Welche Tools benötige ich für erfolgreiches Cyber Threat Hunting?
von Svenja Koch
Über MITRE ATT&CK, SIEM, SOC und Threat Hunting Tools
Die Gefahr von Cyberangriffen wächst von Jahr zu Jahr. Längst sind es nicht mehr nur einfache Viren und Trojaner, die es auf Geld abgesehen haben. Durch Advanced Persistent Threats ist in den vergangenen Jahren eine völlig neue Gefahr für Unternehmen, Organisationen und Regierungen entstanden. Advanced Persistent Threats zeichnen sich durch ihre immens hohe Professionalität in der Durchführung aus. Über Wochen, Monate und im schlimmsten Falle Jahre hinweg gelingt es Cyberkriminellen, unentdeckt von der IT Security Daten abzugreifen – von sensibelsten Informationen über geheime Forschungsergebnisse bis hin zu militärischem Fachwissen. Dabei muss eine gut gerüstete IT Security den Cyberangriffen durch Advanced Persistent Threats nicht hilflos gegenüberstehen. Ganz im Gegenteil: Durch moderne Tools und einem proaktiven Threat Hunting wird jede IT Security vom Gejagten zum Jäger! Wie das genau geht, erfahren Sie hier in diesem Beitrag.
Was ist Cyber Threat Hunting eigentlich?
Cyber Threat Hunting lässt sich am ehesten mit „Cyber-Bedrohungsjagd“ übersetzen. Threat Hunting ist eine proaktive Möglichkeit, um die Art von Cyberangriffen aufzuspüren, die mit konventionellen, automatisierten Systemen kaum oder gar nicht zu entdecken sind. Threat Hunting als Methode kommt vor allem dann zum Einsatz, wenn es gegen Advanced Persistent Threats geht, also Cyberangriffen, die durch fortschrittliche Techniken und einen andauernden Zeitraum der Durchführung gekennzeichnet sind. In der Regel sind die Hackergruppen hinter den Advanced Persistent Threats bestens trainiert, verfügen über große finanzielle Mittel und agieren -nicht immer, aber zuletzt vermehrt – im Auftrag von Regierungen. Advanced Persistent Threats verlaufen verdeckt, unauffällig und sind überaus hartnäckig. Diese Art der Cyberangriffe dient weder der Erpressung noch der Zerstörung von Computersystemen. Vielmehr zielen die APTs darauf ab, möglichst lange unentdeckt in einem Netzwerk zu verbleiben – ohne Störungen des Betriebes und unentdeckt von IT-Sicherheitssystemen. Diese Tarnung ermöglicht es den Angreifern, nach Herzenslust in einem Netzwerk nach vertraulichen Daten zu suchen oder Zugangsdaten abzugreifen, mit denen sich die Angreifer dann nahezu völlig frei durch die IT-Umgebung bewegen können.
Threat Hunter sind in diesem „Spiel“ die Gegner der Cyberkriminellen. Die Jäger suchen aktiv nach Hinweisen auf aktive, verdeckte Cyberangriffe in der IT-Umgebung eines Unternehmens oder einer Organisation. Unterstützt werden die IT-Sicherheitsprofis durch Threat Hunting- und Incident Response Tools – und ein umfangreiches Fachwissen.
Threat Hunting – Proaktives Handeln als starke Waffe im Kampf gegen Cyberbedrohungen
Threat Hunter gehen prinzipiell davon aus, dass sich Cyberkriminelle bereits in der zu schützenden IT-Infrastruktur eingenistet haben. Sie suchen daher ganz gezielt nach Spuren, die sich auf kriminelle Aktivitäten zurückführen lassen. Die Hinweise, die gesammelt werden, dienen dann der Erstellung einer Hypothese darüber, wie die Kriminellen den Cyberangriff durchführen könnten. Threat Hunting ist ein interaktiver Prozess, der vor allem die Untersuchung von Hinweisen, die Identifizierung von Spuren und die Neudefinition der Hypothese umfasst. Während der Jagd unterstützen Tools die Arbeit der Sicherheitsteams durch das proaktive Melden von Anomalien im Netzwerk – für die Auswertung der Datenlage und der genauen Bestimmung der Art von Angriff bleibt der Mensch jedoch das wichtigste Segment.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Die Grundvoraussetzung für erfolgreiches Cyber Threat Hunting
Unternehmen oder Organisationen benötigen für die Jagd auf Cyberkriminelle zunächst einmal die richtigen Jäger. Diese Spezialisten müssen über ausreichend Erfahrung verfügen, um komplexe Cyberbedrohungen zu erkennen, zu verstehen und nach ihnen zu suchen. Unterstützt durch eine Palette an Tools kann das IT Security Team dann auf die eigentliche Jagd gehen. Threat Hunter sind dabei geschult in technischen und auch psychologischen Techniken. Sie müssen ihre Gegner kennen und sich in deren Gedankengänge hineinversetzen können, Taktiken und Verfahren der Cyberkriminellen verstehen und genau wissen, wo und wie man Cyberbedrohungen in Netzwerken sucht, findet und eliminiert.
