Threat Hunting ist der Prozess, bei dem spezialisierte Sicherheitsanalysten proaktiv nach dem Verhalten von Bedrohungsakteuren suchen und versuchen, ihr Netzwerk vor dem Entstehen eines echten Schadens zu verteidigen. Das Wort „spezialisiert“ ist ausschlaggebend für das Verständnis der Voraussetzungen einer erfolgreichen Threat-Hunting-Strategie. Denn diese Fähigkeit ist zeitaufwendig zu erlernen und außerdem sehr gefragt.
Laut einer Umfrage des SANS Institute verfügten 2017 nur 31% der Unternehmen über Mitarbeiter, die sich mit Threat Hunting beschäftigten. Vier Jahre später ergab die gleiche Umfrage, dass diese Zahl auf 93% der befragten Unternehmen anstieg. Der Bedarf an Threat-Hunting-Spezialisten ist in den letzten fünf Jahren stark gestiegen – und das aus gutem Grund. Die Flut von Angriffen auf Unternehmen nimmt in einem alarmierenden Tempo zu. Somit reicht es einfach nicht mehr aus, auf einen Angriff zu warten und erst dann zu reagieren.
In der Tat hat sich herausgestellt, dass die Zunahme der Bedrohungsverfolgung auch die allgemeinen Fähigkeiten der Bedrohungsanalyse vielerSANS hat festgestellt, dass Sicherheitsteams aufgrund der zunehmenden Bedrohungsverfolgung besser in der Lage sind, kontinuierlich zu überwachen, und dass weniger Fehlalarme auftreten.
Modelle für das Threat Hunting sind nicht einfach umzusetzen. Zudem gibt es verschiedene Methoden. Daher ist es wichtig, das Ziel einer bestimmten Bedrohungsjagd zu definieren. Anschließend kann ein Team die für eine erfolgreiche Jagd erforderlichen Techniken bestimmen.
Was genau sind die spezifischen Funktionen bei einer Bedrohungsjagd? Wie bereits erwähnt, werden die Ziele der einzelnen Jagden unterschiedlich sein. Dementsprechend gilt das auch für die detaillierten Aspekte jeder Jagd.
Werfen wir einen Blick auf einige der häufigsten Elemente, mit denen ein erfahrener Cybersecurity-Profi bei einer neuen Jagd rechnen kann.
Datenerfassung und Verarbeitung: Abhängig von der zu testenden Hypothese oder dem Gesamtziel wird die Datenerfassung aus verschiedenen Arten von Netzwerkprotokollen (DNS, Firewall, Proxy), verschiedenen Telemetriequellen zur Bedrohungserkennung außerhalb des Perimeters und/oder spezifischen Endpunktdaten stammen.
Zusammenarbeit und Kommunikation: Verschiedene Tools wie Slack und Microsoft Teams lassen sich automatisiert in Workflows zum Threat Hunting einbinden, um neue Service-Tickets auszulösen, neue Jagden und Untersuchungen anzustoßen und, wenn nötig, einzelne Endpunkt- oder Netzwerkbenutzer zu befragen.
Dokumentation und Reporting: Es ist wichtig, die Ergebnisse einer Threat Hunt zu dokumentieren, unabhängig davon, ob sie als erfolgreich angesehen wird oder nicht. Unabhängig vom Endergebnis kann diese Referenz als Baseline für zukünftige Aktionen mit ähnlichen Zielen dienen und dabei helfen, einen potenziellen Wiederholungstäter zu identifizieren.
Menschen und Technologie: Auch wenn bei der Jagd nach Bedrohungen ein hohes Maß an Automatisierung zum Einsatz kommt, sind es die Mitarbeiter einer Sicherheitsorganisation, die diese Automatisierungen kalibrieren. Von der Endpunkt-Telemetrie über Warnmeldungen bis hin zur Network Traffic Analysis – die Technologie unterstützt die Analysten dabei, schneller Erkenntnisse zu gewinnen und Bedrohungen gezielter abzuwehren.
Um eine erfolgreiche Bedrohungsjagd durchzuführen, ist es – wie oben erläutert – wichtig, das Ziel der Jagd zu kennen. Auf der Grundlage der festgelegten Ziele wird die Art der Jagd in der Regel in eines der Formate unterteilt, die im Folgenden erläutert werden.
Dieser Threat-Hunting-Prozess wird in der Regel von Mitgliedern eines Cybersecurity-Teams angestoßen, die im Laufe der Zeit und mit zunehmender Häufigkeit ein anomales Ereignis beobachten. Zu diesem Zeitpunkt kann das Team mit der Aufstellung einer Hypothese darüber beginnen, was vor sich gehen könnte und ob diese Hypothese tatsächlich überprüfbar ist. Dies wird dazu beitragen, das Vorhandensein von bösartigen Aktivitäten zu bestätigen (oder auch nicht).
