Threat Hunting vs. Bedrohungsintelligenz: Unterschiede und Synergien

Was ist Threat Hunting?

Threat Hunting ist ein proaktiver Cybersicherheitsprozess, bei dem geschulte Personen, sogenannte Threat Hunter, aktiv nach komplexen Bedrohungen suchen, diese identifizieren und isolieren, die bestehende Sicherheitslösungen umgehen. Es geht nicht darum, auf eine Warnung zu warten, um zu reagieren. Es geht darum, proaktiv nach der versteckten Bedrohung in Ihrem System zu suchen.

Empfohlene Lektüre: Sicherheitsanalyse von Big Data: Vergangenheit, Gegenwart und Zukunft.

Rollen, die die Bedrohungssuche beinhalten

Zu den Rollen, die bei der Bedrohungssuche involviert sind, gehören Bedrohungsanalysten, Incident Responder und Cybersicherheitsingenieure:

• Bedrohungsanalysten sind in erster Linie dafür verantwortlich, das Verhalten des Angreifers durch die Analyse verfügbarer Daten zu verstehen und vorherzusagen. Gelegentlich sind sie Teil formeller Insider-Threat-Teams.
• Incident Responder ergreifen sofortige Maßnahmen, um die Auswirkungen eines Sicherheitsvorfalls zu mildern.
• Cybersicherheitsingenieure sind für die Entwicklung, Implementierung und Aktualisierung sicherer Netzwerklösungen zur Abwehr fortgeschrittener Cyberbedrohungen verantwortlich.
• Obwohl DevSecOps-Teams normalerweise nicht formal Teil eines Security Operations Center (SOC)-Teams sind, interagieren sie häufig mit dem SOC-Team, wenn sie Ereignisse entdecken, die aufgrund öffentlich bekannter Schwachstellen Aktualisierungen in Anwendungsbibliotheken, Tools oder Ressourcen erfordern.

Jede dieser Rollen kann im Rahmen ihrer Aufgaben die Bedrohungssuche durchführen. Sie können auch zusammenarbeiten und ihr Wissen und ihre Fähigkeiten kombinieren, um komplexere Bedrohungssuchvorgänge durchzuführen.

Für die Bedrohungssuche erforderliche Tools und Schulungen

Zu den üblicherweise für die Bedrohungssuche verwendeten Tools gehören:

• SIEM-Systeme (Security Information and Event Management): Bietet Echtzeitanalysen von Sicherheitswarnungen
• Intrusion Detection Systems (IDS): Überwachen Sie Netzwerke auf verdächtige Aktivitäten.
• Endpoint Detection and Response (EDR): Bietet Einblick in Bedrohungen auf Endpunkten, ermöglicht Sicherheitsteams die Durchführung schneller forensischer Untersuchungen und reagiert auf Bedrohungen mit einer Kombination aus automatisierten und manuellen Maßnahmen.
• Dynamisches oder statisches Testen der Anwendungssicherheit (DAST/SAST) sowie Software Composition Analysis (SCA): Ob im Rahmen von Sprints, vierteljährlich oder jährlich als Teil einer umfassenden Compliance-Initiative – der Zugriff auf die Berichte und Ergebnisse kann das umfassende Verständnis eines erfahrenen Bedrohungsjägers für die Grundursachen bei einer Änderung der Sicherheitslage verbessern.

Mehr dazu erfahren Sie in unserem ausführlichen Leitfaden zu Tools für Bedrohungsanalysen.

Auch die Bedrohungssuche erfordert Training. Sie müssen die Feinheiten Ihrer IT-Umgebung verstehen, lernen, Hypothesen über potenzielle Bedrohungen zu formulieren, Daten zu sammeln und zu analysieren, die relevanten Cybersicherheitstools effektiv einzusetzen und die Kommunikation mit anderen Teams zu verbessern, um deren Hilfe oder Unterstützung bei der vollständigen Behebung von Bedrohungen zu erhalten.

Was ist Bedrohungsintelligenz?