Handling riesiger Mengen an Infos für eine erfolgreiche Jagd
Cyber Threat Hunting bedeutet den Umgang mit einer enormen Menge an Informationen. Ein zentralisierter Datensatz bildet dabei die Grundlage für die IT Security für eine erfolgreiche Jagd, denn so lassen sich Erkenntnisse zielgenau offenlegen. Mit spezialisierten Tools gelingt es Threat Hunting Teams, ihre Ziele schnell, einfach und zuverlässig zu erreichen. In Frage kommen beispielsweise SIEM-Lösungen (Security Information und Event Management) zur Sammlung von Protokollen oder das MITRE & ATT&CK Framework – je mehr Informationen und Datensätze der IT Security zur Verfügung steht, desto erfolgreicher wird die Jagd – insbesondere dann, wenn es um Bedrohungen durch Advanced Persistent Threats geht.
Wie genau funktioniert Cyber Threat Hunting?
Die Jagd auf Cyberbedrohungen durch Advanced Persistent Threats setzt sich aus mehreren Teilschritten zusammen:
1) Ein Auslöser
2) Eine Untersuchung
3) Eine Reaktion
Der erste Teilschritt, der Auslöser, wird zumeist in einer Anwendung oder einem Bereich innerhalb des Netzwerkes identifiziert. Die Threat Hunter stellen eine Hypothese zur Bedrohung auf, die auf der Grundlage ungewöhnlicher Ereignisse fußt.
Im zweiten Teilschritt, der Untersuchung, setzen Threat Hunter auf Werkzeuge, um detailliert und umfassend mögliche Bedrohungen innerhalb der IT-Infrastruktur zu analysieren. Die Untersuchung dauert so lange an, bis die im ersten Schritt erstelle Hypothese entweder ratifiziert oder falsifiziert werden konnte.
Der dritte Teilschritt nennt sich Reaktion – eine Reaktion, die auf Cyberbedrohungen folgt und dem Threat Hunting Prozess des Unternehmens angepasst ist. Die Erkenntnisse aus Schritt 1 und Schritt 2 werden den Sicherheitsteams mitgeteilt, die dadurch mit hoher Präzision reagieren und die Cyberbedrohung eindämmen können. Im gleichen Zuge werden die eingesetzten Methoden des Angriffes dokumentiert, so dass zukünftig ähnlich gelagerte Angriffe vorhergesagt werden können.
Das MITRE ATT&CK Framework – Die universelle Option zur Identifizierung gegnerischer Taktik
Advanced Persistent Threats sind eine globale Gefahr – und Hackergruppen setzen alles daran, mit immer neuen Strategien Unternehmen, Organisation oder Regierungen zu unterwandern und auszuspionieren. MITRE ist eine von der US-Regierung finanzierte Organisation, deren gemeinnützige Aufgabe es ist, die Strategien der Cyberkriminellen zu beobachten – und das gesammelte Wissen als Waffe einzusetzen. Hierzu wurde das ATT&CK Framework entwickelt. ATT&CK ist eine Wissensbasis, die alle bekannten gegnerischen Taktiken und Techniken umfasst, die bis dato im Rahmen von Advanced Persistent Threats eingesetzt worden sind. Das ATT&CK Framework hilft somit dabei, die IT Security im Kampf gegen Cyberbedrohungen zu stärken.
