Threat Hunting hilft Unternehmen, Angriffe zu vermeiden, indem das Verhalten von Angreifern analysiert und potenzielle Bedrohungen identifiziert werden.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Bedrohungsdaten
Defense in Depth
Angriffsvektor
Security Operations Center (SOC)
OWASP API-Sicherheit Top 10
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Threat Hunting ist die Bedrohungssuche und ein Oberbegriff für die Techniken und Tools, die Unternehmen zur Identifizierung von Cyber-Bedrohungen einsetzen. Während das traditionelle Thread Hunting ein manueller Untersuchungsprozess war, der sich auf das Fachwissen eines Sicherheitsanalysten und nicht auf automatisierte Tools stützte, beruht das moderne Thread Hunting auf einer Kombination aus beidem.
Häufig bezieht sich der Begriff „Thead Hunting“ auf proaktive Bedrohungserkennung, bei der Unternehmen ihr Netzwerk präventiv auf Anzeichen interner böswilliger Aktivitäten oder die Infrastruktur von Angreifern außerhalb des Netzwerks untersuchen. Seltener bezeichnet der Begriff auch die reaktive Erkennung von Bedrohungen. Dabei untersuchen Unternehmen ihre eigene Infrastruktur auf Schwachstellen nach einer Datenschutzverletzung oder einem ähnlichen Angriff.
Beim Thread Hunting suchen Unternehmen nach Indikatoren für den Angriff, auch Indicators of Attack (IoA)*. Daran ermitteln sie die Absichten und das Verhalten potenzieller Angreifer. Ein IoA ist eine Aktion oder eine Reihe von Aktionen, die ein Angreifer durchführen muss, um den Angriff erfolgreich abzuschließen. Unter anderem könnte er ein Ziel dazu bringen, eine Phishing-E-Mail zu öffnen, auf einen böswilligen Link zu klicken oder Schadsoftware herunterzuladen. Das Verständnis der spezifischen Taktiken und Verfahren eines Angreifers hilft Unternehmen bei der Entwicklung einer proaktiveren Bedrohungsabwehr.
Ein Kompromittierungsindikator (Indicator of Compromise, IoC) ist ein Hinweis auf böswillige Aktivitäten: Anomalien im Netzwerk-Traffic, verdächtige Anmeldungen, unerwartete Aktualisierungen von Konten oder Dateien auf Administratorenebene oder andere Anzeichen für einen Angriff. IoCs sind nützliche Komponenten reaktiver Thread-Hunting-Prozesse, da sie in der Regel darauf hinweisen, dass ein Unternehmen bereits kompromittiert wurde.
*Dies nennt man auch die Taktiken, Techniken und Verfahren (TTPs) eines Angreifers.
Die Thread-Hunting-Verfahren variieren je nach den Bedürfnissen eines Unternehmens und den Fähigkeiten seines Sicherheitsteams. Sie lassen sich aber in der Regel in eine der folgenden drei Kategorien einordnen: strukturierte Jagd, unstrukturierte Jagd oder situationsbezogene Jagd.
Veranschaulichen wir den Unterschied zwischen diesen Verfahren mit einem Beispiel. Stellen Sie sich vor, dass Bob Vögel identifizieren möchte und dafür drei verschiedenen Vogelbeobachtungstechniken nutzt. Eine Methode erfordert viel Planung: die Analyse der Zugmuster eines Vogels, seiner Paarungsrituale, seiner Fütterungszeiten sowie die Analyse weiteren Verhaltensfaktoren anhand derer, er den Ort und den Zeitpunkt eingrenzen kann, an dem der Vogel wahrscheinlich gesichtet wird. Dies ist vergleichbar mit der strukturierten Jagd, bei der es darum geht, die bekannten Taktiken und Verhaltensweisen eines Angreifers aufzudecken.
Bei der anderen Methode geht Bob in den Wald und sucht nach Nestern, Kot oder anderen physischen Beweisen für die Anwesenheit eines Vogels. Diese Vorgehensweise ist vergleichbar mit der unstrukturierten Suche, die oft bei der Entdeckung eines IoCs ausgelöst wird.
Bei einer dritten Methode möchte Bob vorrangig nach gefährdeten Vögeln suchen und dann seine Vorgehensweise auf den zu identifizierenden Vogel abstimmen. Dies ist vergleichbar mit der situationsbezogenen Jagt. Dabei wird eine maßgeschneiderte Strategie eingesetzt, um Bedrohungen für hochgefährdete Ziele zu erkennen.
Beim herkömmlichen Thread Hunting untersucht die Sicherheitsanalyse das Netzwerk, die Infrastruktur und die Systeme eines Unternehmens manuell. Sie erstellt und testet dann Hypothesen, um externe und interne Bedrohungen (z. B. Datenschutzverletzung oder böswillige Laterale Bewegung) zu erkennen.
Beim modernen Thread Hunting wird der Ermittlungsprozess mit Cybersicherheits-Tools automatisiert und zu rationalisiert. Zu den häufigsten Tools gehören die folgenden:
Beim „Threat Hunting“ geht es um die Ermittlung und Analyse des Angreiferverhaltens sowie die Ermittlung und Analyse von Hinweisen auf Cyberangriffe oder andere potenzielle Bedrohungen für ein Unternehmen. Thread Huntings deckt nicht nur Schwachstellen in der Infrastruktur eines Unternehmens auf, sondern erkennt auch Bedrohungen und Angriffe, die noch nicht ausgeführt wurden.
Im Gegensatz dazu ist die Threat Intelligence, also die Bedrohungsdaten, eine Reihe von Daten über Cyberangriffe. Das umfasst sowohl potenzielle Bedrohungen als auch bereits erfolgte Angriffe. Häufig werden diese Daten in einem „Threat Intelligence Feed“ zusammengefasst. Diesen Feed können Unternehmen zur Aktualisierung ihrer Thread-Hunting-Prozesse und Sicherheitsverfahren nutzen.
Kurz gesagt: Thread Hunting ähnelt der Untersuchung eines Tatorts, Threat Intelligence (Bedrohungsdaten) sind die am Tatort gesammelten Beweise.
Wenn Sie mehr über die Kategorien und den Zweck von Bedrohungsdaten erfahren möchten, lesen Sie Was sind Bedrohungsdaten?
Das Cloudflare Security Center bietet Funktionen zur Untersuchung von Bedrohungen. Sie unterstützen die Sicherheitsteams bei der Identifizierung, Verfolgung und Entschärfung potenzieller Angriffe über eine einzige, einheitliche Schnittstelle. Innerhalb des Portals zur Untersuchung von Bedrohungen können Benutzer bestimmte IP-Adressen, Hostnamen und autonome Systeme (AS) abfragen, um den Ursprung neuer Bedrohungen zu ermitteln.
Erfahren Sie mehr über das Cloudflare Security Center.