Threat Intelligence ist das Wissen, das es Ihnen ermöglicht, Cyberbedrohungen vorzubeugen oder deren Auswirkungen abzumildern. Es geht darum, Ihren Gegner zu kennen: zu verstehen, wer er ist, was seine Motivation sein könnte und welche Techniken er einsetzt. Diese Informationen sind unerlässlich für die Entwicklung proaktiver Sicherheitsmaßnahmen und -strategien. (Verwandter Inhalt: Lesen Sie unseren Leitfaden zu Anbietern von Threat Intelligence.)

Quellen für Bedrohungsintelligenz

Bedrohungsinformationen können aus zahlreichen Quellen stammen, die jeweils ein anderes Puzzleteil liefern, um ein umfassendes Bild potenzieller Bedrohungen zu erstellen. Zu diesen Quellen gehören:

• Open-Source Intelligence (OSINT): Öffentlich verfügbare Informationen, die aus verschiedenen Online-Quellen gesammelt werden können.
• Social Media Intelligence (SOCMINT): Dabei werden Social-Media-Plattformen auf Hinweise auf potenzielle Cyberbedrohungen untersucht.
• Human Intelligence (HUMINT): Beinhaltet die Interaktion von Person zu Person und kann Insiderinformationen über potenzielle Bedrohungen liefern.
• Analysieren technischer Daten: Beispiele hierfür sind Malware-Beispiele, Serverprotokolle oder angegriffene IP-Adressen, um die Methoden des Angreifers zu verstehen.

Technisches Risiko vs. Geschäftsrisiko

Beim Umgang mit Bedrohungsinformationen ist es wichtig, den Unterschied zwischen technischen und geschäftlichen Risiken zu verstehen. Technische Risiken umfassen das Potenzial technologischer Fehler, wie Software-Schwachstellen oder Hardware-Fehlfunktionen. Geschäftsrisiken hingegen betreffen das Potenzial von Aktivitäten, die sich negativ auf die Betriebsfähigkeit oder den Gewinn des Unternehmens auswirken könnten.

Beide Risikoarten sind im Bereich der Cybersicherheit miteinander verknüpft. Ein technisches Risiko, wie beispielsweise ein Datenschutzverstoß, kann erhebliche Geschäftsrisiken nach sich ziehen, darunter Vertrauensverlust der Kunden und mögliche rechtliche Konsequenzen. Effektive Bedrohungsanalyse umfasst daher das Management sowohl technischer als auch geschäftlicher Risiken.

Bedrohungsakteursgruppen

Bedrohungsgruppen sind organisierte Einheiten, die Cyberangriffe durchführen. Das Spektrum reicht von staatlich geförderten Gruppen mit politischen Motiven über kriminelle Gruppen mit finanziellem Anspruch bis hin zu Hacktivistengruppen mit ideologischen Zielen. Das Verständnis der verschiedenen Bedrohungsgruppen ist ein entscheidender Bestandteil der Bedrohungsaufklärung.

Wenn Sie wissen, mit wem Sie es zu tun haben, können Sie deren Vorgehensweisen besser vorhersehen und Ihre Systeme effektiver schützen. Jede Gruppe hat ihre bevorzugten Methoden und Ziele, und diese Informationen können Ihre Sicherheitsstrategien beeinflussen. Wenn beispielsweise eine bestimmte Gruppe dafür bekannt ist, Finanzinstitute mit Ransomware anzugreifen, die ein bekanntes Muster für die Implementierung von Angriffssoftware aufweist, könnte eine Bank diese Informationen nutzen, um ihre Abwehrmaßnahmen gegen die typischen Angriffsvektoren zu verstärken. Dies ist Teil einer Artikelserie zum Thema Informationssicherheit.

