7. Januar 2025
Threat Hunting (auch als Cyberthreat Hunting bezeichnet) ist ein proaktiver Ansatz zur Identifizierung bislang unbekannter oder aktuell andauernder Cyberbedrohungen im Netzwerk eines Unternehmens.
Warum die Bedrohungsjagd wichtig ist
Die Bedrohungsjagd ist wichtig, weil sie den Unternehmen hilft, ihren Sicherheitsstatus gegen Ransomware, Insider-Bedrohungen und andere Cyberangriffe zu stärken, die sonst unbemerkt bleiben könnten.
Während automatisierte Sicherheitstools und wachsame Analysten des Security Operations Center (SOC) die meisten Cybersicherheitsbedrohungen erkennen können, bevor sie größeren Schaden anrichten, können einige ausgeklügelte Bedrohungen diese Abwehrmaßnahmen umgehen.
Wenn es einem böswilligen Akteur gelingt, in ein System einzudringen, kann er wochen- oder sogar monatelang unbemerkt bleiben, bevor er entdeckt wird. Laut dem Cost of a Data Breach Report von IBM dauert es durchschnittlich 194 Tage, bis ein Datenschutzverstoß erkannt wird. Währenddessen schöpfen Angreifer Daten ab und stehlen Anmeldedaten, um sich weiteren Zugang zu verschaffen.
Wie viel Schaden können diese potenziellen Bedrohungen anrichten? Laut dem „Cost of a Data Breach Report“ kostet ein durchschnittlicher Verstoß ein Unternehmen 4,88 Millionen US-Dollar. Je länger die Zeit zwischen dem ersten Zugriff und der Eindämmung vergeht, desto mehr kann es ein Unternehmen kosten.
Bei einer effektiven Bedrohungsjagd suchen Sicherheitsteams proaktiv nach diesen versteckten Bedrohungen. Dadurch können Unternehmen Eindringlinge viel schneller entdecken und Gegenmaßnahmen ergreifen, wodurch der Schaden, den Angreifer anrichten können, reduziert wird.
Verstärken Sie Ihre Sicherheitsintelligenz
Bleiben Sie Bedrohungen immer einen Schritt voraus mit Neuigkeiten und Erkenntnissen zu Sicherheit, KI und mehr, die Sie wöchentlich im Think Newsletter erhalten.
Cyberbedrohungs-Jäger sind erfahrene Cybersicherheitsexperten. In der Regel handelt es sich um Sicherheitsanalysten aus der IT-Abteilung eines Unternehmens, die die Abläufe des Unternehmens gut kennen. Manchmal handelt es sich aber auch um externe Analysten. Bedrohungsjagd-Teams nutzen Sicherheitsautomatisierung, um Bedrohungen zu suchen, zu protokollieren, zu überwachen und zu neutralisieren, bevor sie ernsthafte Probleme verursachen können.
Bedrohungsjagdprogramme basieren auf Daten – insbesondere auf den Datensätzen, die von den Bedrohungserkennungssystemen eines Unternehmens und anderen Unternehmenssicherheitslösungen erfasst werden.
Während des Prozesses der Bedrohungsjagd durchsuchen Bedrohungsjäger diese Sicherheitsdaten und suchen nach versteckter Malware, heimlichen Angreifern und anderen Anzeichen verdächtiger Aktivitäten, die automatisierte Systeme möglicherweise übersehen haben.
Wenn Bedrohungsjäger etwas finden, treten sie in Aktion, beseitigen die Bedrohung und verstärken die Abwehrmaßnahmen, um sicherzustellen, dass so etwas nicht wieder vorkommt.
Jäger gehen von einer Hypothese aus, die auf ihren Beobachtungen, Sicherheitsdaten oder einem anderen Auslöser basiert. Die Hypothese dient als Ausgangspunkt für eine eingehendere Untersuchung potenzieller Bedrohungen.
Untersuchungen erfolgen in der Regel in einer von drei Formen: strukturierte Jagd, unstrukturierte Jagd oder situationsbezogene Jagd.
Formale Frameworks, wie z. B. das MITRE Adversary Taktiken Techniques and Common Knowledge (ATT&CK)-Framework, leiten strukturierte Jagden. Sie suchen nach definierten Angriffsindikatoren (Indicators of Attack, IoA) und den Taktiken, Techniken und Verfahren (Tactics, Techniques, and Procedures, TTPs) bekannter Bedrohungsakteure.
Eine unstrukturierte Jagd ist reaktiver als eine strukturierte Jagd. Sie wird häufig durch die Entdeckung eines Kompromittierungsindikators (Indicator of Compromise, IoC) im System eines Unternehmens ausgelöst. Die Jäger suchen dann nach der Ursache für den IoC und danach, ob er sich noch im Netzwerk befindet.
Eine situationsbezogene Suche ist eine Reaktion auf die besondere Situation eines Unternehmens. In der Regel basieren diese Prozesse auf den Ergebnissen einer internen Risikobewertung oder einer Trend- und Schwachstellenanalyse der IT-Umgebung.
Entitätsgesteuerte Suchvorgänge konzentrieren sich speziell auf kritische Assets und Systeme in einem Netzwerk. Bedrohungsjäger identifizieren Cyberbedrohungen, die ein Risiko für diese Einheiten darstellen könnten, und suchen nach Anzeichen laufender Kompromittierungen.
