Home » Fachbeiträge » Security Management » Threat Hunting als Geheimwaffe der Cybersicherheit

Jagen statt gejagt werden: Threat Hunting als Geheimwaffe der Cybersicherheit

Einige CISOs und CEOs haben das Thema Threat Hunting noch nicht auf dem Schirm. Sollten sie aber, denn die Ergebnisse aus Jagd und Forschung sind die Fundamente, auf die Verteidigungssoftware wie EDR, XDR oder SIEM setzen. Nur die permanente Jagd nach Anomalien im Netzwerk, Schwachstellen in Software und Lücken in der Verteidigung spürt aktuelle und zukünftige Angriffsvektoren auf. Threat Hunting stärkt den Schutz eines Unternehmens sinnvoll und fundamental.

5 Min. Lesezeit
Bedrohungsradius
Foto: ©AdobeStock/ArtemisDiana

Wenn es in der Cybersicherheit um Threat Hunting geht, gleiten die Gespräche oft in eine Welle von Fachbegriffen ab, wie Indicator of Attack (IoA), Indicators of Compromise (IoC) oder Tactics, Techniques and Procedures (TTP). Die Begriffe sind natürlich wichtig, sagen aber wenig über das Konzept aus, das hinter Threat Hunting steht und was diese Technik ausmacht.

Wer sind die Threat Hunter?

Nicht alle Threat Hunter haben die gleichen Aufgaben bei der Suche nach neuen Angriffswellen oder der Auswertung von Codes, Skripten sowie klassischen Daten- und Datenbankanalysen. Grob eingeteilt ergeben sich vier Gruppen, wobei die ersten drei mehr Daten liefern, die auch Threat Hunter in Unternehmen als nutzen:

  • Evangelisten: Diese Fachleute sind zwar keine direkten Threat Hunter, haben aber teils seit Jahrzehnten einen hervorragenden Überblick über die jeweils aktuelle IT-Bedrohungslandschaft und wissen, wie sie bereits ausgewertete Daten interpretieren müssen. Sie liefern wichtiges Datenmaterial, das zu Threat-Intelligence-Daten wird. Ein Beispiel
    dafür ist der Computersicherheits-Experte und Threat Hunter Mikko Hyppönen. Er hat schon Angreifer im Netz gejagt und deren Daten ausgewertet, als all diese Begriffe noch gar nicht definiert waren. Es lohnt sich, seine Auftritte und Vorträge zu verfolgen. Seine Vorhersagen, auch für viele Jahre in der Zukunft, treffen leider allzu oft zu, wie etwa sein frühes Zitat zum IoT: „if it’s smart, it’s vulnerable“.
  • Forscher: An vielen Universitäten forschen Expertenteams und betreiben Threat Hunting, indem sie untersuchen, was alles mit neuen Techniken möglich ist und welche Wege Angreifer aktuell nutzen und in Zukunft nutzen werden. Ganz vorn dabei sind hier etwa das amerikanische MIT CSAIL oder auch das Fraunhofer Institut SIT.
  • Heads: Einige Spezialisten wollen offiziell gar nicht bekannt sein, sondern stehen ausschließlich untereinander in Kontakt und tauschen sich aus.
  • Security-Operations-(SecOps)-Experten: Diese größte Gruppe ist die eigentliche Säule des täglichen Threat Huntings. Sie profitieren von den Analysen der Evangelisten, Forscher und Heads. Diese Experten arbeiten in vielen SecOps-Abteilungen von Security-Herstellern und Dienstleistern, die Managed SOC als Service anbieten. Viele Detection-Systeme produzieren Datenströme mit Anomalien, die zuerst mit Machine Learning (ML) oder mit künstlicher Intelligenz (KI) ausgewertet werden. Der wichtige Rest, die eigentliche Threat Intelligence, dient dann zur Untersuchung und zum Threat Hunting. Durch die permanente Auswertung erkennen die Spezialisten Anfälligkeiten
    und geben diese als Erkennungsdaten weiter. Diese sorgen für die passende Abwehr von Exploits, klassifizieren Schwachstellen oder leiten Gegenmaßnahmen zu Angriffskampagnen ein.

Threat Intelligence – Die Quelle der Threat Hunter

Einfach übersetzt ist Threat Intelligence die Sammlung aller Informationen, die Threat Hunter zur Untersuchung von Anomalien nutzen. Fragt man den CTO und Threat Hunter Maik Morgenstern von AV-TEST, so ist klar „ohne gute Threat Intelligence aus verschiedenen Quellen und IT-Security-Tools kann Threat Hunting nicht funktionieren“.

