Was ist die Thread Hunting?

Threat Hunting hilft Unternehmen, Angriffe zu vermeiden, indem das Verhalten von Angreifern analysiert und potenzielle Bedrohungen identifiziert werden.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Thread Hunting definieren
  • Vergleich gängiger Thread-Hunting-Modelle
  • Unterschied zwischen Thread Hunting und Thread Intelligence (Bedrohungsdaten)

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was ist die Thread Hunting?

Threat Hunting ist die Bedrohungssuche und ein Oberbegriff für die Techniken und Tools, die Unternehmen zur Identifizierung von Cyber-Bedrohungen einsetzen. Während das traditionelle Thread Hunting ein manueller Untersuchungsprozess war, der sich auf das Fachwissen eines Sicherheitsanalysten und nicht auf automatisierte Tools stützte, beruht das moderne Thread Hunting auf einer Kombination aus beidem.

Häufig bezieht sich der Begriff „Thead Hunting“ auf proaktive Bedrohungserkennung, bei der Unternehmen ihr Netzwerk präventiv auf Anzeichen interner böswilliger Aktivitäten oder die Infrastruktur von Angreifern außerhalb des Netzwerks untersuchen. Seltener bezeichnet der Begriff auch die reaktive Erkennung von Bedrohungen. Dabei untersuchen Unternehmen ihre eigene Infrastruktur auf Schwachstellen nach einer Datenschutzverletzung oder einem ähnlichen Angriff.

Was ist ein Indicator of Attack (IoA)?

Beim Thread Hunting suchen Unternehmen nach Indikatoren für den Angriff, auch Indicators of Attack (IoA)*. Daran ermitteln sie die Absichten und das Verhalten potenzieller Angreifer. Ein IoA ist eine Aktion oder eine Reihe von Aktionen, die ein Angreifer durchführen muss, um den Angriff erfolgreich abzuschließen. Unter anderem könnte er ein Ziel dazu bringen, eine Phishing-E-Mail zu öffnen, auf einen böswilligen Link zu klicken oder Schadsoftware herunterzuladen. Das Verständnis der spezifischen Taktiken und Verfahren eines Angreifers hilft Unternehmen bei der Entwicklung einer proaktiveren Bedrohungsabwehr.

Ein Kompromittierungsindikator (Indicator of Compromise, IoC) ist ein Hinweis auf böswillige Aktivitäten: Anomalien im Netzwerk-Traffic, verdächtige Anmeldungen, unerwartete Aktualisierungen von Konten oder Dateien auf Administratorenebene oder andere Anzeichen für einen Angriff. IoCs sind nützliche Komponenten reaktiver Thread-Hunting-Prozesse, da sie in der Regel darauf hinweisen, dass ein Unternehmen bereits kompromittiert wurde.

*Dies nennt man auch die Taktiken, Techniken und Verfahren (TTPs) eines Angreifers.

Wie funktioniert Thread Hunting?

Die Thread-Hunting-Verfahren variieren je nach den Bedürfnissen eines Unternehmens und den Fähigkeiten seines Sicherheitsteams. Sie lassen sich aber in der Regel in eine der folgenden drei Kategorien einordnen: strukturierte Jagd, unstrukturierte Jagd oder situationsbezogene Jagd.

  1. Die strukturierte Jagd identifiziert und analysiert spezifische Verhaltensweisen und Taktiken von Angreifern, oder die IoA. Dabei verwendet man ein ein hypothesenbasiertes Jagdmodell, bei dem eine Hypothese gemäß einem Threat Hunting Playbook erstellt wird (z. B. das MITRE ATT&CK Framework). Das Hauptziel einer strukturierten Jagd ist es, das Verhalten von Angreifern proaktiv zu ermitteln, bevor ein Angriff auf ein Unternehmen erfolgt.
  2. Die unstrukturierte Jagd wird durch die Entdeckung eines IoC ausgelöst, also mit einem Beweis für böswillige Aktivitäten, die auf einen kürzlichen oder vergangenen Angriff hinweisen, bei dem ein Teil des Unternehmens kompromittiert wurde. Eine unstrukturierte Jagd verwendet ein reaktives, informationsbasiertes Thread-Hunting-Modell, das IP-Adressen, Domainnamen, Hash-Werte und andere von Plattformen für den Informationsaustausch bereitgestellte Daten untersucht. Ihr Hauptziel ist es, die vorhandenen Schwachstellen in der Infrastruktur und den Systemen eines Unternehmens zu untersuchen.
  3. Situationsbezogene Jagd, auch Entity-driven Hunting genannt, konzentriert sich auf bestimmte Systeme, Assets, Konten oder Daten, die einem Risiko der Kompromittierung ausgesetzt sind. So ist ein Konto mit Administratorrechten einem höheren Risiko eines Cyberangriffs ausgesetzt als ein Konto mit weniger Rechten, da das erstgenannte Konto Zugang zu sensibleren Daten und Systemen haben könnte. Bei einer situativen Suche wird ein benutzerdefiniertes Thread-Hunting-Modell verwendet, das auf die Bedürfnisse eines Unternehmens zugeschnitten werden kann. Schließlich besteht sein Hautziel darin, hochgefährdete Ziele zu sichern und zu mögliche Bedrohungen zu verstehen, anstatt IoAs oder IoCs im gesamten Unternehmen zu untersuchen.

