Angreifer lauern oft wochen- oder sogar monatelang in der IT-Infrastruktur eines Unternehmens, bevor sie aktiv oder entdeckt werden. Threat Hunter durchsuchen und analysieren die Netzwerke und Systeme nach ihnen, ohne dass schon konkrete Anzeichen für eine Bedrohung vorliegen.
Der Inhalt im Überblick
Definition von Threat Hunting:
Threat Hunting, zu Deutsch „Bedrohungssuche“, nutzt Threat Intelligence, also vorhandene Datensätze über Bedrohungen, Schwachstellen und Angriffsmuster, und bereichert diese Informationen wiederum mit den Erkenntnissen aus der „Jagd“. Dies ist als dauerhafte Tätigkeit ausgerichtet, da Gefahren und Gefährdungen sich ständig verändern, gibt es immer Neues zu entdecken. Es kann dabei entlang der gesamten Cyber Kill Chain betrieben werden und deckt somit alle Phasen eines Cyberangriffes ab.
Der präventiven Ansatzes unterscheidet sich deutlich von den Konzepten der klassischen Sicherheitssysteme und ihren reaktiven Methoden zur Abwehr von Cyber-Bedrohungen. Entsprechend wird nicht gewartet, bis konkrete Anzeichen für ein erfolgreiches Eindringen in ein Zielsystem vorliegen. Threat Hunting agiert proaktiv, sucht nach dem Unbekannten. Menschen sind hier von zentraler Bedeutung, denn automatisierte Erkennungstechniken sind berechenbar. Daher sind menschliche Threat Hunter ein unverzichtbarer Bestandteil jedes effektiven Threat Hunting-Services.
Warum ist Threat Hunting wichtig?
Es ist der Wettlauf zwischen Hase und Igel. Black Hat vs. White Hat, Blue vs. Red Team, egal wie man es nennt, ständig ist Innovation gefordert. Der kurze Lebenszyklus einer Sicherheitslücke, von Entdeckung der Schwachstelle bis zum Patch, wurde von uns schon beschrieben und gibt den Takt vor.
Threat Hunting verkürzt den Zeitraum zwischen Infiltration und Aufdeckung eines Eindringlings und kann so den Schaden durch Angreifer signifikant verringern.
Methoden des Threat Hunting:
Grundsätzlich sind die Methoden des Threat Hunting nie klar definiert. Eine Abfolge kann also nur grob dargestellt werden und muss von Fall zu Fall abstrahiert werden.
Es beginnt meist mit der Bildung möglicher Hypothesen, z.B. aus Wissen um Angreiferverhalten in der Vergangenheit, kombiniert mit Wissen um die zu schützende Organisation.
Automatisierte Techniken wie ein Security Information and Event Management System (SIEM) unterstützen die Threat Hunter, indem sie große Datenmengen untersuchen.
Die entstandenen Hypothesen müssen anschließend abstrahiert und in Abfragen überführt werden. Das können Datenbankabfragen oder die Suche nach Mustern sein.
Natürlich müssen diese vor dem Testen evaluiert werden, um die Validität der Ergebnisse sicherzustellen.
Von entscheidender Bedeutung ist, dass Threat Hunting kein linearer, sondern ein iterativer Prozess ist. Die Tests und deren Ergebnisse verfeinern graduell das Wissen und werden danach entsprechend graduell verfeinert. Eine stetige Iteration kennzeichnet des gesamten Ablauf.
Auf diese Weise lassen sich neue, verdeckte Indikatoren für Bedrohungen und Kompromittierungen (Indicators Of Compromise – IOC) finden. Die gefundenen Indikatoren werden anschließend vom Threat Hunter genauer untersucht.
Abgrenzung von der Threat Intelligence
Üblicherweise werden die Erkenntnisse der Threat Intelligence von Machine Learning erfasst und analysiert. Threat Hunting nutzt diese Informationen auf unterschiedlichste Weisen, um eine gründliche, systemweite Suche nach bösartigen Akteuren durchzuführen.
Anders gesagt Threat Hunting beginnt dort, wo Threat Intelligence endet, arbeitet innovativ und iterativ für die Sicherheit der IT-Infrastruktur eines Unternehmens.
Herausforderungen des Threat Hunting
Effektives Threat Hunting ist heute Organisationen mit sehr reifen Sicherheitsprogrammen vorbehalten. Neben Fachwissen, Erfahrung, Tools, Geld und Zeit gibt es noch weitere Rahmenbedingungen, die erfüllt sein sollten. Ein gutes Dokumentenmanagement oder ein Ticketsystem sind für die iterative Arbeit ebenfalls notwendig.
Auch der Datenschutz muss Beachtung finden, denn die Bedrohungssuche stützt sich auf die Analyse großer Datenmengen die natürlich eine Menge an personenbezogenen Daten enthalten. Denken Sie hier z.B. an die Informationspflichten gegenüber den Betroffenen. Auch erfordern innovative Methoden möglicherweise fortschrittliche Tools von Drittanbietern. Ein SIEM oder das Betreiben von „User and Entity Behavior Analytics“ (UEBA) machen eine genaue Prüfung in Form einer Datenschutz-Folgenabschätzung notwendig.
Chancen des Threat Hunting
Der Einsatz des präventiven Threat Huntings bietet aber große Vorteile:
Je kürzer sich Angreifer in der IT-Umgebung bewegen können, umso geringer der Schaden und die verursachten Kosten. Entsprechend sind die Folgen von Sicherheitsverletzungen geringer. Dies gilt natürlich auch für mögliche Reputationsschäden. Jede Erkenntnis dient natürlich auch der Optimierung Ihrer automatisierten Sicherheitssysteme. Ihre Cyber-Versicherung wird es zu schätzen wissen.
Threat Hunting: Was bringt die Zukunft
Threat Hunting ist heute stark von manuellen Prozessen geprägt. Die Zukunft wird eine verstärkte Automatisierung der Aspekte bringen. Damit wird sich die Wirtschaftlichkeit, die Effizienz und Effektivität und damit auch die Verbreitung von Threat Hunting weiter erhöhen. Der Wettlauf aber, wird niemals aufhören.
Threat Hunting ist ein proaktiver Ansatz im Bereich der Cybersicherheit, der sich darauf konzentriert, potenzielle Cyberbedrohungen aktiv zu suchen und zu bekämpfen, bevor sie Schaden verursachen oder Systeme kompromittieren. Dabei werden fortschrittliche Tools, Techniken und Fachkenntnisse eingesetzt, um verdächtige Aktivitäten oder Anzeichen für Kompromittierungen im Netzwerk oder den Systemen einer Organisation zu identifizieren und zu untersuchen. Threat Hunter analysieren Protokolle, Netzwerkverkehr und andere relevante Datenquellen, um versteckte Bedrohungen und potenzielle Schwachstellen aufzudecken. Durch kontinuierliche Überwachung und Analyse der digitalen Umgebung zielen Threat Hunter darauf ab, Bedrohungen in Echtzeit zu erkennen und darauf zu reagieren, um die potenziellen Auswirkungen auf wichtige Ressourcen und Infrastrukturen zu minimieren. Dieser proaktive Ansatz hilft Organisationen, einen Schritt voraus zu sein, und verbessert ihre allgemeine Sicherheitslage und Widerstandsfähigkeit in der sich ständig weiterentwickelnden Landschaft der Cyberbedrohungen. [Link entfernt // nicht themenrelevant]