Ein solcher Datenstrom kann sich aus vielen Teilen zusammensetzen. Arbeiten Threat Hunter zum Beispiel im SecOps eines Unternehmens, so nutzen sie alle Daten, die ihnen die lokalen Security-Tools zur Verfügung stellen. Das sind neben Netzwerkprotokollen und Strukturdaten zur IT-Infrastruktur besonders Daten einer Endpoint-Detection-and-Response-(EDR)-, Extended-Detection-and-Response-(XDR)- (mit Network Detection and Response (NDR)) oder Security-Information-and-Event-Management-(SIEM)-Lösung. Die Tools kennen die IT-Struktur und zeichnen alle Datenbewegungen im Netz auf, erkennen Abhängigkeiten von Software und deren Kommunikation im Netzwerk, vom Client-PC bis hin zur Cloud-Anwendung.

Meist prüfen Threat Hunter auffällige Vorgänge, Anomalien oder recherchieren nach Schwachstellen aufgrund von Hinweisen oder bereits veröffentlichten Sicherheitslücken. Bestenfalls sind diese bereits als Common Vulnerabilities and Exposures (CVE) in einer öffentlichen Datenbank beschrieben. Experte Maik Morgenstern von AV-TEST kennt hierzu ein praktisches Beispiel: „Ist etwa bekannt, dass eine aktuelle Malware-Kampagne nach einer Infizierung den Port 777 zur Kommunikation nutzt, so kann ein Threat Hunter auch Checks durchführen, ob sein Unternehmen vielleicht betroffen ist und so den Angriff verfolgen. Er kann aber auch Schaden abwenden, indem er dem Port intensiver überwachen lässt oder sogar präventiv sperrt.“

Erst Threat Hunter, dann Forensiker

Threat Hunter suchen unablässig im eigenen Netzwerk nach Anomalien oder anderen Auffälligkeiten. Dazu nutzen sie Threat Intelligence, das Wissen aus aktuellen Vorfällen, die woanders abgelaufen sind. Finden sie die gesuchten Vorgänge, ausgeführte Dateien und Zugänge, übergeben sie diese wichtigen Informationen meist an das Incident-Response-Team, welches den Angriff stoppt. Dabei helfen wieder EDR-, XDR- oder SIEM-Lösungen, da sich über diese schnell umfassende Netzwerkregeln und weitere Aktionen ausrollen lassen und die weitere Überwachung sicherstellen lässt. Erst wenn der Angriff und alle Zugriffe eingedämmt sind, kommen Forensiker zum Zug, da sie die besseren Analysten für gefährliche Skripte, Codes oder zum Angriff genutzte Malware sind.

Warum für CISOs und CTOs Threat Hunting wichtig ist

Insgesamt ist mithilfe von Threat Hunting ein besserer Überblick über die aktuelle Bedrohungslage im eignen Netzwerk möglich. Wird eine Gefahr oder ein Angriff ermittelt, geht es weiter mit dem Incident-Response-Team und abschließender Forensik.

Threat Hunter nutzen nicht nur vorhandene IT-Security-Analyse-Systeme, sie können darüber hinaus Systeme trainieren, Regeln implementieren und so Angriffsvektoren verkleinern. Darüber hinaus sind sie meist gut vernetzt und haben so auch tiefe Einblicke in Foren, die potenzielle Angreifer nutzen, um sich auszutauschen. Threat Hunter durchsuchen zum Beispiel das Darknet, in dem oft gestohlene Zugänge oder andere Unternehmensdaten von Kriminellen gehandelt werden. Eine solche Recherche kann auch einen Datenverlust oder einen digitalen Einbruch ans Licht bringen, den bislang noch niemand bemerkt hat.

Jeder CISO und CTO kann auch einmal selbst zehn Minuten lang Threat Hunting betreiben, etwa über einen Blick in Shodan.io, eine Suchmaschine für per Internet verbundene Geräte mit IP-Adresse. Sucht man dort etwa nach „VMware vCenter“-Server, welche ohne Patch via Port 443 angreifbar sind, präsentiert Shodan im Test über 1.700 angreifbare Server. Eventuell ist das eigene Unternehmen dort auch auffindbar.

Porträt Olaf Pursche

Olaf Pursche ist Head of Communications bei der SITS Group AG. Der vorliegende Beitrag erschien zuerst im Blog der SITS Group.

 

Andere interessante Fachbeiträge

Digitales Schild

So schützen sich Unternehmen vor den Stolperfallen der Schadenregulierung

Cyberangriffe können für Unternehmen existenzbedrohend sein. Viele Firmen schützen sich daher mit einer Cyberversicherung. Doch oft decken die Policen nicht alle Schäden ab oder en...

Abstrakte Collage zu KI und Gesetzen

KI und IT-Governance: Was Unternehmen wissen müssen

Künstliche Intelligenz (KI) ist bereits heute ein unverzichtbares Werkzeug für Unternehmen, die ihre Wettbewerbsfähigkeit stärken und neue technologische Möglichkeiten ausschöpfen ...

Cybercrime

Auf der Jagd nach Sicherheitslücken in TLS-Bibliotheken

TLS ist der wichtigste kryptografische Standard für digitale Kommunikation im Internet. Durch Implementierungsfehler entstehen jedoch immer wieder Sicherheitslücken, die für komple...