Was ist Threat Hunting? Ein umfassender Leitfaden

Was ist Threat Hunting?

Threat Hunting ist ein aktiver Prozess und eine Strategie zur Informationssicherheit, die von Sicherheitsanalysten eingesetzt wird. Dabei werden Netzwerk-, Cloud- und Endpunktsystemprotokolle iterativ durchsucht, um Indikatoren für eine Kompromittierung (IoCs), Taktiken, Techniken und Verfahren (TTPs) von Bedrohungsakteuren sowie Bedrohungen wie Advanced Persistent Threats (APTs) zu erkennen, die Ihr bestehendes Sicherheitssystem umgehen.

Zu den Aktivitäten der Bedrohungssuche gehören:

• Auf der Suche nach Insider-Bedrohungen oder externen Angreifern– Cyber-Bedrohungsjäger können Bedrohungen erkennen, die von Insidern, wie etwa einem Mitarbeiter, oder von Außenstehenden, wie etwa einer kriminellen Organisation, ausgehen.
• Proaktive Jagd auf bekannte Gegner– Ein bekannter Angreifer ist jemand, der in Bedrohungsinformationsdiensten aufgeführt ist oder dessen Codemuster auf der Sperrliste bekannter Schadprogramme steht.
• Suche nach versteckten Bedrohungen, um Angriffe zu verhindern– Threat Hunter analysieren die Computerumgebung durch ständige Überwachung. Mithilfe von Verhaltensanalysen können sie Anomalien erkennen, die auf eine Bedrohung hinweisen könnten.
• Ausführen des Incident-Response-Plans– Wenn sie eine Bedrohung erkennen, sammeln die Jäger möglichst viele Informationen, bevor sie den Incident-Response-Plan ausführen, um die Bedrohung zu neutralisieren. Dies dient dazu, den Reaktionsplan zu aktualisieren und ähnliche Angriffe zu verhindern.

Schritte zur Bedrohungssuche

Ein proaktiver Bedrohungssuchprozess besteht aus drei Phasen: einer ersten Auslösephase, gefolgt von einer Untersuchung und abschließend einer Lösung (oder in einigen Fällen einer Eskalation an andere Teams als Teil eines Kommunikations- oder Aktionsplans).

Schritt 1: Auslöser

Die Bedrohungssuche ist typischerweise ein fokussierter Prozess. Der Jäger sammelt Informationen über die Umgebung und stellt Hypothesen über potenzielle Bedrohungen auf. Anschließend wählt er einen Auslöser für weitere Untersuchungen. Dies kann ein bestimmtes System, ein Netzwerkbereich oder eine Hypothese sein, die durch eine angekündigte Sicherheitslücke oder einen Patch, Informationen über einen Zero-Day-Exploit, eine Anomalie im Sicherheitsdatensatz oder eine Anfrage aus einer anderen Organisationsgruppe ausgelöst wird.

Schritt 2: Untersuchung

Sobald ein Auslöser identifiziert ist, konzentrieren sich die Bemühungen auf die proaktive Suche nach Anomalien, die die Hypothese entweder bestätigen oder widerlegen. Ein Bedrohungsjäger geht oft davon aus: „Wir sind kompromittiert oder anfällig für diesen neuen Exploit“ und arbeitet rückwärts, um die Annahmen zu bestätigen oder zu widerlegen. Während der Untersuchung nutzen Bedrohungsjäger eine breite Palette von Technologien, um Systemprotokolle zu überprüfen und Anomalien zu untersuchen, die bösartig sein können oder nicht.

Schritt 3: Lösung

Bedrohungsjäger sammeln während der Untersuchungsphase wichtige Informationen und beantworten wichtige Fragen wie „Wer?“ (falls Anmeldeinformationen betroffen sind), „Was?“ (die Ereignisse in der angegebenen Reihenfolge), „Wann?“ (genaue Zeitstempel für Anomalien und Eindringlinge), „Wo?“ (Umfang der betroffenen Systeme mit Listen aller Geräte und Entitäten, die behoben werden müssen) und, sofern anhand der vorgelegten Beweise möglich, „Warum?“ (mangelnde Einhaltung des Sicherheitsplans/der Richtlinien, Unzufriedenheit, Nachlässigkeit, Angriff von außen usw.). Während der Lösungsphase werden diese Informationen an andere Teams und Tools weitergegeben, die darauf reagieren, sie priorisieren, analysieren oder für die zukünftige Verwendung speichern können.

