Fünf Fragen zu Cyber Threat Hunting
von Tina Siering
Jede Organisation steht vor der Herausforderung, die eigenen Netzwerke möglichst immun gegenüber den wachsenden Cyberbedrohungen zu machen. Dafür ist ein Grundverständnis für die unterschiedlichen Techniken der IT Security erforderlich. Cyber Threat Hunting ist eine dieser effektiven Methoden. Die folgenden fünf Fragen tauchen im Zusammenhang mit dem Threat Hunting besonders häufig auf.
Was ist Threat Hunting?
Mithilfe des Threat Hunting wird ein Netzwerk mittels moderner Software und künstlicher Intelligenz kontinuierlich auf Anomalien und IOCs (Indicators of Compromise) analysiert. Ziel ist es, auffällige Verhaltensmuster zu identifizieren und so unbefugte Eindringlinge im Netzwerk frühzeitig ausfindig zu machen. Durch die sogenannten Advanced Persistent Threats ist in den vergangenen Jahren eine völlig neue Gefahr entstanden. Advanced Persistent Threats zeichnen sich durch ihre hohe professionelle Durchführung aus, bei denen es den Cyberkriminellen gelingt, unter schlimmsten Umständen von der IT unentdeckt, Security Daten abzugreifen.
Der zentrale Unterschied zu den grundlegenden, präventiven Sicherheitsmaßnahmen, wie der Firewall oder einer Antivirensoftware, ist der aktive Ansatz bei der “Cyber Bedrohungsjagd”. Passive Sicherheitstools sind nicht geeignet, um allgemeine und bekannte Bedrohungen abzuwehren, erst recht keine fortschrittlichen Techniken über einen längeren Zeitraum. Beim Threat Hunting kommen beispielsweise SIEM-Lösungen (Security Information und Event Management) oder das MITRE & ATT&CK Framework zum Einsatz. Je mehr Informationen und Datensätze der IT Security zur Verfügung steht, desto wahrscheinlicher die Erfolgsaussicht – insbesondere dann, wenn es um Bedrohungen durch Advanced Persistent Threats geht.
Welche Vorteile bietet das Threat Hunting?
Der entscheidende Vorteil der aktiven Suche nach Bedrohungen ist, dass Eindringlinge in einem Netzwerk entdeckt werden, noch bevor diese Schäden anrichten können.
Threat Hunter gehen prinzipiell davon aus, dass sich Cyberkriminelle bereits in der zu schützenden IT-Infrastruktur eingenistet haben. Sie suchen daher ganz gezielt nach Spuren, die sich auf kriminelle Aktivitäten zurückführen lassen.
Überprüft wird dazu jede IP-Adresse, die mit dem Netzwerk verbunden ist, um IoCs aufzuspüren. Stellen Sie sich dies als eine aktive Überprüfung der Sicherheitsintegrität des Systems vor. In weitläufigen Netzwerkumgebungen kann es viel Arbeit bedeuten, jedes System zu überprüfen. Es ist jedoch der einzige Weg, um sicher zu wissen, ob sich bereits kriminelle Akteure im Netzwerk befinden. Wenn es Ihr Ziel ist, die Integrität Ihres Netzwerks zu erhalten, bietet Threat Hunting also die ultimative Überprüfung, ob Sie sicher sind.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Wie verbessert Threat Hunting die IT Security einer Organisation?
Während der Fokus auf dem Auffinden von Eindringlingen liegt, bietet das Threat Hunting auch die Möglichkeit, die etablierten Sicherheitsprozesse grundlegend zu überprüfen: Wird ein Angreifer im System aufgespürt, kann anschließend der Ausgangspunkt der Kompromittierung identifiziert werden. Mit der Bedrohungsanalyse liefert Threat Hunting also solide Daten, um Schwachstellen in der IT-Sicherheit zu identifizieren und zu schließen. Die globale IT-Sicherheitslage hat sich in der jüngsten Vergangenheit so drastisch geändert, dass Threat Hunting zu einer Standardanforderung in der Cyber Security werden sollte.
Schützt Threat Hunting auch IoT-Geräte?
Grundsätzlich ist das Threat Hunting dafür geeignet, alle Systeme innerhalb eines Netzwerks zu schützen. Dazu gehören auch IoT-Geräte. Das Threat Hunting konzentriert sich auf Log-Daten sowie Traffic im Netzwerk. IoT-Geräte zeichnen nicht immer Log-Daten auf, sodass eine Kontrolle der direkten Zugriffe nicht immer möglich ist. Das verhindert jedoch auch eine manuelle Kontrolle der Zugriffe über die Log-Daten. Der Datenverkehr im Netzwerk, der über TCP/IP stattfindet, ist jedoch bei allen Systemen gleich. Hier sind Lösungen für das Threat Hunting besonders effektiv beim Schutz von IoT-Geräten, auch weil andere IT-Sicherheitslösungen nicht mit diesen Endgeräten kompatibel sind.
Gibt es einen Unterschied zwischen Cyber Threat Hunting und Network Threat Hunting?
Cyber Threat Hunting ist ein allgemeiner Begriff, der alle Arten der Erkennung von Angreifern umfasst. Dies kann im Netzwerk oder auf jedem einzelnen Host selbst sein. Beim Network Threat Hunting wird, wie der Name schon sagt, speziell nach Angreifern gesucht, indem der Netzwerkverkehr analysiert wird.
Fazit zum Thema Threat Hunting
Mit der Bedrohungsüberwachung Ihres Unternehmensnetzwerks führen Sie den ultimativen Test zur Überprüfung der Sicherheit Ihres Netzwerks durch, da mithilfe der Threat Hunting Methode ein Netzwerk proaktiv und kontinuierlich auf Anomalien analysiert wird. So wird die Kommunikation der Angreifer zu Command & Control Servern (C&Cs) umgehend identifiziert. Eine Kompromittierung kann so bereits in dem Moment erkannt werden, in dem Angreifer in das System eindringen – und nicht erst nach rund 200 Tagen, die im Durchschnitt für die Erkennung eines Sicherheitsvorfalls benötigt werden. Wie genau Cyber Threat Hunting im Detail funktioniert und was als Grundvoraussetzung gilt, erfahren Sie in unserem Blogartikel “Welche Tools benötige ich für erfolgreiches Cyber Threat Hunting?”
Mit dem Active Cyber Defense (ACD)-Service, bietet secion eine Threat Hunting Lösung als Managed Service an, mit der Unternehmen ihre Netzwerk auf höchstmöglichem Niveau absichern. Zum Einsatz kommt eine spezielle Software, die alle Systeme rund um die Uhr überwacht. Verdachtsfälle werden in Echtzeit gemeldet. Falls Handlungsbedarf besteht, werden Kunden durch das Response Team umgehend über die entdeckten Angriffsaktivitäten informiert und erhalten konkrete Handlungsempfehlungen, um den Cyberangriff zu unterbinden.