Threat Hunting ist wichtig, weil komplexe Bedrohungen in der Lage sind, automatisierte Cybersicherheitsschranken zu überwinden. Obwohl automatisierte Sicherheitstools und Tier-1- und Tier-2-Analysten im Security Operations Center (SOC) meist in der Lage sind, ca. 80 % der Bedrohungen in den Griff zu bekommen, bleiben noch die restlichen 20 %, die Sorgen bereiten. Bei diesen übrigen 20 % der Bedrohungen handelt es sich häufig um hochkomplexe Bedrohungen, die erheblichen Schaden anrichten können. Verfügen Sie über ausreichend Zeit und Ressourcen, können sie in jedes Netzwerk eindringen und bleiben dort im Durchschnitt bis zu 280 Tage lang unentdeckt. Wirksames Threat Hunting verkürzt den Zeitraum zwischen Eindringen und Aufdecken und kann so den Schaden durch Angreifer verringern.
Angreifer lauern oft wochen- oder sogar monatelang, bevor sie entdeckt werden. Sie warten geduldig, um Daten abzuschöpfen und vertrauliche Informationen und Zugangsdaten zu finden, die ihnen weitere Zugriffe ermöglichen. Dies schafft die Voraussetzungen für massive Datensicherheitsverletzungen. Welchen Schaden können potenzielle Bedrohungen anrichten? Dem "Bericht über die Kosten einer Datenschutzverletzung" zufolge, kostet eine Datenschutzverletzung ein Unternehmen im Durchschnitt rund 4 Millionen USD. Dabei können die schädlichen Auswirkungen einer Datenpanne noch jahrelang Auswirkungen haben. Je länger die Zeitspanne zwischen dem Ausfall eines Systems und der Reaktion darauf, desto teurer kann es für ein Unternehmen werden.
Ein erfolgreiches Programm zur Bedrohungssuche basiert darauf, wie „fruchtbar“ die Daten einer Umgebung sind. Mit anderen Worten: Ein Unternehmen muss zunächst über ein Sicherheitssystem verfügen, das Daten erfasst. Die daraus gewonnenen Informationen liefern Bedrohungssuchern wertvolle Anhaltspunkte.
Cyberbedrohungssucher sind der menschliche Faktor in der Unternehmenssicherheit, der die automatisierten Systeme ergänzt. Es handelt sich um erfahrene IT-Sicherheitsexperten, die Bedrohungen aufspüren, dokumentieren, im Blick behalten und neutralisieren, bevor diese schwerwiegende Schäden verursachen können. Im Idealfall sind dies Sicherheitsanalysten aus der IT-Abteilung eines Unternehmens, die die Abläufe gut kennen, teilweise werden aber auch externe Analysten eingesetzt.
Gutes Threat Hunting erkennt die Unbekannten einer Umgebung. Es bietet mehr als herkömmliche Erkennungstechnologien, wie Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) und andere. Bedrohungssucher durchkämmen Sicherheitsdaten. Sie suchen nach versteckter Malware oder Angreifern und achten auf verdächtige Aktivitätsmuster, die ein Computer möglicherweise übersehen hat, oder die als gelöst gelten, aber noch vorhanden sind. Sie helfen auch dabei, das Sicherheitssystem eines Unternehmens zu reparieren, um zu verhindern, dass sich diese Art von Cyberangriff wiederholt.
Die Bedrohungssucher beginnen ihre Arbeit mit einer Hypothese auf der Grundlage von Sicherheitsdaten oder einem Auslöser. Die Hypothese oder der Auslöser dienen als Sprungbrett für eine eingehendere Untersuchung der potenziellen Risiken. Bei diesen vertieften Untersuchungen handelt es sich um strukturierte, unstrukturierte oder situative Suchen.
Eine strukturierte Suche erfolgt auf der Grundlage eines Angriffsindikators (IoA) und der Taktiken, Techniken und Verfahren (TTP) eines Angreifers. Alle Suchen erfolgen entsprechend abgestimmt auf die TTPs der Bedrohungsakteure. Daher kann der Sucher in der Regel einen Bedrohungsakteur identifizieren, noch bevor der Angreifer Schaden in der Umgebung anrichten kann. Bei dieser Suche kommt das MITRE Adversary Tactics Techniques and Common Knowledge (ATT&CK)-Framework zum Einsatz (Link befindet sich außerhalb von ibm.com), wobei sowohl PRE-ATT&CK als auch Enterprise-Frameworks genutzt werden.