Unabhängig davon, ob es sich bei den aufgedeckten Informationen um harmlose oder böswillige Aktivitäten handelt, können sie für zukünftige Analysen und Untersuchungen nützlich sein. Sie können verwendet werden, um Trends vorherzusagen, Schwachstellen zu priorisieren und zu beheben sowie Sicherheitsmaßnahmen zu verbessern.

Arten der Bedrohungssuche

Hier sind drei gängige Ansätze zur Bedrohungssuche:

Strukturierte Jagd

Bei der strukturierten Suche wird systematisch nach bestimmten Bedrohungen oder IoCs gesucht, basierend auf vordefinierten Kriterien oder Erkenntnissen. Dieser Ansatz beginnt typischerweise mit einer klar definierten Frage oder Hypothese zu einer potenziellen Bedrohung, z. B.: „Verwenden wir Software X mit einer bekannten Sicherheitslücke und einem Exploit?“, „Gibt es Anzeichen für eine bestimmte Malware-Variante in unserem Netzwerk?“ oder „Gibt es Hinweise auf einen unbefugten Zugriff auf vertrauliche Daten?“

Um diese Fragen zu beantworten, nutzen Bedrohungsjäger Bedrohungsinformationen, Protokolldaten und andere relevante Quellen, um nach Aktivitätsmustern oder Verhaltensanomalien zu suchen, die auf eine Bedrohung hinweisen können. Dieser Prozess kann den Einsatz automatisierter Tools und Abfragen sowie die manuelle Analyse und Korrelation von Daten beinhalten.

Unstrukturierte Jagd

Die unstrukturierte Suche, auch als explorative Suche bekannt, ist ein offenerer Ansatz zur Bedrohungssuche, der nicht auf vordefinierten Kriterien oder Hypothesen beruht. Stattdessen nutzen Bedrohungsjäger ihr Fachwissen und ihre Intuition, um im Netzwerk oder in den Systemen eines Unternehmens nach potenziellen Bedrohungen oder Schwachstellen zu suchen. Dabei konzentrieren sie sich häufig auf Bereiche, die als risikoreich gelten oder in denen es in der Vergangenheit zu Sicherheitsvorfällen gekommen ist. Unabhängig davon, ob es sich bei den „Kronjuwelen“ des Unternehmens um Daten wie geistiges Eigentum, Kundeninformationen, Finanzunterlagen, persönliche Gesundheitsdaten oder lediglich um die Verfügbarkeit von Vermögenswerten und die Fähigkeit zur Durchführung von Transaktionen handelt, sollte der Bedrohungsjäger über das Risikoregister und die wertvollsten Entitäten im Netzwerk informiert sein, um seine Bemühungen gezielter zu gestalten.

Dieser risikobasierte Ansatz kann die Nutzung verschiedener Datenquellen wie Netzwerkprotokolle, Endpunktdaten und Bedrohungsinformationen sowie kreativer Techniken und Tools zur Identifizierung von Mustern, Anomalien oder anderen IoCs umfassen. Die unstrukturierte Suche ist besonders nützlich, um unbekannte oder neu auftretende Bedrohungen zu identifizieren, da sie es Bedrohungsjägern ermöglicht, über den Tellerrand hinauszublicken und nach Anzeichen böswilliger Aktivitäten zu suchen, die möglicherweise nicht in traditionelle IoCs oder Bedrohungsprofile passen.

Situative oder entitätsgesteuerte Jagd

Die situationsbezogene oder entitätsgesteuerte Suche ist ein gezielter Ansatz zur Bedrohungssuche, der sich auf bestimmte Ereignisse, Entitäten oder Situationen konzentriert, die ein erhöhtes Risiko für die Sicherheit eines Unternehmens darstellen können. Dazu können wichtige Ereignisse wie Fusionen und Übernahmen, Produkteinführungen oder Sicherheitsvorfälle gehören, aber auch bestimmte Entitäten wie hochwertige Vermögenswerte, VIP-Laptops oder -Tablets oder Drittanbieter und deren Anmeldeinformationen oder Dienstkonten, die auf das Netzwerk zugreifen können.

Einige Threat-Hunting-Teams arbeiten mit ihrer eigenen Personalabteilung zusammen, um neue und ausscheidende Mitarbeiter zu verfolgen, da beide potenzielle Ziele für Angriffe oder Informationslecks sind. Threat Hunter verfügen möglicherweise zunächst nur über begrenzte Daten, beispielsweise eine Liste neuer Anmeldeinformationen oder Informationen über ausscheidende Mitarbeiter, und beginnen ihre Suche etwa zum Zeitpunkt dieser Ereignisse.

