Wir beraten Sie gerne!

Hotline:
+49 40 38 90 710

E-Mail:
info@secion.de

Kontaktformular

Warum Threat Hunting zu einer Standardanforderung in der Cyber Security werden sollte

von

Lesezeit: Minuten ( Wörter)
Symbolbild Hacker IT-Forensik

Die globale IT-Sicherheitslage hat sich in der jüngsten Vergangenheit drastisch geändert.  Wachsende Firmennetzwerke werden durch zusätzliche Notebooks und Smartphones sowie die Vernetzung über die Cloud unübersichtlicher und bieten immer neue Angriffsflächen für Cyberkriminelle. Gleichzeitig haben die Cyberbedrohungen an Quantität und Qualität zugenommen. Besonders der Anteil an gezielten, raffinierten Attacken (Advanced Persistent Threats) steigt weiterhin weltweit deutlich an. Gegen solche Cyberangriffe sind die klassischen, passiven Cyberverteidigungen oft machtlos. Dem Threat Hunting, der proaktiven und permanenten Suche nach Bedrohungen, sollte daher eine zentrale Rolle in der Abwehr von Cyberangriffen eingeräumt werden.

In diesem Blogeintrag erfahren Sie, warum ein Außerachtlassen des Threat Hunting (der aktiven Bedrohungsjagd) in der Cyber Security Strategie ein großes Versäumnis ist und vielmehr zu einem festen Element unserer Sicherheits-DNA werden muss.

Warum wir klassische Sicherheitsstandards haben

Die traditionellen IT-Sicherheitsstandards wurden geschaffen, um die Sicherheit unserer IT-Netzwerke zu gewährleisten. Sie definieren eine Reihe von Best Practices, die dazu dienen, die Integrität unserer Daten und der Hardware, auf der sie gehostet werden, zu gewährleisten. Gleichzeitig kommen jedoch in vielen Firmennetzwerken noch immer solche Schutzmechanismen zum Einsatz, die nicht die aktuellen Möglichkeiten der modernen Cyberverteidigung ausnutzen und damit nicht den heutigen Angriffsmethoden gewachsen sind. Oft sind Entscheidungsträger in Unternehmen noch davon überzeugt, dass ihre IT- und Informationssysteme damit sicher sind. Gleichzeitig setzen sie faktisch ausschließlich auf passive Systeme und Protection Module wie eine Firewall oder Anti-Virus-Software.

Passive Systeme wie Firewalls erzeugen ein trügerisches Gefühl von Sicherheit, denn aus den Logs geht hervor, dass tatsächlich unbefugte Zugriffe auf die IT-Infrastruktur verhindert werden. Allerdings handelt es sich hierbei häufig um sehr allgemeine und ungezielte Angriffe, die blockiert werden. Eine besondere Gefahr geht jedoch von raffinierten, geplanten Attacken aus. Hierbei infizieren Cyberkriminelle gezielt Systeme in Ihrem Netzwerk und haben dann direkten Zugriff auf kompromittierte Rechner. Mittel und Wege für solche Infiltrationen gibt es viele - und in den meisten Fällen sind passive Protection Module wie eine Firewall machtlos gegen diese Angriffe. Lokale Intrusion Detection Systeme versprechen hier Abhilfe, doch auch diese arbeiten nach vorgegebenen Algorithmen. Sie erkennen einerseits nicht alle Angriffe und können andererseits selbst zum Ziel einer Cyberattacke werden. Somit ist auch durch ihren Einsatz allein keine umfassende Sicherheit gewährleistet.

Jetzt keinen Blogbeitrag mehr verpassen!