Eine unstrukturierte Suche wird auf der Grundlage eines Auslösers eingeleitet – einer von vielen Kompromittierungsindikatoren (Indicators of Compromise, IoC). Dieser Auslöser veranlasst einen Sucher häufig, nach Mustern vor und nach der Feststellung einer Abweichung zu suchen. Der Sucher kann so weit zurück recherchieren, wie Vorratsdatenspeicherung und bereits früher zugeordnete Verstöße dies zulassen.
Eine Situationshypothese ergibt sich aus der internen Risikobewertung eines Unternehmens oder einer Analyse der Trends und Schwachstellen seiner IT-Umgebung. Entitätsorientierte Hinweise stammen aus Angriffsdaten, die mittels Crowdsourcing zusammengetragen werden und die neuesten TTPs aktueller Cyberbedrohungen offenlegen können. Ein Bedrohungssucher kann dann nach diesen spezifischen Verhaltensweisen in der Umgebung suchen.
Die Intelligence-basierte Suche ist ein reaktives Suchmodell (der Link befindet sich außerhalb von ibm.com) , das IoCs aus Bedrohungsdatenquellen nutzt. Von dort aus erfolgt die Suche nach vordefinierten Regeln, die vom SIEM und der Threat Intelligence festgelegt werden.
Intelligence-basierte Suchen können IoCs, Hash-Werte, IP-Adressen, Domänennamen, Netzwerke oder Host-Artefakte nutzen, die von Plattformen für den Informationsaustausch, wie Computer Emergency Response Teams (CERT), bereitgestellt werden. Ein automatisierter Alarm kann von diesen Plattformen exportiert und in das SIEM als Structured Threat Information Expression (STIX) (Link befindet sich außerhalb von ibm.com) und Trusted Automated Exchange of Intelligence Information (TAXII) (Link befindet sich außerhalb von ibm.com) eingespeist werden. Sobald das SIEM die auf einem IoC basierende Warnung erhalten hat, kann der Bedrohungssucher die schädigenden Aktivitäten vor und nach der Warnung untersuchen, um eine eventuelle Kompromittierung der Umgebung festzustellen.
Die Hypothesensuche ist ein proaktives Suchmodell, das anhand einer Bibliothek zur Bedrohungssuche arbeitet. Es ist auf das MITRE ATT&CK-Framework abgestimmt und nutzt globale Erkennungs-Playbooks zur Identifizierung von dauerhaft agierenden komplexen Bedrohungsgruppen und Malware-Angriffen.
Hypothesenbasierte Suchen nutzen die IoAs und TTPs der Angreifer. Der Sucher identifiziert die Bedrohungsakteure anhand der Umgebung, des Bereichs und des Angriffsverhaltens, um eine Hypothese zu erstellen, die mit dem MITRE-Framework übereinstimmt. Sobald ein bestimmtes Verhalten identifiziert ist, nimmt der Bedrohungssucher Aktivitätsmuster in den Blick, um die Bedrohung zu erkennen, zu identifizieren und zu isolieren. Auf diese Weise kann der Sucher auf proaktive Weise Bedrohungsakteure aufspüren, bevor sie Schaden anrichten können.
Die benutzerdefinierte Suche basiert auf Lageerkennung und branchenüblichen Suchmethoden. Sie identifiziert Anomalien in den SIEM- und EDR-Tools und ist auf der Grundlage von Kundenanforderungen anpassbar.
Benutzerdefinierte oder situationsbedingte Suchen basieren auf den Anforderungen der Kunden oder werden proaktiv in bestimmten Situationen durchgeführt, z. B. bei geopolitischen Problemen und gezielten Angriffen. Diese Suchaktivitäten können sich sowohl auf informations- als auch auf hypothesenbasierte Suchmodelle stützen, die sich IoA- und IoC-Informationen zunutze machen.
Sucher nutzen Daten aus MDR-, SIEM- und Sicherheitsanalysetools als Grundlage für die Suche. Sie können auch andere Tools, wie z. B. Packer-Analysatoren, verwenden, um netzwerkbasierte Suchvorgänge durchzuführen. Der Einsatz von SIEM- und MDR-Tools setzt jedoch voraus, dass alle wichtigen Quellen und Tools in einer Umgebung integriert sind. Diese Integration stellt sicher, dass IoA- und IoC-Hinweise eine angemessene Suchausrichtung bieten können.
MDR wendet Threat Intelligence und proaktive Bedrohungssuche an, um fortgeschrittene Bedrohungen zu identifizieren und zu beseitigen. Diese Art von Sicherheitslösung kann dazu beitragen, die Verweildauer von Angriffen zu verkürzen und schnelle, entschiedene Reaktionen auf Angriffe innerhalb des Netzes zu ermöglichen.
