pixel_dreams - Fotolia
Threat Hunting: Neue Bedrohungen automatisiert aufspüren
Eine proaktive Suche nach Bedrohungen ist für Unternehmen sinnvoll. Dafür sollten die Jäger schnellen Zugriff auf aktuelle und relevante Informationen über Cyberbedrohungen haben.
In der aktuellen Umfrage Threat Hunting Survey Results 2020 des SANS Institutes geben 43 Prozent der Befragten an, dass Threat-Hunting-Teams automatisierte Lösungen für die Bedrohungsjagd verwenden.
Das ist also immer noch weniger als die Hälfte. Immerhin sehen mehr als die Hälfte (52 Prozent) einen Mehrwert in der Suche nach unbekannten Bedrohungen. Ein weiterer Lichtblick ist der positive Anstieg bei den Hunting Teams, die Taktiken, Tools und Verfahren zur Verfolgung von Bedrohungsakteuren einsetzen. Es verwenden aber lediglich 47 Prozent eine Threat-Intelligence-Plattform von Drittanbietern.
Das Problem ist, dass fast die Hälfte (45 Prozent) der Befragten einen Ad-hoc-Hunting-Prozess betreiben. Das macht es schwieriger, dedizierte Ressourcen, sprich Mitarbeiter und Budgets, für die Bedrohungsjagd einzuplanen und führt zu weniger konsistenten Ergebnissen.
Außerdem misst die Mehrheit der Befragten den Erfolg von Threat Hunting auf Ad-hoc-Basis, was es noch problematischer macht, Zahlen zu erhalten, die den Einsatz einer ausreichenden Anzahl von dedizierten Threat Huntern und etwaiger Plattformen rechtfertigen.
Die Bedrohungsjagd wird professioneller
Immerhin 37 Prozent der Befragten geben an, ein formelles Programm und eine Methodik mit zugewiesenen Mitarbeitern für das Threat Hunting zu haben. Dies kann als massiver Fortschritt für die Bedrohungsjagd als festen Bestandteil der Sicherheitsmaßnahmen vieler Unternehmen betrachtet werden.
Denn letztlich kann eine Zunahme professioneller Threat Hunting-Teams viele Aspekte der organisatorischen Sicherheit und den Markt für Sicherheitsprodukte erheblich beeinflussen. Einige dieser Aspekte sind die Verbesserung der Erkennung durch Rückmeldung an das SOC (Security Operations Center) von erfahrenen Threat-Hunting-Teams.
Sie können Kaufentscheidungen beeinflussen, was die Anbieter von Tools und Intelligence dazu bringt, weniger Vaporware (unfertige Software) zu verkaufen. Und sie unterstützen SOCs bei der Identifizierung von gefährlichen Sichtbarkeitslücken und vermeidbaren Erkennungslücken. Darüber hinaus entdecken sie Schwachstellen, auch wenn das nicht das primäre Ziel der Hunting-Teams ist.
60 Prozent der Befragten geben an, dass sie sich auf Threat Hunting vorbereiten, indem sie externe Anreicherungsquellen für SOC- und Alarmsysteme bereitstellen. Mit 40 Prozent der Befragten, die ihre Jagdfunktionen in eine zentrale Plattform für Hunter und Responder integrieren, zeigen die Ergebnisse, wie eng SOC und Bedrohungsjäger miteinander verbunden sind, obwohl sie zwei unterschiedliche Einheiten darstellen.
Das dritte aktuelle Mittel zur Vorbereitung (39 Prozent) besteht darin, zunächst eine einfach zu navigierende Netzwerk- und Systemtopografie zu entwickeln. Diese unterstützt das SOC, die Threat Hunting-Teams und letztlich auch die Incident Responder und vermittelt ihnen ein kontextbezogenes Bewusstsein. Eine der größten Herausforderungen bei der Untersuchung von Sicherheitsverletzungen ist es, sich einen Überblick über die Netzwerke und Assets zu verschaffen.
