Warum Threat Hunting zu einer Standardanforderung in der Cyber Security werden sollte

von

Lesezeit: Minuten ( Wörter) | Seitenaufrufe: 646

Die globale IT-Sicherheitslage hat sich in der jüngsten Vergangenheit drastisch geändert.  Wachsende Firmennetzwerke werden durch zusätzliche Notebooks und Smartphones sowie die Vernetzung über die Cloud unübersichtlicher und bieten immer neue Angriffsflächen für Cyberkriminelle. Gleichzeitig haben die Cyberbedrohungen an Quantität und Qualität zugenommen. Besonders der Anteil an gezielten, raffinierten Attacken (Advanced Persistent Threats) steigt weiterhin weltweit deutlich an. Gegen solche Cyberangriffe sind die klassischen, passiven Cyberverteidigungen oft machtlos. Dem Threat Hunting, der proaktiven und permanenten Suche nach Bedrohungen, sollte daher eine zentrale Rolle in der Abwehr von Cyberangriffen eingeräumt werden.

In diesem Blogeintrag erfahren Sie, warum ein Außerachtlassen des Threat Hunting (der aktiven Bedrohungsjagd) in der Cyber Security Strategie ein großes Versäumnis ist und vielmehr zu einem festen Element unserer Sicherheits-DNA werden muss.

Warum wir klassische Sicherheitsstandards haben

Die traditionellen IT-Sicherheitsstandards wurden geschaffen, um die Sicherheit unserer IT-Netzwerke zu gewährleisten. Sie definieren eine Reihe von Best Practices, die dazu dienen, die Integrität unserer Daten und der Hardware, auf der sie gehostet werden, zu gewährleisten. Gleichzeitig kommen jedoch in vielen Firmennetzwerken noch immer solche Schutzmechanismen zum Einsatz, die nicht die aktuellen Möglichkeiten der modernen Cyberverteidigung ausnutzen und damit nicht den heutigen Angriffsmethoden gewachsen sind. Oft sind Entscheidungsträger in Unternehmen noch davon überzeugt, dass ihre IT- und Informationssysteme damit sicher sind. Gleichzeitig setzen sie faktisch ausschließlich auf passive Systeme und Protection Module wie eine Firewall oder Anti-Virus-Software.

Passive Systeme wie Firewalls erzeugen ein trügerisches Gefühl von Sicherheit, denn aus den Logs geht hervor, dass tatsächlich unbefugte Zugriffe auf die IT-Infrastruktur verhindert werden. Allerdings handelt es sich hierbei häufig um sehr allgemeine und ungezielte Angriffe, die blockiert werden. Eine besondere Gefahr geht jedoch von raffinierten, geplanten Attacken aus. Hierbei infizieren Cyberkriminelle gezielt Systeme in Ihrem Netzwerk und haben dann direkten Zugriff auf kompromittierte Rechner. Mittel und Wege für solche Infiltrationen gibt es viele - und in den meisten Fällen sind passive Protection Module wie eine Firewall machtlos gegen diese Angriffe. Lokale Intrusion Detection Systeme versprechen hier Abhilfe, doch auch diese arbeiten nach vorgegebenen Algorithmen. Sie erkennen einerseits nicht alle Angriffe und können andererseits selbst zum Ziel einer Cyberattacke werden. Somit ist auch durch ihren Einsatz allein keine umfassende Sicherheit gewährleistet.

Jetzt keinen Blogbeitrag mehr verpassen!

  • 12x im Jahr aktuelle News aus der IT Security Welt
  • 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
  • 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense

Wie Standards erfolgreiche Angriffe adressieren

Ein Großteil der in den Sicherheitsstandards von Unternehmen definierten Kontrollen zielt darauf ab, die Möglichkeit eines Angriffs abzuschwächen. Sie können beispielsweise definieren, wie der Perimeter zu konfigurieren ist, damit bösartiger Datenverkehr den Weg ins Innere nicht finden kann. Sie können sich auf Maßnahmen wie Benutzerschulungen konzentrieren, damit Ihre Mitarbeiter weniger leicht auf Social Engineering-Angriffe hereinfallen. Sie konzentrieren sich sogar auf Prozesse, um sicherzustellen, dass alle diese Sicherheitsebenen ordnungsgemäß gewartet werden.