Werfen wir nun einen Blick auf einige der spezifischen Tools und Prozesse, mit denen ein Threat Hunter eine Hypothese testen und feststellen kann, ob eine Bedrohung tatsächlich real ist.
Eine SIEM -Plattform kann Sicherheitsprobleme erkennen, indem sie Daten in einem Netzwerk zentralisiert, korreliert und analysiert. Zu den Kernfunktionen des SIEM gehören die Logs-Verwaltung und -zentralisierung, die Erkennung von Sicherheitsereignissen sowie die Erstellung von Berichten und Suchfunktionen.
Analysen korrelieren Endpunktdaten mit ausgefeilten Nutzeranalysen und Bedrohungsinformationen, um verdächtige Endpunktaktivitäten zu erkennen und festzustellen, ob sich ein bestimmter Benutzer der Aktivität auf seinem System überhaupt bewusst ist oder nicht.
Diese Tools überwachen die Netzwerkverfügbarkeit und -aktivität, um Anomalien zu erkennen, einschließlich Sicherheits- und Betriebsproblemen. Sie ermöglichen es Jägern, sowohl eine Echtzeit- als auch eine historische Aufzeichnung der Vorgänge im Netzwerk zu sammeln.
Durch die Einsicht in Echtzeit-Threat-Feeds werden Threat Hunter mit den potenziellen Bedrohungen vertraut, die für ihre Umgebung am wichtigsten sind, und wissen daher, wie sie sich besser gegen diese Bedrohungen schützen können.
Bedrohungsjäger verwenden idealerweise ein Cloud-Sicherheitstool zur Überwachung von Multi- und Hybrid-Cloud-Umgebungen, die besonders anfällig für Risiken sind. Durch die Erfassung von Daten wie Nutzeraktivitäten, Logs und Endpunkten sollten Analysten in der Lage sein, einen klaren Überblick über die IT-Umgebung des Unternehmens und verdächtige Aktivitäten zu erhalten.
Der Prozess der Analyse des Nutzerverhaltens besteht aus Einblicken in Netzwerkevents, die Nutzer täglich generieren. Sobald diese Ereignisse erfasst und analysiert wurden, können sie verwendet werden, um die Verwendung kompromittierter Zugangsdaten, laterale Bewegungen und andere bösartige Verhaltensweisen zu erkennen.
Welche konkreten Schritte müssen Sie bei der Bedrohungsjagd unternehmen, wenn Sie die richtigen Tools zum Testen einer gut formulierten und spezifischen Hypothese einsetzen?
Die richtigen Daten sammeln: Es ist von entscheidender Bedeutung, die Daten, die zum Handeln führen, zu identifizieren und letztendlich zu automatisieren. Wenn ein Sicherheitsteam bösartige Aktivitäten vermutet, möchte es forensische Artefakte aus dem gesamten Netzwerk sammeln und untersuchen. Ein Teil dieses Prozesses besteht darin, forensische Beweise effizient zu ordnen und zu analysieren, um schnell die Ursache des Vorfalls zu ermitteln.
Abfragen und Regeln anpassen: Mehrere Anbieter oder Lösungen für Managed Services werden integrierte Abfragen und Regeln aufweisen, um automatisch Warnmeldungen auf Grundlage definierter Kriterien zu generieren. Dadurch sollen Bedrohungsanalysten schnell bei der Suche nach weit verbreiteten Exploits und/oder Bedrohungsakteuren unterstützt werden. Es ist jedoch hilfreich, einem Sicherheitsteam die Möglichkeit zu geben, diese Abfragen so anzupassen, dass es die Fragen stellt, die am besten zur vereinbarten Hypothese passen.
Über Taktiken, Techniken und Verfahren auf dem Laufenden bleiben: Die Threat-Hunting-Techniken sollten entsprechend den derzeit von Bedrohungsakteuren verwendeten TTPs ständig weiterentwickelt werden. Auch wenn es nicht immer einfach ist, feindliches Verhalten aufzudecken, sorgt die kontinuierliche Erforschung gegnerischer Verhaltensweisen dafür, dass die Verteidiger proaktiv, scharfsinnig und einsatzbereit bleiben.
Natürlich ist es eine große Herausforderung, ständig über die TTP-Forschung und andere Informationsquellen auf dem Laufenden zu bleiben. Hier kann ein Managed Threat Hunting-Partner dazu beitragen, den Prozess zu beschleunigen und möglicherweise den Erfolg eines Threat Intelligence-Programms zu steigern.