Bei diesem situationsbezogenen Ansatz nutzen Bedrohungsjäger Bedrohungsinformationen sowie weitere relevante Daten und Kontextinformationen zu den Entitäten im Netzwerk, um potenzielle Bedrohungen oder Schwachstellen zu identifizieren. Dies kann den Einsatz strukturierter und unstrukturierter Suchtechniken sowie die Zusammenarbeit mit anderen Beteiligten innerhalb des Unternehmens, wie z. B. IT-, Rechts- oder Geschäftsteams, beinhalten.

Methoden zur Bedrohungssuche

Intelligenzbasierte Jagd

Intelligence-based Hunting ist eine aktive Technik zur Bedrohungssuche, die auf der Grundlage von Eingabeinformationen reagiert. Sie können Bedrohungsinformationen wie IoCs, IP-Adressen, Hash-Werte und Domänennamen eingeben und danach suchen.

Dieser Prozess lässt sich in Ihr SIEM-System (Security Information and Event Management) und Ihre Threat-Intelligence-Tools integrieren, die diese Informationen zur Suche nach Bedrohungen nutzen. Eine weitere wertvolle Informationsquelle sind Host- oder Netzwerkartefakte von Computer Emergency Response Teams (CERTs) oder Information Sharing and Analysis Centers (ISAC). Diese ermöglichen Ihnen den Export automatisierter Warnmeldungen oder die Weitergabe wichtiger Informationen über neue Angriffe in anderen Organisationen. Die Informationen lassen sich häufig mithilfe von TAXII (Trusted Automated eXchange of Intelligence Information) und STIX (Structured Threat Information eXpression) in Ihr SIEM-System einspeisen. Viele SIEM-Systeme verfügen über eingebettete Threat-Informationsdienste, die den Kontext verbessern und die Erstellung von Suchereignissen und Dashboards erleichtern.

Hypothesenbasierte Jagd

Bei dieser Technik zur Bedrohungssuche werden drei Arten von Hypothesen getestet:

• Analysegesteuert: nutzt maschinelles Lernen (ML) und Benutzer- und Entitätsverhaltensanalysen (UEBA), um aggregierte Risikobewertungen zu entwickeln und Hypothesen zu formulieren
• Intelligenzbasiert: umfasst Malware-Analyse, Schwachstellenscans, im Internet entdeckte Exploits sowie Geheimdienstberichte und -feeds
• Auf Grundlage der Situationswahrnehmung: Unternehmensrisikobewertungen und Kronjuwelenanalyse (Identifizierung der für das Unternehmen kritischen digitalen Vermögenswerte)

Aufgrund der großen Menge der gesammelten Daten müssen Bedrohungsjäger einen großen Teil des Prozesses mithilfe von Techniken des maschinellen Lernens und Bedrohungsinformationen automatisieren.

Untersuchung anhand von Angriffsindikatoren (IoA)

Die proaktivste Methode zur Bedrohungssuche ist die Untersuchung mithilfe von Angriffsindikatoren (IoAs). Der erste Schritt besteht darin, APT-Gruppen und Malware-Angriffe mithilfe globaler Erkennungs-Playbooks zu identifizieren. Diese Technik ist häufig mit Bedrohungsframeworks wie dem MITRE ATT&CK ^TM-Framework kompatibel.

Hier sind die Aktionen, die am häufigsten in den Prozess involviert sind:

1. Verwenden Sie IoAs und TTPs, um Bedrohungsakteure zu identifizieren.
2. Der Jäger bewertet die Domäne, die Umgebung und das Angriffsverhalten, um eine Hypothese zu erstellen, die mit ATT&CK übereinstimmt.
3. Nachdem der Bedrohungsjäger ein Verhalten identifiziert hat, versucht er, Muster zu erkennen. Dazu durchsucht er Protokollspeicher nach übereinstimmenden Hashes oder Ereignissen und überwacht laufende Aktivitäten. Ziel ist es, die Bedrohung zu lokalisieren, zu identifizieren und anschließend zu isolieren, um eine Ausbreitung oder Proliferation zu verhindern.

Hybridjagd

Die hybride Bedrohungssuche kombiniert alle oben genannten Methoden und ermöglicht Sicherheitsanalysten eine individuelle Suche. Sie kombiniert in der Regel branchenspezifische Suche mit situationsbezogenem Bewusstsein und spezifischen Suchanforderungen. Beispielsweise kann die Suche anhand von Daten zu geopolitischen Themen angepasst werden. Sie können auch eine Hypothese als Auslöser verwenden und IoAs und IoCs nutzen.

Was macht einen guten Bedrohungsjäger aus?

