Angesichts zunehmender Cyberangriffe sind Investitionen in Schutzmaßnahmen für Unternehmen weiterhin unumgänglich. Cyberkriminelle agieren immer raffinierter und gezielter, worauf Unternehmen oft nicht vorbereitet sind. Als führender Anbieter von Cybersicherheitslösungen hat Cisco das Threat Hunting in seine Angebotspalette aufgenommen. So können Kunden Angriffe aufhalten, bevor sie sich auswirken. Dank der Unterstützung durch Cisco werden Cyberbedrohungen proaktiv verfolgt, entdeckt und gestoppt.
Die herkömmliche Taktik für Cybersicherheit ist reaktiv: Unternehmen warten, bis schädliche Aktivitäten erkennbar werden.
Endpoint Protection Platform (EPP) und Endpoint Detection and Response (EDR) sind zwar effektiver, als gar keine Cybersicherheitsmaßnahmen zu treffen, decken Cyberangriffe jedoch möglicherweise erst auf, wenn diese schon nicht mehr aufzuhalten sind. Aus diesem Grund sind reine Schutzmaßnahmen als Sicherheitsstrategie nicht mehr nachhaltig.
Threat Hunting ist ein neuer Sicherheitsansatz: Unternehmen schützen sich, indem sie Cyberkriminelle abwehren, bevor ein Schaden entsteht.
Threat Hunter entwickeln auf Grundlage verschiedener Variablen eine Hypothese, die sie dann in Kombination mit zuvor katalogisierten Informationen in einem reproduzierbaren Prozess nutzen, um bisher unentdeckte Anzeichen für eine Sicherheitsverletzung zu finden.
Threat Hunting soll die bisherigen Cybersicherheitstaktiken nicht ersetzen, sondern ergänzen. Es verstärkt die bereits vorhandenen Maßnahmen.
Herkömmliche Cybersicherheit im Vergleich mit Threat Hunting
Ältere Sicherheitstools können komplexere Bedrohungen nicht abwehren.
Raffinierte Angreifer sind nur sehr schwer zu entdecken.
Selbst künstliche Intelligenz und Machine Learning erkennen nicht alle Angriffe.
Threat Hunting-Analysten arbeiten mit einer auf Hypothesen basierenden Methode.
Zuerst ermitteln sie Techniken und stützen sich dabei beispielsweise auf MITRE, Beobachtungen aus der Incident Response oder Forschungsergebnisse. Als Nächstes formulieren sie einen Plan und legen einen Umfang fest. Die Analysten setzen dann den Aktionsplan um und gewinnen Daten. Auf Grundlage dieser Daten führen sie automatisierte Analysen durch. Zum Schluss bestätigen oder korrigieren sie die Hypothese und wiederholen den Prozess.
Unübliches Verhalten oder schädliche Aktivitäten werden an ein internes Sicherheitsteam gemeldet, das dann Gegenmaßnahmen ergreifen kann.
Untersuchung durch fortschrittliche Analysen und Machine Learning:
Die Threat Hunter kombinieren aussagekräftige Daten und Machine Learning, um enorme Informationsmengen auszuwerten. So können sie Unregelmäßigkeiten aufdecken, die auf mögliche Angriffe hindeuten.
Untersuchung auf Grundlage bekannter IOCs oder IOAs:
Mithilfe taktischer Threat-Intelligence katalogisieren die Threat Hunter bekannte Indicators of Compromise (IOCs) und Indicators of Attack (IOAs) im Zusammenhang mit neuen Bedrohungen. Ein Beispiel für einen solchen Katalog ist MITRE ATT&CK™. Dieser wird dann zum Entdecken schädlicher Angriffe oder verborgener Aktivitäten herangezogen.
Untersuchung auf Basis von Hypothesen:
Wenn in einem großen Pool an per Crowdsourcing gewonnenen Angriffsdaten eine neue Bedrohung gefunden wurde, versuchen die Threat Hunter zu ermitteln, ob sich das spezielle Verhalten des entsprechenden Angreifers auch in ihrer eigenen Umgebung zeigt.
Effektives Threat Hunting ist keine einmalige oder im luftleeren Raum stattfindende Aktion.
Es erfolgt kontinuierlich, proaktiv und auf der Grundlage robuster Intelligence, die mithilfe von Analysefunktionen gewonnen wird. Dieser Prozess kann komplex und zeitaufwendig sein. MITRE sammelt seit 2013 Daten, um Threat Huntern aussagekräftige Informationen für das Cybersicherheitsprogramm ihres Unternehmens liefern zu können. MITRE hat auch ATT&CK™ (Adversarial Tactics, Techniques & Common Knowledge) entwickelt, ein auf empirischen Methoden basierendes Framework, das die Erfassung, Interpretation und Freigabe von Informationen über Cyberkriminelle erleichtern soll.
ATT&CK bietet klare, strukturierte Anhaltspunkte, mit denen Unternehmen nachvollziehen können, wie Angreifer vorgehen. Auf Grundlage dieser Informationen über Angreifergruppen können Threat Hunter Intelligence analysieren, um Angriffe zu erkennen und zu bekämpfen. Außerdem entwickeln sie so ein bedrohungsorientiertes Verständnis der Schwachstellen des Unternehmens, die dann entsprechend beseitigt werden können.
Aufkommen an Sicherheitsverletzungen, gemessen an der Anzahl der erkannten Vorfälle
54,2 %
28,3 %
Angriffsfläche/geschützte Netzwerke und Endpunkte
48,3 %
47,5 %
Zeit bis zum Ausbruch (Zeit zwischen dem Angriff und der lateralen Verbreitung)
44,2 %
30,8 %
Verweildauer (Zeit von der Infektion bis zur Erkennung)
45,0 %
40,0 %
Erkennung von Exfiltration (d. h. Daten, die aus dem Unternehmen entwendet werden)
31,7 %
Häufigkeit/Anzahl der Malware-Infektionen
45,8 %
37,5 %
In Korrekturmaßnahmen investierte Ressourcen (z. B. interne Mitarbeiter:innen, Ausgaben)
49,2 %
25,8 %
Zeit bis zur Eindämmung (Erkennung und Verhinderung der Ausbreitung oder lateralen Verbreitung)
55,8 %
32,5 %
Unternehmen finden nur schwer kompetente Threat Hunter. Weitere Herausforderungen sind die begrenzten Funktionen sowie die Legacy-Infrastruktur und -Architektur.
Jeden Tag gehen unzählige Warnungen ein. Es ist keine leichte Aufgabe, die Untersuchung zu priorisieren. Hinzu kommt, dass die Quelle einer Bedrohung oft nur schwer zu finden ist.
Es ist schwierig, Threat-Intelligence effektiv zu nutzen. Oft sind die Quellen unzuverlässig und veraltet.
Unternehmen haben Schwierigkeiten, zu ermitteln, welche Ziele Angreifer ansteuern und wie IP-Adressen, ASNs und Malware zusammenhängen.
Wenn Unternehmen Threat Hunting-Methoden neu einführen, beginnen sie üblicherweise mit den einfachen IOC-Hunts und müssen sich mit der Zeit zu höheren Ebenen vorarbeiten.
