FAQ zum Thema Cyber Threat Hunting: Die 10 meist gestellten Fragen zur proaktiven Jagd auf Cyberbedrohungen!
von Svenja Koch
Das Thema Cyber Threat Hunting ist Ihnen noch neu und Sie haben viele Fragen, die Sie von einem echten Experten beantwortet haben möchten? Dies kann wohl niemand besser als ein langjähriger Experte aus der Cyber Threat Hunting Szene, die ihren Ursprung in den USA hat: Chris Brenton von Active Countermeasures INC., unser Partner für Active Cyber Defense, beantwortet in unserem heutigen Blogbeitrag die 10 meist gestellten Fragen zum Thema Threat Hunting. Werden Sie jetzt mit uns zum Threat Hunting Insider - viel Spaß beim Lesen!
1) Ist Threat Hunting eine „echte“ eigenständige Produktkategorie in der Cybersecurity?
Auf jeden Fall. In der Vergangenheit wurden verbreitet lediglich passive Lösungen gewählt, um die Cyber-Sicherheit von Unternehmen zu gewährleisten. Es wurden (und werden noch immer) ausschließlich oder hauptsächlich traditionelle IT-Sicherheitslösungen eingesetzt und dann wird davon ausgegangen, dass diese Cyberkriminelle fernhalten - bis wir eines Besseren belehrt wurden und es zu spät war. Sicherlich ist eine Überprüfung von Protokollen sinnvoll, aber diese ist in der Regel bestenfalls oberflächlich und prüft auf offensichtliche Einträge wie beispielsweise fehlgeschlagene Anmeldungen. Die Bedrohungsjagd (engl.: Threat Hunting) hingegen ist ein aktiver Prozess. Wir gehen davon aus, dass das Schlimmste bereits eingetreten ist – nämlich eine Kompromittierung des Netzwerkes - und nehmen an, dass ein oder mehrere Hosts wahrscheinlich betroffen sind. Dann durchsuchen wir das Netzwerk nach verräterischen Anzeichen von Command and Control (C2) Verkehr. Einige Lösungen tun dies in gewisser Weise auch, aber der Haken ist, dass man einen erfahrenen Analysten hinter der Tastatur braucht, der genau weiß, wonach er suchen muss. Um das Threat Hunting erfolgreich zu betreiben, bedarf es Produkte auf dem Markt, die die nötige Intelligenz mitbringen, um die Bedrohungsjagd auch für weniger erfahrenes Sicherheitspersonal möglich zu machen.
2) Was sind die wichtigsten Vorteile der Bedrohungsjagd?
Das primäre Ergebnis einer Bedrohungsjagd ist eine korrekte Einordung und Bewertung der aufgespürten Kompromittierungen. Wir überprüfen effektiv jede IP-Adresse, die mit dem Netzwerk verbunden ist, um zu sehen, ob es irgendwelche Indicators of Compromise (IoC) gibt. Stellen Sie sich dies als eine aktive Überprüfung der Sicherheitsintegrität des Systems vor. Während diese Aussage relativ einfach klingt, kann es in weitläufigen Netzwerkumgebungen viel Arbeit bedeuten, jedes System zu überprüfen. Es ist jedoch der einzige Weg, um sicher zu wissen, ob sich bereits kriminelle Akteure im Netzwerk befinden.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
3) Was ist erforderlich, um mit der Bedrohungsjagd zu beginnen?
Der erste Schritt besteht darin, herauszufinden, welche Überprüfungen Sie durchführen möchten und welche Daten dafür erforderlich sind. Wenn Sie z. B. nach C2-Kommunikation suchen möchten, benötigen Sie eine Möglichkeit, den gesamten Datenverkehr zwischen dem internen Netzwerk und dem Internet zu analysieren. Dies wird in der Regel erreicht, indem der Verkehr an der internen Schnittstelle der Firewall aufgezeichnet wird. Dies kann mit einem Netzwerkabgriff oder durch Ausnutzung eines Switch-Span-Ports geschehen. Sobald die Daten gesammelt sind, benötigen Sie nun Tools und Prozesse, die zwischen C2-Kommunikation und normalen Verkehrsmustern unterscheiden können. C2 kann ziemlich unauffällig sein, daher benötigen Sie die Möglichkeit, den Datenverkehr in Zeitabschnitten von 4 Stunden, 12 Stunden oder mehr zu analysieren.
4) Ist Cyber Threat Hunting mit IOT-Geräten eine realistische Praxis?
