Threat Hunting als „Geheimwaffe“ der Cybersecurity

Threat Hunting als „Geheimwaffe“ der Cybersecurity

Aktion statt Reaktion: Mit Threat Hunting ist Cybersecurity der Bedrohung den entscheidenden Schritt voraus.

Unternehmen stehen in der Cybersecurity unter Dauerbeschuss. Die größte Gefahr sind unbekannte Bedrohungen, die lange unentdeckt bleiben.

Zusammenfassung (TL; DR):

  • Da konventionelle IT-Sicherheitslösungen oft blind für schlummernde Cyberangriffe sind, dauert deren Entdeckung im Schnitt 200 Tage.
  • Proaktives Threat Hunting setzt auf die Erfahrung von Experten, die hypothesenbasiert nach versteckten Anomalien suchen.
  • Die Kombination aus automatisierter SIEM-Analyse und manuellem Threat Hunting schafft eine effektive Feedbackschleife. Diese stärkt die digitale Resilienz von Unternehmen nachhaltig.

Statistisch gesehen wird jedes deutsche Unternehmen mehr als 190-mal pro Woche Opfer eines Cyberangriffs. Auch wenn diese Zahl alleine bereits dramatisch klingen mag, kennzeichnet sie doch nur die sprichwörtliche Spitze des Eisbergs. Denn das ist nur die Zahl der „sichtbaren“, von Systemen erkannten Angriffe. Experten schätzen die Dunkelziffer von Experten auf etwa denselben Wert geschätzt: mindestens die Hälfte aller Angriffe bleibt unerkannt. Die Strategie der Täter ist nachvollziehbar: Sie besitzen das technische Know-how und die Ressourcen, um unbemerkt in Systeme einzudringen. Dabei überwinden sie konventionelle Sicherheitssysteme wie Firewalls und Antivirenprogramme und nisten sich buchstäblich im System ein. Der eigentliche Angriff auf das Systemerfolgt dann meist erst später, auf Grundlage unbemerkt platzierter Malware. Das kann destruktiv sein, um das Opfer zum Beispiel durch Sabotage zu schädigen, um Daten abzuschöpfen, im Rahmen von Industriespionage, Datenmissbrauch oder als Grundlage für Cyber-Erpressung,

Konventionelle IT-Sicherheit gerät immer öfter an Grenzen

Sind Firewall und Virenscanner einmal überwunden, haben Angreifer in vielen Unternehmen freie Bahn. Tatsächlich dauert es im Durchschnitt ganze 200 Tage, bis ein Unternehmen einen professionell durchgeführter Angriff erkennt. Der Schaden, der in diesem Zeitraum entstehen kann, ist nachvollziehbar immens. Trotzdem setzt Unternehmens-IT weiterhin verbreitet vor allen Dingen auf klassische Security-Ansätze. Diese sind meist Firewalls und Antiviren-Software sowie Intrusion Detection/Prevention Systems (IDS/IPS), Endpoint Protection, Zugangskontrolle und Patch Management.

Auch wenn dies unverzichtbare Elemente einer Sicherheitsstrategie sind, arbeiten sie doch rein reaktiv, meist isoliert und sind leider oft blind für komplexe Angriffe. Einen Schritt weiter geht der analytische Ansatz des Security Information and Event Management (SIEM). Hierbei werden Daten von verschiedenen Geräten und Anwendungen gesammelt, normalisiert, Muster festgelegt und die Daten in Echtzeit analysiert, um Auffälligkeiten zu entdecken. SIEM-Ansätze liefern bereits eine ganzheitliche Sicht und erkennen auch unbekannte Bedrohungen durch Veränderungen in den festgelegten „normalen“ Mustern. Die Kombination aus klassische IT-Security und SIEM bietet grundlegenden Schutz gegen Cyberangriffe wie Phishing, Ransomware oder DDoS. Umfassenden Schutz liefern sie als reaktive Methoden jedoch nicht.

Threat Hunting: Fallen schlagen zu, Jäger spüren auf

Threat Hunting sucht proaktiv nach versteckten und unbekannten Bedrohungen, die von automatisierten Systemen wie SIEM nicht erkannt werden.

Als manuelle Methode arbeitet Threat Hunting hypothesenbasiert: Sicherheitsexperten, nach der Methode als Threat Hunter benannt, stellen Annahmen zu potenziellen Angriffen auf ein System auf und suchen gezielt nach Indikatoren, die eine solche Hypothese unter-mauern würden. Threat Hunting nutzt zwar auch Tools, wie zum Beispiel Endpoint Detection and Response (EDR) oder Netzwerk-Traffic-Analyse, setzt aber vor allen Dingen auf Kreativität und Erfahrung, um ungewöhnliche Muster zu erkennen. Dabei wird nicht, wie beim SIEM, mit vordefinierten Regeln gearbeitet. Die Threat Hunter suchen stattdessen nach Anomalien, die auf eine Kompromittierung hindeuten könnten. Die Zielsetzung lautet dabei, unbekannte oder schlummernde Bedrohungen wie zum Beispiel Zero-Day-Exploits oder persistente Angreifer aufzuspüren, bevor sie weiteren Schaden verursachen können.

Optimale Ergebnisse erzielen Strategien, die SIEM und Threat Hunting gezielt kombinieren: SIEM liefert in diesem Fall die Rohdaten und filtert offensichtliche Bedrohungen und schafft so die Basis für den analytischen Ansatz des Threat Huntings. Dieses nutzt die Daten, um tiefgehende Analysen durchzuführen und Angriffe aufzuspüren, die als Blind Spots vom SIEM nicht erkannt wurden. Die so im Threat Hunting gewonnenen Erkenntnisse lassen sich nutzen, um Signaturen im SIEM zu optimieren und IT-Systeme besser abzusichern. Es entsteht eine Feedbackschleife, die sukzessive Resilienz aufbaut, vor unbekannten Bedrohungen schützt und die Schutzwirkung der automatisierten Systeme ausbaut.

Autor

Weitere Inhalte zum Thema

Logo Newsletter IT-Sicherheit

Nichts mehr verpassen!

Mit Klick auf „Newsletter anmelden“ erhalten Sie unseren Newsletter. Die Anmeldung wird erst aktiv, nachdem Sie den Bestätigungslink in der E-Mail angeklickt haben. Datenschutzerklärung

Das könnte Sie auch interessieren