Threat Detection and Response Framework

Threat Hunting: Aktive Cyberjagd für eine ganzheitliche Sicherheitsstrategie

Im aktuellen Report State of Ransomware 2022 stellt Sophos fest, dass während des letzten Jahres 59 Prozent der befragten Unternehmen eine Zunahme der Komplexität von Cyberangriffen wahrnahmen.

Anzeige

Weit über die Hälfte sind sich also darüber bewusst, dass Cyberkriminelle gerissener denn je agieren und zunehmend verdeckte, von Menschen gesteuerte Techniken bei ihren Angriffen einsetzen. Infolgedessen wenden sich Sicherheitsteams vermehrt der aktiven Cyberjagd – dem sogenannten Threat Hunting – zu.

Unter Threat Hunting versteht man das aktive und iterative Durchsuchen von Netzwerken, um fortschrittliche Bedrohungen zu erkennen und zu isolieren. Die Bedrohungsjagd ist eine Komponente eines umfassenderen Vorgangs – von der Erkennung bis zur Reaktion auf Bedrohungen. Bei der Bedrohungsjagd kommt oft ein Threat Detection and Response Framework zum Einsatz. Dieses besteht aus fünf Kernkomponenten.

1. Prävention

Robuste und ordnungsgemäß konfigurierte Präventionstechnologien (z. B. eine Endpunktschutzlösung) verhindern, dass Cyberkriminelle in ein Netz eindringen können. Noch wichtiger ist jedoch, dass dadurch die Anzahl der täglich oder sogar stündlich generierten Sicherheitswarnungen verringert wird. Da weniger Warnmeldungen zu bearbeiten sind, kann das Sicherheitsteam die Signale, auf die es ankommt, besser erkennen und sich auf sie konzentrieren – in diesem Fall auf ausweichende, von Menschen geführte Angriffe.

2. Sammlung von Sicherheitsereignissen, Alarmen und Erkennungen

Daten sind Grundlage für die Bedrohungssuche und -analyse. Ohne die richtige Art, Menge und Qualität von Daten ist es für Sicherheitsteams schwierig, potenzielle Angriffsindikatoren genau zu identifizieren. Doch Daten ohne Kontext erschweren die Überzeugungsarbeit des Bedrohungsjägers. Ohne aussagekräftige Metadaten, die mit dem Signal verknüpft sind, können Analysten nur schwer feststellen, ob die Signale bösartig oder harmlos sind.

NL Icon 2
Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.

3. Priorisierung der wichtigen Signale

Um zu vermeiden, dass IT-Teams von Daten überwältigt werden und die Punkte, die eine genauere Untersuchung erfordern, nicht erkennen, müssen sie in der Lage sein, die wichtigen Warnmeldungen zu identifizieren. Entscheidend dabei ist es, das Signal-Rausch-Verhältnis möglichst optimal zu verbessern, Dies geschieht, indem Analysten eine Kombination aus Kontext, den nur Ereignisproduzenten liefern können, und automatisierter und künstlicher Intelligenz verwenden. Selbst mit Automatisierung ist dies allerdings kein einfacher Prozess.

4. Investigation

Sobald das IT-Team die Schlüsselsignale isoliert hat, ist es an der Zeit, weitere Erkenntnisse zu gewinnen und die entdeckten Daten mit Branchenstandards und -modellen zu vergleichen. Dies schafft eine Vertrauensschwelle für die Überzeugung von bösartigem oder gutartigem Verhalten.

5. Aktion

Dies ist ein wichtiger Punkt. Sobald IT-Teams festgestellt haben, dass sie es mit einer Bedrohung zu tun haben, müssen sie zwei Dinge tun: Erstens das unmittelbare Problem entschärfen, und zweitens müssen sie bedenken, dass sie wahrscheinlich nur ein Symptom des Angriffs bekämpfen und die eigentliche Ursache noch aufzuspüren und zu neutralisieren ist. Die erste Maßnahme muss dabei durchgeführt werden, ohne dass die Fähigkeit zur Durchführung der zweiten Maßnahme beeinträchtigt wird. Manchmal reicht es aus, einen Rechner unter Quarantäne zu stellen oder ihn vom Netz zu trennen. In anderen Fällen muss das Sicherheitsteam tiefer in das Netzwerk eindringen, um die Verzweigungen eines Angriffs zu entfernen.

Wenn beispielsweise Malware erfolgreich blockiert und vom System entfernt wurde und die Warnmeldung nicht mehr zu sehen ist, beutet dies nicht zwangsläufig, dass der Angreifende aus der Umgebung verschwunden ist. Professionelle Bedrohungsjäger:innen, die Tausende von Angriffen beobachten, wissen, wann und wo sie genauer hinschauen müssen. Sie achten darauf, was die Kriminellen sonst noch im Netzwerk tun, getan haben oder möglicherweise planen und neutralisieren auch das.

Teil einer ganzheitlichen Sicherheitsstrategie

Die aktive Cyberjagd sollte heute zu einer ganzheitlichen Sicherheitsstrategie von Unternehmen gehören. Um Threat-Hunting-Security-Maßnahmen aber ergreifen zu können, müssen IT- und Security-Teams die Grundlagen bestehend aus Frameworks und Tools festlegen, die geeignet sind, den neuesten Bedrohungen einen Schritt voraus zu sein und schnell auf potenzielle Angriffe reagieren zu können. Wenn IT- und Sicherheitsteams die folgenden fünf Schritte befolgen, ist eine erfolgreiche Jagd garantiert:

1. Den Reifegrad der aktuellen Cybersicherheitsabläufe bestimmen

Die Zuordnung aller Prozesse zu einem Cyber-Security-Modell, das den Grad der Entwicklung und Fortschrittlichkeit anzeigt (beispielsweise mit dem CMMC), ist eine gute Methode, um die potenzielle Leistungsfähigkeit für ein erfolgreiches Threat Hunting zu beurteilen. Nebenbei wird dabei auch die bestehende Security-Infrastruktur und deren Anfälligkeit gegen Bedrohungen geprüft.

2. Taktik für das Threat Hunting

Nach der Beurteilung des Reifegrads kann die Bedrohungssuche durchgeführt werden – intern, ausgelagert an einen spezialisierten IT-Dienstleister oder in Form einer Mischung aus beiden Varianten.

3. Identifikation technologischer Lücken

Durch das Prüfen und Beurteilen vorhandener Tools kann ermittelt werden, was für eine Bedrohungssuche zusätzlich benötigt wird. Die beiden Kernfragen sollten dabei wie folgt lauten: Wie effektiv ist die Präventionstechnologie? Verfügt diese über unterstützende Threat-Hunting-Funktionen?

4. Qualifikationsdefizite ermitteln

Die Bedrohungsjagd erfordert spezielle Fähigkeiten. Wenn ein IT- oder Security-Team nicht über die nötige Erfahrung verfügt, sollten diese für das Threat Hunting geschult und trainiert werden. Alternativ können externe Spezialist:innen die Wissenslücken schließen.

5. Der Notfallplan

Eine Reaktion auf einen Cyber-Notfall kann nur so gut sein wie sein Plan und die darin definierten Prozessketten und Verantwortlichkeiten. Er ist unerlässlich für die Sicherstellung schneller, angemessener und kontrollierter Aktionen und um die Auswirkungen eines Angriffs auf ein Minimum zu reduzieren.

Michael Veit

Sophos Technology GmbH -

Sicherheitsexperte

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.