Ein Threat Hunter ist ein Sicherheitsanalyst, der manuelle oder maschinelle Techniken einsetzt, um APTs zu erkennen, zu isolieren und zu neutralisieren, die von automatisierten Sicherheitstools oder allein durch Signatur-/Hash-Abgleich nicht erkannt werden. Um ihre Fähigkeiten zu verbessern, können Sicherheitsmitarbeiter an Threat-Hunting-Schulungen teilnehmen und eine Threat-Hunting-Zertifizierung erwerben, beispielsweise den Certified Cyber Threat Hunting Professional (CCTHP) oder den Certified Ethical Hacker (CEH).

Bedrohungsjäger berichten in der Regel an einen Direktor für Informationssicherheit, der wiederum dem Chief Information Security Officer (CISO) unterstellt ist. In einem Security Operations Center (SOC) berichten Bedrohungsjäger an den SOC-Manager.

Einige wichtige Fähigkeiten eines guten Bedrohungsjägers sind:

• Kommunikation: Für Bedrohungsjäger ist es von entscheidender Bedeutung, sowohl mündlich als auch schriftlich klar über ihre Aktivitäten kommunizieren zu können, von der Untersuchung bis hin zu den Ergebnissen und Empfehlungen zur Behebung.
• Datenanalyse und -berichterstattung: Mustererkennung, technisches Schreiben, Theorien der Datenwissenschaft, Problemlösung und Fehlerbehebung sowie Forschung
• Kenntnisse über Betriebssysteme und Netzwerke: Sie müssen die Besonderheiten organisatorischer Systeme und Netzwerke kennen, einschließlich „traditionell“ IT-zentrierter Funktionen wie Authentifizierung und Autorisierung
• Erfahrung im Bereich Informationssicherheit: Reverse Engineering von Malware, Adverse Tracking und Endpunktsicherheit; Sie müssen die von den Angreifern verwendeten früheren und aktuellen TTPs genau kennen.
• Kenntnisse in Programmiersprachen: Mindestens eine Skriptsprache und eine kompilierte Sprache sind üblich, obwohl moderne Tools die Verwendung von Skriptsprachen zunehmend überflüssig machen.
• Grundsätze der Anwendungssicherheit (AppSec): Da viele Angriffe aufgrund unsicherer Codierung, kompromittierter Bibliotheken von Drittanbietern oder ungepatchter Frameworks auf der Ebene der Webschnittstelle beginnen, sollten Bedrohungsjäger zumindest einigermaßen damit vertraut sein, wie sie ermitteln und dem Entwicklungsteam mitteilen, was für eine vollständige Behebung oder Eindämmung erforderlich ist.

Threat Hunting vs. Threat Intelligence: Was ist der Unterschied?

Obwohl sowohl die Bedrohungssuche als auch die Bedrohungsaufklärung wesentliche Bestandteile einer umfassenden Cybersicherheitsstrategie sind, dienen sie unterschiedlichen Zwecken und erfordern unterschiedliche Ansätze.

Threat Intelligence umfasst die Sammlung, Analyse und Verbreitung von Informationen über potenzielle oder bestehende Cyberbedrohungen, Schwachstellen und Risiken. Diese Informationen stammen typischerweise aus verschiedenen Quellen, wie Open-Source-Informationen (OSINT), dem Open Worldwide Application Security Project (OWASP), branchenspezifischen Bedrohungsfeeds sowie internen Netzwerk- und Überwachungsdaten. Das Hauptziel von Threat Intelligence besteht darin, Unternehmen umsetzbare Erkenntnisse zu liefern, die ihnen helfen, fundierte Entscheidungen über ihre Cybersicherheitslage und Reaktionsstrategien zu treffen.

Threat Hunting ist ein aktiver, menschengesteuerter Prozess, der Bedrohungsinformationen sowie andere Datenquellen und Tools nutzt, um proaktiv nach potenziellen Bedrohungen im Netzwerk oder den Systemen eines Unternehmens zu suchen. Threat Hunter nutzen Bedrohungsinformationen, andere Informationsquellen sowie ihr eigenes Wissen und ihre Expertise, um Muster, Anomalien und andere IoCs zu identifizieren, die auf die Anwesenheit von Angreifern in der Umgebung hinweisen könnten.

Zusammenfassend lässt sich sagen, dass Threat Intelligence die notwendigen Informationen und den Kontext für Threat-Hunting-Aktivitäten liefert, während Threat Hunting diese Informationen nutzt, um aktiv nach versteckten Bedrohungen in der Umgebung einer Organisation zu suchen und diese zu entschärfen.