  • 12x im Jahr aktuelle News aus der IT Security Welt
  • 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
  • 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense

Wie Standards erfolgreiche Angriffe adressieren

Ein Großteil der in den Sicherheitsstandards von Unternehmen definierten Kontrollen zielt darauf ab, die Möglichkeit eines Angriffs abzuschwächen. Sie können beispielsweise definieren, wie der Perimeter zu konfigurieren ist, damit bösartiger Datenverkehr den Weg ins Innere nicht finden kann. Sie können sich auf Maßnahmen wie Benutzerschulungen konzentrieren, damit Ihre Mitarbeiter weniger leicht auf Social Engineering-Angriffe hereinfallen. Sie konzentrieren sich sogar auf Prozesse, um sicherzustellen, dass alle diese Sicherheitsebenen ordnungsgemäß gewartet werden.

Wenn es jedoch darum geht, erfolgreiche Angriffe abzuschwächen, bringen diese Standards nur wenig.

Sie konzentrieren sich in der Regel auf drei Schlüsselbereiche:

  • Antiviren- oder Malware-Kontrollsoftware
  • Intrusion Detection oder - Prävention
  • Log-Überprüfung

All diese Maßnahmen haben gemein, dass es sich hierbei eher um Erkennungs- als um Validierungstechnologien handelt. Mit anderen Worten: Antiviren-Software versucht, Malware zu erkennen, wenn sie auf einem Host landet. Sie liefert keine Antwort, wenn der Malware-Abwurf erfolgreich war. Außerdem setzt das Vertrauen in Antiviren-Software voraus, dass das infizierte System die Software tatsächlich ausführt. Die meisten Macs, Linux-, IoT- und Hardware-Geräte arbeiten ohne Antiviren-Lösung.

Pentesting vs. Bedrohungsjagd

Schwachstellen-Scans und Pentesting sind beliebte Anforderungen von Sicherheitsstandards. Der PCI DSS* beispielsweise nennt beide als Anforderungen. Control 11.2 verlangt vierteljährliche Schwachstellen-Scans, während Control 11.3 vierteljährliches Pentesting vorschreibt. Beide zielen darauf ab, Schwachstellen in Ihrer Sicherheitsstruktur zu identifizieren, die Angreifer ausnutzen könnten, um einen erhöhten Zugriff zu erlangen.

Zu betrachten ist jedoch der Prozess, der implementiert wird, wenn ein Schwachstellenscan oder Pentest eine Schwachstelle findet. Wir patchen oder ändern einfach die Konfiguration, so dass die Schwachstelle nicht mehr zugänglich ist, und machen mit unserem Tag weiter. Mit anderen Worten: Wenn festgestellt wird, dass eine Schwachstelle existiert und dem Internet ausgesetzt war, erfordert PCI DSS oder jeder andere Sicherheitsstandard keine tiefere Untersuchung, um festzustellen, ob die Schwachstelle ausgenutzt wurde.

* Payment Card Industry Data Security Standards (PCI DSS) legt den Mindeststandard für die Datensicherheit fest.

Wo ist die Lücke?

Wenn Sie sich also bestehende Sicherheitslösungen ansehen, fallen diese meist in eine von zwei Kategorien. Entweder sind sie schutzbasiert, d. h. sie konzentrieren sich darauf, Angreifer draußen zu halten. Firewalls, Intrusion Detection und Zwei-Faktor-Authentifizierung fallen in diese Kategorie. Oder sie sind reaktionsbasiert und darauf ausgelegt, implementiert zu werden, sobald wir wissen, dass die Bösewichte im Netzwerk sind. Das Incident Handling ist ein gutes Beispiel dafür.

Das Problem ist, dass die ausschließliche Verwendung dieser beiden Praktiken eine maßgebliche Lücke in der Sicherheit Ihres Unternehmens hinterlässt. Wenn es den Angreifern gelingt, Ihre Schutzlösungen zu überwinden, kann es eine Weile dauern, bis Sie sie in Ihrem Netzwerk tatsächlich sehen. Bis Sie sie sehen, haben sie bereits die Daten Ihres Unternehmens gestohlen!