Threat Hunting vs. Bedrohungsintelligenz: Die wichtigsten Unterschiede

Methodik

Threat Hunting ist ein proaktiver Ansatz für Cybersicherheit. Dabei wird aktiv nach Bedrohungen gesucht, die möglicherweise durch die Maschen automatisierter Sicherheitsmaßnahmen geschlüpft sind oder nicht aktiv vom vorhandenen Sicherheits-Stack abgedeckt werden. Dazu werden Systemprotokolle, Netzwerkverkehr und Nutzerverhalten eingehend analysiert, um potenzielle Bedrohungen zu identifizieren. Um ein Beispiel aus dem Jahr 2021 zu nennen: Als Log4J-Schwachstellen über SOCMINT auftauchten, mussten Threat Hunter sofort Folgendes feststellen:

• Wurde Log4J von einem Apache-Webserver in ihrer Umgebung verwendet?
• Ist die derzeit verwendete Apache-Version anfällig oder auf die neueste Version gepatcht?
• Wenn eine Schwachstelle besteht, werden in der Umgebung Artefakte des bekannten Exploits erkannt?

Bei der Bedrohungsaufklärung geht es darum, Informationen über potenzielle Bedrohungen zu sammeln, zu analysieren und anzuwenden. Es handelt sich um einen eher reaktiven Ansatz, bei dem der Schwerpunkt auf dem Verständnis der Bedrohungslandschaft und der Vorbereitung auf potenzielle Angriffe liegt.

Zweck

Das Hauptziel der Bedrohungssuche besteht darin, Bedrohungen zu identifizieren und zu neutralisieren, bevor sie erheblichen Schaden anrichten können. Es geht darum, den Angreifern immer einen Schritt voraus zu sein und die potenziellen Auswirkungen eines Verstoßes zu minimieren.

Bei Threat Intelligence geht es darum, die Bedrohungslandschaft zu verstehen. Es geht darum, zu wissen, wer Ihre potenziellen Angreifer sind, welche Taktiken sie verfolgen und wie Sie sich auf ihre Angriffe vorbereiten können.

Abhängigkeiten

Die Bedrohungssuche hängt stark von den Fähigkeiten und dem Fachwissen des Bedrohungsjägers ab. Sie erfordert ein tiefes Verständnis von Systemen und Anwendungen, Netzwerken, Authentifizierungsmethoden und Benutzerverhalten sowie die Fähigkeit, wie ein Angreifer zu denken.

Die Bedrohungsaufklärung hängt vor allem von der Qualität und Relevanz der gesammelten Informationen ab. Um die Informationen zu verstehen und sie im Umfeld des Verteidigers effektiv anzuwenden, sind ausgeprägte analytische Fähigkeiten erforderlich.

Techniken und Werkzeuge

Sowohl bei der Bedrohungssuche als auch bei der Bedrohungsaufklärung kommen verschiedene Techniken und Tools zum Einsatz. Diese Tools reichen von einfachen Netzwerküberwachungstools bis hin zu fortschrittlichen Algorithmen der künstlichen Intelligenz.

Der entscheidende Unterschied liegt jedoch in der Art und Weise, wie diese Tools eingesetzt werden. Beim Threat Hunting liegt der Fokus darauf, diese Tools für die aktive Suche nach Bedrohungen einzusetzen. Bei der Threat Intelligence werden die Tools zum Sammeln und Analysieren von Informationen über potenzielle Bedrohungen eingesetzt.

Mehr dazu erfahren Sie in unserem ausführlichen Leitfaden zu Threat-Intelligence-Software.

Die Synergie zwischen Threat Hunting und Bedrohungsintelligenz

Threat Hunting und Threat Intelligence werden häufig gemeinsam eingesetzt. Tatsächlich ist effektives Threat Hunting ohne fundierte Threat Intelligence schwierig. Sehen wir uns an, wie sich diese beiden Ansätze ergänzen.

Vorbereitung auf aktive vs. reaktive Bedrohungssuche

Bei der aktiven Bedrohungssuche wird proaktiv nach Bedrohungen gesucht, während bei der reaktiven Bedrohungssuche auf Warnungen oder Vorfälle reagiert wird. Threat Intelligence kann bei beiden Ansätzen eine entscheidende Rolle spielen:

• Bei der aktiven Bedrohungssuche können Informationen über potenzielle Bedrohungen den Suchprozess leiten und dabei helfen, sich auf die Bereiche des Systems zu konzentrieren, die am wahrscheinlichsten angegriffen werden.
• Bei der reaktiven Bedrohungssuche können Erkenntnisse über die Methoden und Taktiken der Angreifer dabei helfen, Bedrohungen schnell zu identifizieren und zu neutralisieren.