Wenn es jedoch darum geht, erfolgreiche Angriffe abzuschwächen, bringen diese Standards nur wenig.

Sie konzentrieren sich in der Regel auf drei Schlüsselbereiche:

  • Antiviren- oder Malware-Kontrollsoftware
  • Intrusion Detection oder - Prävention
  • Log-Überprüfung

All diese Maßnahmen haben gemein, dass es sich hierbei eher um Erkennungs- als um Validierungstechnologien handelt. Mit anderen Worten: Antiviren-Software versucht, Malware zu erkennen, wenn sie auf einem Host landet. Sie liefert keine Antwort, wenn der Malware-Abwurf erfolgreich war. Außerdem setzt das Vertrauen in Antiviren-Software voraus, dass das infizierte System die Software tatsächlich ausführt. Die meisten Macs, Linux-, IoT- und Hardware-Geräte arbeiten ohne Antiviren-Lösung.

Pentesting vs. Bedrohungsjagd

Schwachstellen-Scans und Pentesting sind beliebte Anforderungen von Sicherheitsstandards. Der PCI DSS* beispielsweise nennt beide als Anforderungen. Control 11.2 verlangt vierteljährliche Schwachstellen-Scans, während Control 11.3 vierteljährliches Pentesting vorschreibt. Beide zielen darauf ab, Schwachstellen in Ihrer Sicherheitsstruktur zu identifizieren, die Angreifer ausnutzen könnten, um einen erhöhten Zugriff zu erlangen.

Zu betrachten ist jedoch der Prozess, der implementiert wird, wenn ein Schwachstellenscan oder Pentest eine Schwachstelle findet. Wir patchen oder ändern einfach die Konfiguration, so dass die Schwachstelle nicht mehr zugänglich ist, und machen mit unserem Tag weiter. Mit anderen Worten: Wenn festgestellt wird, dass eine Schwachstelle existiert und dem Internet ausgesetzt war, erfordert PCI DSS oder jeder andere Sicherheitsstandard keine tiefere Untersuchung, um festzustellen, ob die Schwachstelle ausgenutzt wurde.

* Payment Card Industry Data Security Standards (PCI DSS) legt den Mindeststandard für die Datensicherheit fest.

Wo ist die Lücke?

Wenn Sie sich also bestehende Sicherheitslösungen ansehen, fallen diese meist in eine von zwei Kategorien. Entweder sind sie schutzbasiert, d. h. sie konzentrieren sich darauf, Angreifer draußen zu halten. Firewalls, Intrusion Detection und Zwei-Faktor-Authentifizierung fallen in diese Kategorie. Oder sie sind reaktionsbasiert und darauf ausgelegt, implementiert zu werden, sobald wir wissen, dass die Bösewichte im Netzwerk sind. Das Incident Handling ist ein gutes Beispiel dafür.

Das Problem ist, dass die ausschließliche Verwendung dieser beiden Praktiken eine maßgebliche Lücke in der Sicherheit Ihres Unternehmens hinterlässt. Wenn es den Angreifern gelingt, Ihre Schutzlösungen zu überwinden, kann es eine Weile dauern, bis Sie sie in Ihrem Netzwerk tatsächlich sehen. Bis Sie sie sehen, haben sie bereits die Daten Ihres Unternehmens gestohlen!

Der kritische Faktor Zeit

Die durchschnittliche Entdeckungszeit für Sicherheitsverletzungen in Netzwerken beträgt derzeit 6 Monate. Das bedeutet, dass die Angreifer ca. ein halbes Jahr lang in Ihrem Netzwerk waren und die Daten Ihres Unternehmens gestohlen haben, ohne dass Sie davon wussten. Die mittlerweile berühmte SolarWinds-Kompromittierung ist ein perfektes Beispiel dafür. Die Sicherheitslücke ereignete sich im März und wurde erst im Dezember entdeckt und veröffentlicht.

Das Erstaunlichste daran ist, dass diese Sicherheitsverletzungen in den meisten Fällen von externen Quellen entdeckt werden! Das bedeutet, dass das Unternehmen nicht selbst die Kompromittierung entdeckt... das FBI, BSI oder eine andere Organisation muss es darauf aufmerksam machen. Auch hier ist die Verletzung von SolarWinds ein perfektes Beispiel, da die Kompromittierung durch FireEye entdeckt wurde.