Erkenntnisbasierte Jagd
Erkenntnisbasierte Jagd basiert auf IoCs aus Threat-Intelligence-Quellen. Bedrohungsjäger verwenden Tools wie SIEM-Systeme (Security Information and Event Management), um bekannte IoCs wie Hash-Werte, IP-Adressen, Domainnamen und Hostartefakte zu überwachen. Wenn IoCs erkannt werden, untersuchen Jäger potenzielle bösartige Aktivitäten, indem sie den Status des Netzwerks vor und nach der Alertausgabe untersuchen.
Hypothesenbasierte Jagd
Die hypothesenbasierte Jagd orientiert sich an den bekannten IoAs, die in Frameworks wie MITRE ATT&CK aufgezeichnet sind. Hypothesenbasierte Jagden erkunden, ob Angreifer bestimmte TTPs verwenden können, um Zugriff auf ein bestimmtes Netzwerk zu erhalten. Wenn ein Verhalten identifiziert wird, können Bedrohungsjäger Aktivitätsmuster überwachen, um Bedrohungen, die dieses Verhalten verwenden, zu erkennen, zu identifizieren und zu isolieren.
Aufgrund ihres proaktiven Charakters können hypothesenbasierte Jagden dazu beitragen, fortgeschrittene anhaltende Bedrohungen (Advanced Persistent Threats, APT) zu identifizieren und zu stoppen, bevor sie größeren Schaden anrichten.
Benutzerdefiniertes Hunting
Die individuelle Jagd basiert auf dem Kontext eines Unternehmens: frühere Sicherheitsvorfälle, geopolitische Probleme, gezielte Angriffe, Warnmeldungen von Sicherheitssystemen und andere Faktoren. Individuelle Jagden können die Eigenschaften von nachrichtendienstlichen und hypothesenbasierten Jagdmethoden kombinieren.
Sicherheitsteams verwenden verschiedene Tools, um Bedrohungsjagden durchzuführen. Einige der häufigsten sind:
Security Information and Event Management (SIEM)
SIEM ist eine Sicherheitslösung, die Unternehmen dabei hilft, Bedrohungen und Schwachstellen zu erkennen und zu beheben, bevor sie die Möglichkeit haben, den Geschäftsbetrieb zu stören. SIEMs können dazu beitragen, Angriffe früher zu erkennen und die Anzahl der Fehlalarme zu reduzieren, die Bedrohungsjäger untersuchen müssen.
Endpoint Detection and Response (EDR)
EDR-Software nutzt Echtzeitanalysen und KI-gestützte Automatisierung, um die Endbenutzer, Endgeräte und IT-Ressourcen eines Unternehmens gegen Cyberbedrohungen zu schützen, die herkömmliche Tools für die Endpoint Security überwinden.
Managed Detection and Response (MDR)
MDR ist ein Cybersicherheitsdienst, der Bedrohungen in Echtzeit überwacht, erkennt und darauf reagiert. Es kombiniert fortschrittliche Technologie und Expertenanalysen, um eine proaktive Bedrohungsjagd zu fördern, effektive Reaktionen auf Vorfälle zu ermöglichen und eine schnelle Sanierung durchzuführen.
Sicherheitsanalyse
Diese Systeme bieten tiefere Einblicke in Sicherheitsdaten, indem sie Big Data mit ausgeklügelten Tools für maschinelles Lernen und künstliche Intelligenz kombinieren. Sicherheitsanalysen können die Suche nach Cyberbedrohungen beschleunigen, indem sie detaillierte Observability-Daten liefern.
Threat-Intelligence, auch „Cyberthreat-Intelligence“ genannt, sind detaillierte, verwertbare Informationen, die Unternehmen zur Prävention und Bekämpfung von Cybersicherheitsbedrohungen nutzen können.
Threat-Intelligence bietet Unternehmen Erkenntnisse in die neuesten Bedrohungen, die auf ihre Netzwerke abzielen, und in die weiter gefasste Geschäftswelt.
Bedrohungsjäger nutzen Threat-Intelligence, um gründliche, systemweite Suchen nach bösartigen Akteuren durchzuführen. Mit anderen Worten: Die Bedrohungsjagd beginnt dort, wo die Threat-Intelligence endet. Die Erkenntnisse der Threat-Intelligence werden in konkrete Maßnahmen umgewandelt, die erforderlich sind, um bestehende Bedrohungen zu beseitigen und künftige Angriffe zu verhindern.
Ressourcen
Verstehen Sie die neuesten Bedrohungen und stärken Sie Ihre Cloud-Abwehr mit dem X-Force Cloud Threat Landscape Report.
Erfahren Sie, wie Sie die Herausforderungen meistern und die Resilienz der generativen KI in der Cybersicherheit nutzen.
Schützen Sie Ihr Unternehmen vor globalen Bedrohungen mit dem auf Bedrohungen spezialisierten Team aus Hackern, Respondern, Forschern und Analysten von IBM X-Force.
Gewinnen Sie mit dem IBM X-Force Threat Intelligence Index Erkenntnisse, um sich schneller und effektiver auf Cyberangriffe vorzubereiten und darauf zu reagieren.