Das hängt davon ab, wie Sie Ihre Bedrohungsjagd durchführen. Wenn Sie versuchen, Systemprotokolle zu überprüfen, protokollieren IoT-Geräte in der Regel sehr wenig und bieten eine schlechte Dokumentation der Protokolleinträge, die sie erzeugen. Wenn Sie im Netzwerk jagen, können Sie IoT-Geräte durchaus einbeziehen. TCP/IP ist TCP/IP und es spielt keine Rolle, ob der Endpunkt ein Windows-Desktop, ein Netzwerkgerät, ein Wärmesensor oder ein HLK-System ist. Sehen Sie sich als Beispiel den Verizon Breach Report 2019 an. Insbesondere den Abschnitt, der über Verletzungen von Point-of-Sale-Geräten (POS) spricht. Trotz der Tatsache, dass PCI von Unternehmen verlangt, die Protokolle für diese Geräte zu überprüfen, wurden im Bericht von Verizon 100 % der Verstöße durch externe Mittel entdeckt. Mit anderen Worten: Keine der Organisationen in dem Bericht entdeckte die Kompromittierung von POS-Geräten durch die Überprüfung von Protokollen! Es wurde jedoch ein C2-Kanal zur Steuerung des POS-Geräts verwendet, und diese C2-Sitzung hätte über eine Netzwerk-Bedrohungsjagd entdeckt werden können.
5) Was ist der Hauptunterschied zwischen Threat Hunting und Threat Detection?
Cyber Threat Hunting ist ein relativ neuer Sicherheitsbereich. Vor diesem Hintergrund ist es nicht ungewöhnlich, dass man mehrere Begriffe hört, die dasselbe bedeuten, bevor einer wirklich "hängen bleibt". Es scheint keinen Unterschied zwischen den Begriffen "Threat Hunting" und "Threat Detection" zu geben.
6) Gibt es einen Unterschied zwischen Cyber Threat Hunting und Network Threat Hunting?
Cyber Threat Hunting ist ein allgemeiner Begriff, der alle Arten der Erkennung von Angreifern umfasst. Dies kann im Netzwerk oder auf jedem einzelnen Host selbst sein. Beim Network Threat Hunting wird, wie der Name schon sagt, speziell nach Angreifern gesucht, indem der Netzwerkverkehr analysiert wird.
7) Gibt es irgendwelche Voraussetzungen für das Erlernen von Threat Hunting, z. B. Programmier- oder Betriebssystemkenntnisse?
Das hängt davon ab, wie Sie Ihre Bedrohungssuche durchführen wollen. Wenn Sie die Bedrohungsjagd über das Netzwerk durchführen wollen, ist es äußerst hilfreich, wenn Sie über gute Kenntnisse der Netzwerk- und Protokollkommunikation verfügen. Beispielsweise verwendet die HTTPS-Kommunikation in der Regel die SSL/TLS-Protokolle über TCP-Port 443. Viele C2-Tools leiten ihren Datenverkehr über TCP/443 weiter, verschleiern ihn aber einfach (sie verwenden kein SSL/TLS). Wenn Sie sich also im Netzwerk auskennen und Datenverkehr über TCP/443 sehen, der keinen SSL/TLS-Handshake enthält, wissen Sie, dass dies etwas ist, das weiter untersucht werden muss. Wenn Sie vorhaben, Ihre Suche auf den Endpoints durchzuführen, dann müssen Sie sich mit jedem Betriebssystem und den verwendeten Anwendungen auskennen. PowerShell ist zum Beispiel eine leistungsstarke Skriptsprache, die in das Windows-Betriebssystem integriert ist. Es ist äußerst selten, dass jemand außerhalb der IT- oder Sicherheitsteams einen legitimen Grund hat, sie zu verwenden. Als Bedrohungsjäger müssten Sie also wissen, dass Frau Müller in der Buchhaltung, die PowerShell ausführt, wahrscheinlich ein Hinweis darauf ist, dass Ihr System kompromittiert wurde.
8) Kann ich die beim Threat Hunting entdeckten Informationen verwenden, um die Sicherheit meiner Organisation zu verbessern?
Auf jeden Fall! Auch wenn Angreifer nicht erkannt werden, können Sie Muster finden, die das Geschäftsrisiko erhöhen. Viele Unternehmen verfügen beispielsweise über Hardware oder Software, die von externen Dritten verwaltet wird. Diese Drittanbieter nutzen in der Regel eine Form von Remote-Desktop-Software (RDP, TeamViewer usw.), um das System zu verwalten. Diese Verbindungen werden in der Regel bei der Suche nach C2-Datenverkehr entdeckt, da die Kommunikationsmuster recht ähnlich sind. Der Prozess der Identifizierung dieser Verbindungen sollte einige offensichtliche Fragen aufwerfen. Haben wir noch einen Vertrag mit dieser dritten Partei? Könnte potentiell jeder im Internet versuchen, auf diesen Desktop zuzugreifen? Kann ich feststellen, wann die Remote-Sitzung aktiv genutzt wird? Selbst wenn es also eine legitime geschäftliche Notwendigkeit für die Remote-Desktop-Sitzung gibt, kann es hilfreich sein, diese bei einer Bedrohungssuche zu markieren, um sicherzustellen, dass sie ordnungsgemäß gesichert wurde.