Wenn diese Informationen bereits in einer schnell verwertbaren Form vorliegen, ist das ein guter Anfang. Ein Drittel der Befragten (33 Prozent) bereitet sich vor, indem sie Übungen zur Bedrohungsemulation durchführen. Das bringt den Befragten zwar nicht sofort eine Lösung für ihre Tooling- und Sichtbarkeitsprobleme, kann aber wichtige Punkte für Verbesserungen aufzeigen.
Threat Intelligence ist eine Frage der Plattform und der Quellen
Threat Intelligence-Plattformen von Drittanbietern unterstützen in der Regel die Bemühungen, eine Hypothese zu generieren. Open-Source-Tools zur Bedrohungsjagd wie SIFT, SOF-ELK, Plaso und andere, werden von 45 Prozent der Befragten verwendet. Diese Zahlen deuten darauf hin, dass die Unternehmen entweder mit dem zufrieden sind, was sie bereits nutzen, oder dass die Anbieter derzeit keine darüber hinausgehenden Tools liefern, die einen ausreichenden Mehrwert für die Unternehmen bieten.
„Für Threat Hunter ist es unerlässlich, schnellen Zugriff auf aktuelle und relevante Informationen über Cyberbedrohungen zu haben.“
Markus Auer, ThreatQuotient
Zusätzlich zu den Tools, die Unternehmen einsetzen, wurde in der Umfrage untersucht, nach welchen Daten Threat Hunter eigentlich suchen und wie einfach sie diese beschaffen können.
Threat-Hunting-Teams arbeiten hauptsächlich mit Endpunktdaten, wie Endpunktsicherheitsdaten und Endpunktprozessaktivitäten. Sie scheinen auch in der Lage zu sein, diese Datensätze schnell zu beschaffen.
Eine der größten Hürden stellt das Sammeln von und der Zugriff auf vollständige Packet Captures (PCAPs) dar: 26 Prozent geben an, dass sie diese Datensätze benötigen, aber nicht in der Lage sind, sie zu erhalten. Vollständige PCAPs sind zwar bei Untersuchungen und der Suche nach Bedrohungen nützlich, aber es handelt sich dabei um große Datenmengen, die komplex zu handhaben und zu durchsuchen sind.
Das Verhältnis zwischen Daten und potenziellen Erkenntnissen ist schlechter als bei sorgfältig gesammelten Endpunktdaten. Knapp die Hälfte (48 Prozent) gibt an, dass sie traditionelle Dateispeicher zur Speicherung verwenden, zum Beispiel Tabellenkalkulationen, PDFs, Textdateien und andere ungeordnete Dateitypen. Das ist nicht überraschend, wenn man bedenkt, dass Bedrohungsdaten schon seit vielen Jahren auf diese Weise gespeichert und ausgetauscht werden.
Fazit
Für Threat Hunter ist es unerlässlich, schnellen Zugriff auf aktuelle und relevante Informationen über Cyberbedrohungen zu haben. Hierfür muss taktische, operationale und strategische Threat Intelligence an einem zentralen Ort bereitgestellt und langfristig gespeichert werden. Es ist daher beruhigend zu sehen, dass ein großer Teil der Unternehmen entweder eine kommerzielle, eine Open-Source- oder eine intern entwickelte Threat-Intelligence-Plattform verwendet.
Dies ist insgesamt eine positive Entwicklung des Threat Huntings. Hatten wir in den vergangenen Jahren noch ein Akzeptanzproblem, scheint sich langsam durchsetzen, dass eine proaktive Suche nach Bedrohungen sinnvoll und für die jeweilige Organisation wertvoll ist. Doch es ist noch ein langer Weg.
Der Dreiklang aus Taktiken, Tools und Prozessen (TTPs) wird ohne die richtigen Fachleute und ohne eine Threat-Intelligence-Plattform, die eine Integration und Analyse verschiedenster Quellen und Datenformen ermöglicht, nicht von Erfolg gekrönt sein.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.