Der kritische Faktor Zeit

Die durchschnittliche Entdeckungszeit für Sicherheitsverletzungen in Netzwerken beträgt derzeit 6 Monate. Das bedeutet, dass die Angreifer ca. ein halbes Jahr lang in Ihrem Netzwerk waren und die Daten Ihres Unternehmens gestohlen haben, ohne dass Sie davon wussten. Die mittlerweile berühmte SolarWinds-Kompromittierung ist ein perfektes Beispiel dafür. Die Sicherheitslücke ereignete sich im März und wurde erst im Dezember entdeckt und veröffentlicht.

Das Erstaunlichste daran ist, dass diese Sicherheitsverletzungen in den meisten Fällen von externen Quellen entdeckt werden! Das bedeutet, dass das Unternehmen nicht selbst die Kompromittierung entdeckt... das FBI, BSI oder eine andere Organisation muss es darauf aufmerksam machen. Auch hier ist die Verletzung von SolarWinds ein perfektes Beispiel, da die Kompromittierung durch FireEye entdeckt wurde.

Wenn Sie zulassen, dass eine solche IT-Sicherheitslücke in Ihrem Netzwerk unentdeckt bleibt, kann dies die Bereitschaft von Unternehmen oder Verbrauchern, mit Ihnen Geschäfte zu machen, enorm beeinflussen. Dass viele Cyberversicherungen für den Abschluss einer Versicherungspolice ein Tool zur Angriffsfrüherkennung im betreffenden Unternehmen voraussetzen, ist ein passendes Beispiel hierfür.

Schematischer Aufbau eines Protection- und Response-Prozesses ohne und mit Einsatz von Cyber Threat Hunting

Die klaffende Lücke, die durch Threat Hunting gefüllt wird

Wie Sie sehen, sind unsere traditionellen Sicherheitsstandards mittlerweile nur noch als Teilbereich einer IT-Sicherheitsstrategie zu sehen, denn sie tun zu wenig, um zu überprüfen, ob die geforderten Kontrollen tatsächlich wirksam waren. Aus diesem Grund überrascht es nicht, dass zahlreiche Unternehmen ihre Sicherheitszertifikate genau zu dem Zeitpunkt erhalten, als eine aktive Kompromittierung stattgefunden hat. Stellen Sie sich als Analogie vor, dass Sie eine Bank als "sicher" zertifizieren, weil Sie die Schlösser und die Kameras an der Peripherie überprüft haben, sich aber nie die Mühe gemacht haben, in den Tresorraum zu schauen, um zu sehen, ob irgendwelche Kriminellen aktiv alle Tresore leeren. Es gilt deshalb auch für Ihr Netzwerk, Kompromittierungen frühzeitig zu erkennen und betroffene Systeme gezielt zu isolieren und zu bereinigen,so dass Schäden gar nicht erst entstehen.

Indem Sie Ihr Netzwerk aktiv auf Bedrohungen untersuchen, führen Sie den ultimativen Validierungstest für die Sicherheit Ihres Netzwerks durch. Es spielt keine Rolle, ob ein Auditor alle Kästchen neben einer Liste von geforderten Bescheinigungskontrollen abhaken kann. Wenn Eindringlinge auf Ihren Systemen sind, haben eine oder mehrere dieser Kontrollen versagt. Wenn das Ziel eines Audits darin besteht, die Integrität eines Netzwerks zu überprüfen, bietet das Cyber Threat Hunting die ultimative Bestätigung, ob dieses Ziel erreicht wurde.

Wenn Sie also eine(r) der Verantwortlichen sind, die für die Gewährleistung der IT- und Informationssicherheit Ihres Unternehmens steht, ist es an der Zeit, das Threat Hunting in die Liste Ihrer Cybersicherheitsanforderungen aufzunehmen – wenn noch nicht geschehen.