9) Sollte ich sinnvollerweise in verschiedenen Umgebungen, die die Produktion nicht beeinflussen (z.B. regulären Systemen, virtuellen Maschinen, Servern sowie eingeschränkten Systemen) lernen, die Bedrohungsjagd zu testen?
Dies hängt davon ab, wie die Bedrohungsjagd durchgeführt wird. Wenn Sie Paketerfassungen des Datenverkehrs überprüfen, dann nein, da dies keinen Einfluss auf die Produktionskommunikation hat. Abgesehen davon, dass Kopien des Datenverkehrs erstellt werden, handelt es sich um eine völlig passive Funktion. Wenn für die Bedrohungsjagd jedoch eine bestimmte Agentensoftware auf jedem Endpunkt installiert werden muss, sollten Sie dies unbedingt vorher gründlich testen, bevor Sie Gefahr laufen, die Produktionssysteme zu beeinträchtigen.
10) Widmet sich das Threat Hunting nur dem Aufspüren interner Cyber-Bedrohungen oder umfasst es mehr als das?
Wie bereits erwähnt, ist eine Bedrohungsjagd im Grunde genommen eine Kompromissbewertung. Während der Hauptfokus auf dem Auffinden von Gegnern liegt, hat sie auch viele sekundäre Vorteile. Eine Bedrohungsjagd überprüft zum Beispiel auch Ihre Sicherheitsprozesse. Wird ein Angreifer gefunden, können wir umgehend eine Analyse durchführen, um den Ausgangspunkt der Kompromittierung zu identifizieren. So können wir feststellen, wo unsere Schutzlösungen nicht ausreichend waren, um Angreifer vom Netzwerk fernzuhalten. Wir haben damit solide Daten, die eine Schwachstelle in unserer IT-Sicherheit identifizieren, welche weitere Aufmerksamkeit erfordert. Wenn wir beispielsweise in eine Cyber-Versicherung investieren wollen, kann uns eine Kompromissbewertung, die belegt, dass jedes System in unserem Netzwerk überprüft und für sauber befunden wurde, dabei helfen, niedrigere Versicherungstarife auszuhandeln.
Sie brauchen Threat Hunting Experten?
Kontaktieren Sie uns - wir sind es!
Zum Thema passende Artikel
Während die Fertigungsbetriebe umfassend in die notwendige digitale Infrastruktur für das IIOT (Industrial Internet of Things) investieren, bleibt die IT Security zumeist auf der Strecke. IT-Sicherheitsmaßnahmen gegen Cyberbedrohungen und unterschiedlichste Cyberangriffe beruhen viel zu häufig noch auf veralteten Sicherheitskonzepten. Warum mehrschichtige Cyber-Verteidigungssysteme jetzt unabdingbar werden und wie sich durch Threat Hunting und Active Cyber Defense die IT Security in einem Produktionsbetrieb deutlich erhöhen lässt, erfahren Sie in diesem Beitrag.
Es spielt keine Rolle, ob Sie alle möglichen Sicherheitslösungen installiert haben - wenn Eindringlinge erst einmal in Ihre Systeme eingedrungen sind, haben eine oder mehrere dieser Kontrollen versagt und sie werden in Ihrem Netzwerk Schaden anrichten - bis Sie sie schließlich entdecken. Wie wir wissen, kann das Monate dauern. Wenn es Ihr Ziel ist, die Integrität Ihres Netzwerks zu erhalten, bietet Threat Hunting die ultimative Überprüfung, ob Sie sicher sind.
Weiterlesen … Warum Threat Hunting zu einer Standardanforderung in der Cyber Security werden sollte
Die sogenannten Advanced Persistant Threats (ATP) sorgen für eine zunehmend komplexe Bedrohungslage. Diese verschärft die Risikosituation in Unternehmen massiv und macht die Abwehr von Bedrohungen für die Cyber Security immer herausfordernder. Eine erfolgreiche Verteidigung gegen solche Cyberbedrohungen beginnt mit der Prävention. Dafür ist es notwendig, die Angriffsmuster der Hacker zu verstehen. Genau an diesem Punkt setzt das Cyber Threat-Modeling bzw. -Hunting an.
Weiterlesen … Cyber Threat Modeling und Cyber Threat Hunting - Denken Sie wie ein Angreifer!