Veranschaulichen wir den Unterschied zwischen diesen Verfahren mit einem Beispiel. Stellen Sie sich vor, dass Bob Vögel identifizieren möchte und dafür drei verschiedenen Vogelbeobachtungstechniken nutzt. Eine Methode erfordert viel Planung: die Analyse der Zugmuster eines Vogels, seiner Paarungsrituale, seiner Fütterungszeiten sowie die Analyse weiteren Verhaltensfaktoren anhand derer, er den Ort und den Zeitpunkt eingrenzen kann, an dem der Vogel wahrscheinlich gesichtet wird. Dies ist vergleichbar mit der strukturierten Jagd, bei der es darum geht, die bekannten Taktiken und Verhaltensweisen eines Angreifers aufzudecken.

Bei der anderen Methode geht Bob in den Wald und sucht nach Nestern, Kot oder anderen physischen Beweisen für die Anwesenheit eines Vogels. Diese Vorgehensweise ist vergleichbar mit der unstrukturierten Suche, die oft bei der Entdeckung eines IoCs ausgelöst wird.

Bei einer dritten Methode möchte Bob vorrangig nach gefährdeten Vögeln suchen und dann seine Vorgehensweise auf den zu identifizierenden Vogel abstimmen. Dies ist vergleichbar mit der situationsbezogenen Jagt. Dabei wird eine maßgeschneiderte Strategie eingesetzt, um Bedrohungen für hochgefährdete Ziele zu erkennen.

Arten von Thread-Hunting-Tools

Beim herkömmlichen Thread Hunting untersucht die Sicherheitsanalyse das Netzwerk, die Infrastruktur und die Systeme eines Unternehmens manuell. Sie erstellt und testet dann Hypothesen, um externe und interne Bedrohungen (z. B. Datenschutzverletzung oder böswillige Laterale Bewegung) zu erkennen.

Beim modernen Thread Hunting wird der Ermittlungsprozess mit Cybersicherheits-Tools automatisiert und zu rationalisiert. Zu den häufigsten Tools gehören die folgenden:

  • Security Information and Event Management (SIEM) ist eine Sicherheitslösung. Sie ermöglicht u. a. die Aggregation von Protokolldaten, die Überwachung von Alarmen, die Analyse von Sicherheitsvorfällen und die Erstellung von Compliance-Berichten.
  • Managed Detection and Response (MDR) ist eine Art verwaltetes Security Operations Center (SOC). Es verfolgt Netzwerkaktivitäten, erstellt Warnmeldungen, untersucht potenzielle Bedrohungen, entfernt falsch-positive Warnmeldungen, bietet erweiterte Analytics an und hilft bei der Behebung von Sicherheitsvorfällen.
  • User and Entity Behavior Analytics (UEBA) ist ein Sicherheitsservice. Er sammelt Benutzer- und Endpunktdaten, erstellt eine Basislinie für normales Verhalten und erkennt und analysiert Anomalien in den Systemen eines Unternehmens.

Thread Hunting vs. Threat Intelligence

Beim „Threat Hunting“ geht es um die Ermittlung und Analyse des Angreiferverhaltens sowie die Ermittlung und Analyse von Hinweisen auf Cyberangriffe oder andere potenzielle Bedrohungen für ein Unternehmen. Thread Huntings deckt nicht nur Schwachstellen in der Infrastruktur eines Unternehmens auf, sondern erkennt auch Bedrohungen und Angriffe, die noch nicht ausgeführt wurden.

Im Gegensatz dazu ist die Threat Intelligence, also die Bedrohungsdaten, eine Reihe von Daten über Cyberangriffe. Das umfasst sowohl potenzielle Bedrohungen als auch bereits erfolgte Angriffe. Häufig werden diese Daten in einem „Threat Intelligence Feed“ zusammengefasst. Diesen Feed können Unternehmen zur Aktualisierung ihrer Thread-Hunting-Prozesse und Sicherheitsverfahren nutzen.

Kurz gesagt: Thread Hunting ähnelt der Untersuchung eines Tatorts, Threat Intelligence (Bedrohungsdaten) sind die am Tatort gesammelten Beweise.

Wenn Sie mehr über die Kategorien und den Zweck von Bedrohungsdaten erfahren möchten, lesen Sie Was sind Bedrohungsdaten?

Bietet Cloudflare Dienste für das Thread Hunting an?

Das Cloudflare Security Center bietet Funktionen zur Untersuchung von Bedrohungen. Sie unterstützen die Sicherheitsteams bei der Identifizierung, Verfolgung und Entschärfung potenzieller Angriffe über eine einzige, einheitliche Schnittstelle. Innerhalb des Portals zur Untersuchung von Bedrohungen können Benutzer bestimmte IP-Adressen, Hostnamen und autonome Systeme (AS) abfragen, um den Ursprung neuer Bedrohungen zu ermitteln.

Erfahren Sie mehr über das Cloudflare Security Center.