Wenn Sie zulassen, dass eine solche IT-Sicherheitslücke in Ihrem Netzwerk unentdeckt bleibt, kann dies die Bereitschaft von Unternehmen oder Verbrauchern, mit Ihnen Geschäfte zu machen, enorm beeinflussen. Dass viele Cyberversicherungen für den Abschluss einer Versicherungspolice ein Tool zur Angriffsfrüherkennung im betreffenden Unternehmen voraussetzen, ist ein passendes Beispiel hierfür.

Schematischer Aufbau eines Protection- und Response-Prozesses ohne und mit Einsatz von Cyber Threat Hunting

Die klaffende Lücke, die durch Threat Hunting gefüllt wird

Wie Sie sehen, sind unsere traditionellen Sicherheitsstandards mittlerweile nur noch als Teilbereich einer IT-Sicherheitsstrategie zu sehen, denn sie tun zu wenig, um zu überprüfen, ob die geforderten Kontrollen tatsächlich wirksam waren. Aus diesem Grund überrascht es nicht, dass zahlreiche Unternehmen ihre Sicherheitszertifikate genau zu dem Zeitpunkt erhalten, als eine aktive Kompromittierung stattgefunden hat. Stellen Sie sich als Analogie vor, dass Sie eine Bank als "sicher" zertifizieren, weil Sie die Schlösser und die Kameras an der Peripherie überprüft haben, sich aber nie die Mühe gemacht haben, in den Tresorraum zu schauen, um zu sehen, ob irgendwelche Kriminellen aktiv alle Tresore leeren. Es gilt deshalb auch für Ihr Netzwerk, Kompromittierungen frühzeitig zu erkennen und betroffene Systeme gezielt zu isolieren und zu bereinigen,so dass Schäden gar nicht erst entstehen.

Indem Sie Ihr Netzwerk aktiv auf Bedrohungen untersuchen, führen Sie den ultimativen Validierungstest für die Sicherheit Ihres Netzwerks durch. Es spielt keine Rolle, ob ein Auditor alle Kästchen neben einer Liste von geforderten Bescheinigungskontrollen abhaken kann. Wenn Eindringlinge auf Ihren Systemen sind, haben eine oder mehrere dieser Kontrollen versagt. Wenn das Ziel eines Audits darin besteht, die Integrität eines Netzwerks zu überprüfen, bietet das Cyber Threat Hunting die ultimative Bestätigung, ob dieses Ziel erreicht wurde.

Wenn Sie also eine(r) der Verantwortlichen sind, die für die Gewährleistung der IT- und Informationssicherheit Ihres Unternehmens steht, ist es an der Zeit, das Threat Hunting in die Liste Ihrer Cybersicherheitsanforderungen aufzunehmen – wenn noch nicht geschehen.

Fazit

Mit der Bedrohungsüberwachung Ihres Unternehmensnetzwerks führen Sie den ultimativen Test zur Überprüfung der Sicherheit Ihres Netzwerks durch. Es spielt keine Rolle, ob Sie alle möglichen Sicherheitslösungen installiert haben - wenn Eindringlinge in Ihre Systeme eingedrungen sind, haben eine oder mehrere dieser Kontrollen versagt und sie werden in Ihrem Netzwerk Schaden anrichten, bis Sie sie schließlich entdecken. Wie wir wissen, kann das Monate dauern.

Wenn es Ihr Ziel ist, die Integrität Ihres Netzwerks zu erhalten, bietet Threat Hunting die ultimative Überprüfung, ob Sie sicher sind.

Ist Threat Hunting Teil Ihrer IT Security? Oder setzen Sie noch auf klassische Sicherheitstools? Wir beraten Sie gerne!

Durch Klicken auf die Schaltfläche "Absenden" bestätigen Sie, unsere Richtlinien zum Datenschutz gelesen zu haben. Sie geben Ihr Einverständnis zur Verwendung Ihrer personenbezogenen Daten zu dem von Ihnen angegebenen Zweck der Kontaktaufnahme durch die secion GmbH.

Zurück