winserat/ Anzeige“

    Wir bedanken uns bei den Ausstellern Sentinel One und WatchGuard des Cyber Security Fairevent 2022 für die Informationen zu Threat Hunting. Bei diesem Artikel handelt es sich um ein Winserat. Trotz Artikelsponsoring, welches notwendig ist, um unsere Leser/innen nicht mit Bannerwerbung vom Wesentlichen abzulenken, versichern wir eine kritische und herstellerunabhängige Berichtserstattung. Über 90 % unserer Inhalte sind redaktionell entstanden und mit den entsprechenden Hinweisen aus der Praxis, mittels eines Experteninterviews, ergänzt worden. So wie dieser Artikel sind alle weiteren Artikel klar gekennzeichnet.