Durch die Kombination von Sicherheitsinformationsmanagement (SIM) und Sicherheitsereignismanagement (SEM) bietet das Sicherheitsinformations- und -ereignismanagement (SIEM) die Überwachung und Analyse von Ereignissen in Echtzeit sowie die Verfolgung und Protokollierung von Sicherheitsdaten. SIEM kann Anomalien im Benutzerverhalten und andere Unregelmäßigkeiten aufdecken, die wichtige Hinweise für eine tiefergehende Untersuchung liefern.
Die Sicherheitsanalyse bietet mehr als einfache SIEM-Systeme und liefert tiefere Einblicke in Ihre Sicherheitsdaten. Durch die Kombination der durch Sicherheitstechnologie gesammelten Big Data mit schnellerem, ausgefeilterem und besser integriertem maschinellem Lernen und KI kann die Sicherheitsanalyse die Untersuchung von Bedrohungen mithilfe detaillierter Beobachtungsdaten für die Suche nach Cyberbedrohungen beschleunigen.
Threat Intelligence ist ein Datensatz über erfolgreiche oder nicht erfolgreiche unerlaubte Zugriffsversuche und wird in der Regel von automatisierten Sicherheitssystemen mithilfe von Machine Learning und KI erfasst und analysiert.
Threat Hunting nutzt diese Informationen, um eine gründliche, systemweite Suche nach bösartigen Akteuren durchzuführen. Mit anderen Worten: Threat Hunting beginnt dort, wo Threat Intelligence endet. Außerdem können bei einer erfolgreichen Bedrohungssuche Bedrohungen aufgespürt werden, die noch nie gesichtet wurden.
Auch bei der Bedrohungssuche werden Bedrohungsindikatoren als Anhaltspunkte oder Hypothesen für eine Suche verwendet. Bedrohungsindikatoren sind virtuelle Fingerabdrücke, die von Malware oder einem Angreifer hinterlassen werden, eine ungewöhnliche IP-Adresse, Phishing-E-Mails oder anderer verdächtiger Netzwerkverkehr.
Verbessern Sie die Erkennungsraten und verkürzen Sie die Zeit bis zur Erkennung, Untersuchung und Beseitigung von Bedrohungen. Erfahren Sie, wie Sie Ihr eigenes Programm zur Suche nach Cyberbedrohungen starten können.
IBM Security Managed Detection and Response (MDR) bietet eine schlüsselfertige Bedrohungsabwehr-, Erkennungs- und Reaktionsfunktion, die rund um die Uhr aktiv ist. Die proaktiven Bedrohungsjäger von IBM arbeiten mit Unternehmen zusammen, um deren wichtigste Vermögenswerte und kritische Probleme zu identifizieren.
Bauen Sie Ihre SIEM-Basis aus und entwickeln Sie ein umfassendes Programm, das Sie im Laufe der Zeit bedarfsweise erweitern können. Ermitteln Sie Insider-Bedrohungen, verfolgen Sie Endgeräte, sichern Sie die Cloud und verwalten Sie Ihre Compliance mit IBM Security.
Bedrohungserkennung ist nur die Hälfte der Sicherheitsgleichung. Um Ihr Security Operations Center (SOC) zu stärken, können zudem eine intelligente Reaktion auf Vorfälle und eine einheitliche integrierte SOAR-Plattform (Security Orchestration, Automation and Response) mit Managed Services wichtig sein.
Finden und beheben Sie Ihre kritischsten bekannten und unbekannten Sicherheitslücken mit X-Force® Red. Dieses autonome Team erfahrener Hacker arbeitet mit IBM zusammen, um Ihre Sicherheit zu testen und Schwachstellen aufzudecken, die kriminelle Angreifer zum eigenen Vorteil nutzen könnten.
Lesen Sie mehr über Cyberbedrohungssuche, wie Threat Intelligence, neue Taktiken und Abwehr.
Was ist MDR und wie kann Ihr Sicherheitsteam bewährte Verfahren einsetzen? Erfahren Sie, wie ein wirksamer MDR-Service Unternehmen dabei hilft, ihre Ziele zu erreichen, unter anderem bei der gezielten Suche nach Bedrohungen.
Verstehen Sie Ihre Cyberangriffsrisiken mit einem globalen Überblick über die Bedrohungslandschaft
Der Bericht über die Kosten einer Datenschutzverletzung befasst sich mit den finanziellen Auswirkungen von Datenschutzverletzungen und beleuchtet die Sicherheitsmaßnahmen, mit denen Ihr Unternehmen diese vermeiden oder im Ernstfall die entstehenden Kosten reduzieren kann.
Erfahren Sie, wie Dairy Gold seine Sicherheitslage durch die Einführung von IBM® QRadar® für seine Integrations- und Erkennungsfunktionen und IBM BigFix für die Erkennung und Verwaltung von Endpunkten verbessern konnte.