Cyberkriminelle rüsten immer weiter auf und nutzen noch manipulativere Wege und Tricks, um hohe Schäden anzurichten. Im Sinne Ihrer IT-Sicherheit wird der Ruf nach einem proaktiven Handeln immer lauter. Unter dem Stichwort Threat Hunting (Bedrohungssuche) wird jetzt nach Bedrohungen aktiv gefahndet.
Wie funktioniert Threat Hunting in der Praxis?
Threat Hunting lebt von einem intelligenten Prozess, angeleitet vom IT-Sicherheitsexperten, dem Threat Hunter. Er fahndet selbständig im Netzwerk nach möglichen Bedrohungen und Einsickerungen in das System. So hält er auch Ausschau nach Angreifern, die sich noch still verhalten und abwarten. Unterstützt wird der Threat Hunter von automatisierten Techniken wie "User and Entity Behavior Analytics" (UEBA) und weiteren Sicherheits-Tools, welche die riesigen Datenmengen nach sogenannten Anomalien durchforsten und verdächtige Muster diagnostizieren. Maschinelles Lernen spielt hier mittlerweile eine große Rolle.
Warum Threat Hunting Vorteile hat
Die herkömmlichen Ansätze der Cybersicherheit basieren auf reaktiven Methoden: Intrusion Detection, Intrusion Prevention, Firewalls und Scantools zeigen bereits aufgetretene Sicherheitsereignisse an und schnappen dann mit dem jeweiligen Maßnahmenset zu. Threat Hunting richtet sein Augenmerk hingegen auf das gesamte Netzwerksystem, um auch hochmodernen Angriffen ein Schnippchen zu schlagen:
- rasches Erkennen von Bedrohungslagen
- Faktor Mensch: Aufdecken von leichtfertigem Benutzerverhalten
- Verkleinerung der Angriffsfläche des Unternehmens
- Minimieren der Folgeschäden
- Angreifer können nicht länger unbemerkt in der IT-Umgebung operieren
Von der Hypothese zur effektiven Verteidigung
Die Idee des Threat Hunting beruht darauf, dass man den Angriff immer schon im System selbst vermutet. Professionelle Cyberattacken warten oft monatelang unentdeckt und verschaffen sich Zugriff auf fremde Daten. Diese Hypothese – Vermutung – gilt es zu bestätigen, im besten Falle natürlich aber zu falsifizieren. Ihr ist so lange nachzugehen, bis das Gegenteil bestätigt ist. Effektives Threat Hunting verringert die Zeitdauer von der Intrusion bis zur Entdeckung und bewahrt so vor schlimmeren Folgen.
Schicken Sie Ihre IT auf Patrouille
Um einer diffusen Bedrohungslage Herr zu werden, schickt man den Threat Hunter sinnbildlich auf Streife. Auch ein Streifenpolizist tritt ja seinen Dienst in der Ungewissheit an, was ihn an diesem Tag wohl erwartet. Es kann immer alles passieren. Dieses Bewusstsein muss sich auch der Threat Hunter aneignen. Gerade wenn es um Advanced Persistent Threats (APT) geht, also um gut geplante Infiltrationen im Netzwerk, kommt es auf die Erfahrung des Threat Hunters an. Lateral Movement spielt dabei eine zentrale Rolle: Der Angreifer hüpft hier quasi von einem Level zum nächsten und wartet auf Querverbindungen, um immer weiter in das System einzudringen. Das Ziel ist dabei oftmals: Wirtschaftsspionage.
Die Implementierung von Threat Hunting
Threat Hunting ist leider voraussetzungsvoll. Der Jäger benötigt 1. Erfahrung und 2. das nötige Wissen über die zu bewachende IT-Infrastruktur und ihr Netzwerk. Er muss zudem die intrusiven Taktiken von potentiellen Angreifern einschätzen und analytisch beurteilen können. Nur, wenn er in der Lage ist, sich in den Täter hineinzudenken, kann er die entscheidenden Lücken schließen und Infiltrationen aufdecken.
Zu leisten ist das am besten mit einem etablierten Security Information and Event Management (SIEM), welches gebündelt Meldungen und Logfiles der Systeme auswertet. Fehlt diese einheitliche Strukturierung, bleibt das Threat Hunting notgedrungen unter seinen Möglichkeiten. Stichwort: Reife Architektur.
Eine solche reife Architektur der Netzwerkprozesse lässt sich freilich auch durch einen gut aufgestellten externen Dienstleister realisieren. Ein externer Beobachter hätte dann im Rahmen eines Managed Service eventuell sogar einen präziseren Blick auf das Sicherheitsgeschehen.
Mit seinen spezialisierten IT-Sicherheitsprodukten wie XDR (Extended Detection and Response) und MTR (Managed Threat Respones) bietet auch Sophos Threat-Hunting- und Bewältigungspakete, die heute einfach wichtig sind, um sich vor den immer ausgeklügelteren Angriffen auf Firmennetzwerke zu schützen.