Was ist Threat Hunting - und warum ist diese Methode zur Angriffsabwehr heutzutage so wichtig?
von Svenja Koch
Dass vom Internet eine stetig steigende Bedrohung sowohl für private Nutzer als auch für Unternehmen ausgeht, ist keine neue Erkenntnis. Jedoch verändert sich die Lage permanent und es bedarf einer stetigen Anpassung an die aktuellen Gegebenheiten. Wachsende Firmennetzwerke werden beispielsweise durch zusätzliche Notebooks und Smartphones sowie die Vernetzung über die Cloud unübersichtlicher und bieten immer neue Angriffsflächen für Cyberkriminelle. Gleichzeitig haben die Cyberbedrohungen an Quantität und Qualität zugenommen. Besonders der Anteil an gezielten, raffinierten Attacken steigt deutlich an. Gegen solche Cyberangriffe sind die klassischen, passiven Cyberverteidigungen oft machtlos. Dem Threat Hunting, der aktiven Suche nach Bedrohungen, sollte daher eine zentrale Rolle in der Abwehr von Cyberangriffen eingeräumt werden.
Wie funktioniert Threat Hunting?
Der zentrale Unterschied zu den grundlegenden Sicherheitsmaßnahmen, wie beispielsweise einer Firewall oder einer Antivirensoftware, ist der aktive Ansatz – traditionelle Sicherheitstools bieten einen passiven Schutz. Sie sind geeignet, um allgemeine und bekannte Bedrohungen abzuwehren. Threat Hunting hingegen ist ein aktiver Prozess. Mithilfe von proaktiven und iterativen Suchen wird das eigene Netzwerk permanent überwacht. Hierbei wird nach Indikatoren für Kompromittierungen (IOCs) gesucht. Dies gelingt mithilfe von spezieller Software, die tiefgehende Analysen durchführt.
Die Idee dahinter ist, auffällige Verhaltensmuster zu identifizieren und auf diesem Weg unbefugte Eindringlinge im Netzwerk ausfindig zu machen. Moderne Software und künstliche Intelligenz analysieren große Datenmengen und gehen dabei auch abseits von Algorithmen oder Mustern vor. Dies erlaubt es, aktiv auffälliges Verhalten zu identifizieren. Damit ist ein umgehendes Einschreiten möglich und die Zeit, die Angreifer unentdeckt in Ihrem Netzwerk verbringen, wird deutlich reduziert.
In der Praxis wird die aktive Suche nach Bedrohungen idealerweise als zusätzlicher Security Layer implementiert. Vorhandene Techniken werden also nicht ersetzt, sondern ergänzt. So erhalten Sie in Kombination ein signifikant höheres IT-Sicherheitslevel. Der entscheidende Vorteil der aktiven Suche nach Bedrohungen ist, dass Eindringlinge in Ihrem Netzwerk entdeckt werden, bevor diese Schäden anrichten können.
Die aktive Suche nach Bedrohungen in Ihrem Unternehmen
Durch die aktive Suche nach Bedrohungen erhält Ihre Cyberverteidigung einen wichtigen, zusätzlichen Security Layer. Mit Hilfe der Threat Hunting Methode wird Ihr Netzwerk proaktiv und kontinuierlich auf Anomalien analysiert und so die Kommunikation der Angreifer zu ihren Command & Control Servern (C&Cs) umgehend identifiziert. Die Kompromittierung wird so bereits in dem Moment erkannt, wo der Angreifer in Ihr System eindringt – und nicht erst nach ca. 200 Tagen, die im Durchschnitt für die Erkennung eines Sicherheitsvorfalls benötigt werden.
Für die aktive Bedrohungssuche wird eine spezielle Software eingesetzt, die Ihre Systeme rund um die Uhr überwacht. Verdachtsfälle in Ihrem Netzwerk werden in Echtzeit gemeldet. Falls Handlungsbedarf besteht, informiert Sie ein Response Team umgehend über die entdeckten Angriffsaktivitäten. Sie erhalten dann konkrete Handlungsempfehlungen darüber, wie Sie den Cyberangriff eindämmen.
Als Managed Service bietet Ihnen die Threat Hunting Methode klare Vorteile. Der Service kann in der Regel flexibel gebucht werden, Mit dessen Einrichtung und Verwaltung haben Sie keinerlei Aufwand. Gleichzeitig steht Ihnen mit einem Threat Huntung Service eine Cyberverteidigung auf einem Niveau zur Verfügung, die Sie alternativ nur mit einem teuren, eigenen Security Operations Center erreichen.
Fazit:
Mit der Entscheidung für die Implementierung einer Threat Hunting Lösung als Managed Service sichern Sie ab sofort Ihr Unternehmensnetzwerk auf höchstmöglichem Niveau ab - aktiv, vorausschauend und permanent.