Fazit

Mit der Bedrohungsüberwachung Ihres Unternehmensnetzwerks führen Sie den ultimativen Test zur Überprüfung der Sicherheit Ihres Netzwerks durch. Es spielt keine Rolle, ob Sie alle möglichen Sicherheitslösungen installiert haben - wenn Eindringlinge in Ihre Systeme eingedrungen sind, haben eine oder mehrere dieser Kontrollen versagt und sie werden in Ihrem Netzwerk Schaden anrichten, bis Sie sie schließlich entdecken. Wie wir wissen, kann das Monate dauern.

Wenn es Ihr Ziel ist, die Integrität Ihres Netzwerks zu erhalten, bietet Threat Hunting die ultimative Überprüfung. Zum Beispiel mit dem Active Cyber Defense (ACD) Service, bei dem die IT-Infrastruktur Ihres Unternehmens rund um die Uhr und an 365 Tagen auf Auffälligkeiten überwacht wird. Durch den Managed Service von Allgeier secion werden Sie sofort informiert, wenn ein Angreifer sich Zugang zu Ihrem Netzwerk verschafft und können so rechtzeitig Gegenmaßnahmen ergreifen.

Ist Threat Hunting Teil Ihrer IT Security? Oder setzen Sie noch auf klassische Sicherheitstools? Wir beraten Sie gerne!

Durch Klicken auf die Schaltfläche "Absenden" bestätigen Sie, unsere Richtlinien zum Datenschutz gelesen zu haben. Sie geben Ihr Einverständnis zur Verwendung Ihrer personenbezogenen Daten zu dem von Ihnen angegebenen Zweck der Kontaktaufnahme durch die Allgeier secion, Zweigniederlassung der Allgeier CyRis GmbH.

* Pflichtfeld

Zurück

Zum Thema passende Artikel

Steigende Angriffe auf Fertigungssektor: Warum jetzt mehrschichtige Cyber-Verteidigungssysteme unverzichtbar werden!

Während die Fertigungsbetriebe umfassend in die notwendige digitale Infrastruktur für das IIOT (Industrial Internet of Things) investieren, bleibt die IT Security zumeist auf der Strecke. IT-Sicherheitsmaßnahmen gegen Cyberbedrohungen und unterschiedlichste Cyberangriffe beruhen viel zu häufig noch auf veralteten Sicherheitskonzepten. Warum mehrschichtige Cyber-Verteidigungssysteme jetzt unabdingbar werden und wie sich durch Threat Hunting und Active Cyber Defense die IT Security in einem Produktionsbetrieb deutlich erhöhen lässt, erfahren Sie in diesem Beitrag.

Cyber Threat Modeling und Cyber Threat Hunting - Denken Sie wie ein Angreifer!

Die sogenannten Advanced Persistant Threats (ATP) sorgen für eine zunehmend komplexe Bedrohungslage. Diese verschärft die Risikosituation in Unternehmen massiv und macht die Abwehr von Bedrohungen für die Cyber Security immer herausfordernder. Eine erfolgreiche Verteidigung gegen solche Cyberbedrohungen beginnt mit der Prävention. Dafür ist es notwendig, die Angriffsmuster der Hacker zu verstehen. Genau an diesem Punkt setzt das Cyber Threat-Modeling bzw. -Hunting an.

Managed Security Services: So gefragt wie nie zuvor

Managed Security Services: So gefragt wie nie zuvor

Phishing, Ransomware, Datenspionage – die Liste der Cyberbedrohungen ist lang. Gleichzeitig gehen Cyberkriminelle immer raffinierter und professioneller vor. Folglich nimmt das Risiko, Opfer einer Cyberattacke zu werden, in Deutschland und auf der ganzen Welt weiter zu. Vor allem kleine und mittlere Unternehmen verfügen gewöhnlich nicht über die nötigen Ressourcen, um Cyberangriffe selbst rechtzeitig zu erkennen und so abwehren zu können. Die Nachfrage nach Managed Security Service Providern (MSSP) und deren vielfältigen Leistungsangeboten ist daher ungebrochen hoch. Wir verraten Ihnen, worauf Sie bei der Wahl eines externen Dienstleisters achten sollten.