3 Tipps zur Verbesserung Ihrer Bedrohungssuche

Datenlecks und Cyberangriffe kosten Unternehmen jährlich Millionen von Dollar. Mit diesen Tipps können Sie diese Bedrohungen besser erkennen:

1. Identifizieren Sie die „normalen“

Bedrohungsjäger müssen anomale Aktivitäten aufdecken und die tatsächlichen Bedrohungen erkennen. Daher ist es entscheidend, die normalen Betriebsabläufe des Unternehmens zu verstehen. Dazu arbeitet das Bedrohungsjägerteam mit Schlüsselpersonen innerhalb und außerhalb der IT zusammen, um wertvolle Informationen und Erkenntnisse zu sammeln. So können sie entscheiden, was eine Bedrohung darstellt und was ungewöhnliche, aber normale Aktivitäten sind. Dieser Prozess lässt sich mithilfe einer Technologie wie UEBA automatisieren, die normale Betriebsbedingungen für eine Umgebung sowie die darin enthaltenen Benutzer und Maschinen aufzeigt.

2. Beobachten, orientieren, entscheiden, handeln (OODA)

Diese aus dem Militär übernommene Strategie wird von Bedrohungsjägern in der Cyberkriegsführung eingesetzt. OODA steht für:

• Beobachten– Sammeln Sie regelmäßig Protokolle von IT- und Sicherheitssystemen.
• Orientieren– Vergleichen Sie die Daten mit vorhandenen Informationen. Analysieren Sie und suchen Sie nach Hinweisen auf einen Angriff, wie z. B. Anzeichen von Command & Control.
• Entscheiden– Ermitteln Sie die richtige Vorgehensweise entsprechend dem Vorfallstatus.
• Handeln– Führen Sie im Falle eines Angriffs den Incident-Response-Plan aus. Ergreifen Sie Maßnahmen, um ähnliche Angriffe in Zukunft zu verhindern.

3. Über angemessene und ausreichende Ressourcen verfügen

Ein Threat-Hunting-Team sollte über ausreichend Folgendes verfügen:

• Personal– ein Threat-Hunting-Team, das mindestens einen erfahrenen Cyber-Threat-Hunter umfasst
• Systeme– eine grundlegende Infrastruktur zur Bedrohungssuche, die Sicherheitsvorfälle und -ereignisse sammelt und organisiert
• Tools– Software zur Erkennung von Anomalien und zum Aufspüren von Angreifern

Plattformen zur Bedrohungssuche

Bedrohungsjäger nutzen Lösungen und Tools, um verdächtige Aktivitäten aufzuspüren. Dabei gibt es drei Hauptkategorien:

1. Tools zur Sicherheitsüberwachung– Tools wie Firewalls, Antivirenprogramme und Endpoint-Sicherheitslösungen sammeln Sicherheitsdaten und überwachen das Netzwerk.

2.  SIEM-Lösungen– Lösungen für Security Information and Event Management (SIEM) helfen bei der Verwaltung der Rohsicherheitsdaten und bieten Echtzeitanalysen von Sicherheitsbedrohungen.

3. Analysetools– Software für statistische und nachrichtendienstliche Analysen bietet einen visuellen Bericht mithilfe interaktiver Diagramme und Grafiken, wodurch die Korrelation von Entitäten und die Erkennung von Mustern erleichtert wird.

Exabeam Threat Hunter

Exabeam Threat Hunter hilft Analysten, Angreifer auszutricksen, indem es die Bedrohungserkennung vereinfacht. Exabeam Threat Hunter ermöglicht Ermittlern die Point-and-Click-Suche nach bestimmten Kriterien, darunter Benutzer, Asset, Ereignis, Risikotyp, Warnungen und Angreifer-TTPs. Ermittler können auch Zeitleisten nach abnormalem Verhalten durchsuchen. Mit Exabeam Threat Hunter können Analysten schneller reagieren und Angriffe stoppen, sobald sie auftreten.

Wie kann Exabeam Threat Hunter Sie bei der Bedrohungssuche unterstützen?

Diese Hauptfunktionen der Plattform helfen Ihrem Unternehmen dabei, effektivere Funktionen zur Bedrohungssuche aufzubauen:

• Benutzerfreundliche Benutzeroberfläche– Die Point-and-Click-Oberfläche vereinfacht die Datenabfrage
• Kontextbezogene Daten– ermöglichen komplexe Suchvorgänge
• Verhaltensbasierte Bedrohungssuche– Ermöglicht Analysten die Suche nach IoAs, die einen viel höheren Wert als IoCs haben.
• Automatische Vorfallzeitleisten– Durch Automatisierung wird das Sammeln von Beweisen schneller und einfacher als das Führen von Protokollen
• Bietet visuelle Hilfe– stellt Beziehungen dar und deckt verborgene Zusammenhänge zwischen Daten auf