Modellierung von Angriffen mit Brancheninformationen

Threat Intelligence kann die Bedrohungssuche auch durch die Bereitstellung von Informationen über branchenweite Bedrohungen unterstützen. Diese Informationen können zur Modellierung potenzieller Angriffe genutzt werden und helfen, spezifische Bedrohungen vorherzusehen und sich darauf vorzubereiten. Auf diese Weise kann Threat Intelligence den Prozess der Bedrohungssuche steuern und ihn zielgerichteter und effektiver gestalten.

Kontextualisierung von Bedrohungen anhand von Verhaltensmustern

Bedrohungsinformationen umfassen häufig Verhaltensmuster bestimmter Bedrohungsgruppen sowie in freier Wildbahn gefundene Malware-Kombinationen. Durch die Einbeziehung dieser Informationen kann die Bedrohungssuche differenzierter gestaltet werden. Wenn beispielsweise ein Bedrohungsinformations-Feed darauf hinweist, dass eine bestimmte Gruppe häufig Spear-Phishing als ersten Angriffsvektor nutzt, können sich Bedrohungsjäger auf die genauere Untersuchung eingehender E-Mails und zugehöriger Protokolle konzentrieren. Dadurch wird die Suche nicht nur zu einer Suche nach Anomalien, sondern zu einer gezielten Untersuchung auf der Grundlage glaubwürdiger Informationen.

Gemeinsame Entscheidungsfindung zur Schadensbegrenzung

Threat-Intelligence-Plattformen können Daten aus verschiedenen Quellen aggregieren und so einen umfassenden Überblick über die Bedrohungslandschaft schaffen. Andererseits generieren Threat Hunter durch ihre Untersuchungen wertvolle interne Daten. Durch die Kombination dieser beiden Datensätze kann das Sicherheitsteam fundiertere Entscheidungen zur Risikominimierung treffen. Wenn beispielsweise Threat Intelligence auf eine sich entwickelnde Malware-Kampagne hinweist und Threat Hunting ungewöhnlichen ausgehenden Datenverkehr von einem internen Server identifiziert, können die Sicherheitsmaßnahmen entsprechend angepasst werden.

Verwandte Inhalte: Lesen Sie unseren Leitfaden zu Lösungen für Bedrohungsanalysen.

Bedrohungssuche mit Exabeam

Exabeam hilft Analysten, Angreifer auszutricksen, indem es die Erkennung, Untersuchung und Reaktion auf Bedrohungen (TDIR) vereinfacht. Exabeam ermöglicht Ermittlern die Point-and-Click-Suche nach bestimmten Kriterien, darunter Benutzer, Asset, Ereignis, Risikotyp, Warnungen, IoCs und Angreifer-TTPs. Ermittler können auch Zeitleisten nach abnormalem Verhalten durchsuchen. Mit Exabeam können Analysten schneller reagieren und Angriffe stoppen, sobald sie auftreten.

Verwandte Inhalte: Lesen Sie unseren Leitfaden zu Threat-Intelligence-Diensten für die Unternehmenssicherheit.

Wie kann Exabeam Sie bei der Bedrohungssuche unterstützen?

Diese Hauptfunktionen der Plattform helfen Ihrem Unternehmen dabei, effektivere Funktionen zur Bedrohungssuche aufzubauen:

• Benutzerfreundliche Suchoberfläche: Die Point-and-Click-Oberfläche vereinfacht die Datenabfrage zur Suche nach Anomalien und Bedrohungen.
• Kontextbezogene Daten: ermöglicht komplexe Suchen nach IoCs und mehr
• Verhaltensbasierte Bedrohungssuche: Ermöglicht Analysten die Suche nach Protokoll- oder korrelierten Ereignissen sowie IoAs, die viel wertvollere Indikatoren sein können als IoCs allein
• Automatische Vorfallzeitleisten: Durch die Automatisierung ist das Sammeln von Beweisen schneller und einfacher als das Führen von Protokollen.
• Datenvisualisierung: stellt Beziehungen dar und deckt verborgene Zusammenhänge zwischen Daten auf