Kern des ATT&CK Frameworks sind die Taktiken, die das „Warum“ einer ATT&CK Technik darstellen. Oder anders gesagt: Taktiken bezeichnen den Grund für die Durchführung einer Aktion durch einen Cyberkriminellen. Unter Taktiken werden im ATT&CK Framework die unterschiedlichen Methoden zusammengefasst, die Angreifer verwenden, um ein Netzwerk zu infiltrieren. Aktuell besteht das ATT&CK Framework aus 12 leicht verständlichen Taktiken. ATT&CK Techniken hingegen basieren auf einer Reihe von Aktionen, die Cyberkriminelle anwenden, um ihre Ziele zu erreichen. Die Techniken werden dabei innerhalb des Frameworks nach Taktiken gruppiert – aktuell umfasst das MITRE ATT&CK Framework mehr als 150 Techniken und nochmals 270 Subtechniken, die sich auf die 12 Taktiken verteilen. Bei den Techniken handelt es sich um ein „How to“, dass es der IT Security ermöglicht, sich umfassend auf Angriffe vorzubereiten.
Das MITRE ATT&CK Framework dient dazu, mehr und umfassendere Einblicke in die Vorgehensweise von Cyberkriminellen zu erlangen. Umfangreiche Informationen zu der Art eines Cyberangriffs, wie sie das ATT&CK Framework bereitstellt, erleichtern das Erkennen eines Angriffs und beschleunigen die Reaktionszeit deutlich. Auch erlaubt das Framework, die Besonderheiten eines Advanced Persistent Threats besser zu verstehen – und die eingesetzten Taktiken und Techniken unmissverständlich mit anderen Teammitgliedern zu teilen. Dies beschleunigt die Erkennung von Bedrohungen nochmals – genau wie die Reaktionszeit.
Proaktive Jagd – anstatt Post-Mortem-Forensik und Disaster Recovery
Die Zeit, bis eine Kompromittierung durch Cyberangriffe im Netzwerk entdeckt wird, liegt in Deutschland bei aktuell durchschnittlich sechs Monaten. Konventionelle Schutzmaßnahmen sind gerade für die Bekämpfung von Advanced Persistent Threats nicht mehr ausreichend – und stellen für versierte Hacker maximal ein Ärgernis, jedoch kein tatsächliches Hindernis dar. Eine proaktive Cyberabwehr scheitert häufig am Budget, an Manpower oder an Knowhow. Denn für eine aktive Jagd auf Cyberbedrohungen braucht es ein ausgefeiltes Log-Management und SIEM – und im Idealfall ein unternehmensinternes Security Operation Center mit großem Team. Gerade für kleinere Unternehmen oder Mittelständler sind derartig umfangreiche Maßnahmenpakete nur schwer oder gar nicht zu stemmen.
Hier setzt unser Active Cyber Defense (ACD) Service an. Die permanente, proaktive Angriffsabwehr vermeidet zuverlässig teure, reaktive Maßnahmen nach einem Cyberangriff. Der Service bietet Unternehmen ein Höchstmaß an IT-Sicherheit: Jedwede Bedrohungen werden schnell, effizient und nachhaltig aufdeckt, analysiert und beseitigt. Die SOC Teams des Active Cyber Defense Service überprüfen gemeldete Angriffsaktivitäten und informieren umgehend, wenn ein Angriff stattfindet. So werden unternehmensinterne IT Security Teams entlastet, das permanente Sammeln und die komplexe und zeitaufwendige Analyse von Logs werden überflüssig – und der Aufbau eines eigenen SOCs kann gespart werden. Der Active Cyber Defense Service deckt die wichtigsten Anforderungen im Bereich der IT-Sicherheit ab und ist zu einem attraktiven monatlichen Servicepreis verfügbar. Übrigens: Wenn in Ihrem Unternehmen bereits ein SOC vorhanden ist, lässt sich mit Active Cyber Defense ein weiterer Security Layer integrieren – was die Sicherheit vor Cyberangriffen nochmals deutlich erhöht.
Fazit
Erfolgreiches Cyber Threat Hunting ist die Summe aus menschlicher Erfahrung, Expertise und Knowhow, gepaart mit hochentwickelten Tools. Frameworks wie ATT&CK geben der IT Security Ansätze zur Hand, mit welchen Maßnahmen in welcher Form auf bestehende Cyberangriffe durch Advanced Persistent Threats reagiert werden kann. Dabei muss die proaktive Jagd auf Cyberkriminelle nicht unbedingt in einem unternehmensinternen SOC und einem eigenen Team aus Sicherheitsexperten münden. Mit externen Dienstleistungen wie Active Cyber Defense kann ein hohes Maß an IT Security gewährleistet und gleichzeitig das Budget geschont werden.