Sie haben Fragen?

info@8com.de
+49 6321 48446-0

Threat Hunting

24. November 2022

Bei Incident-Response und IT-Forensik geht es darum, schnellstmöglich auf Angriffe zu reagieren oder herauszufinden, was im Detail geschehen ist. Threat Hunting dagegen widmet sich der aktiven Suche nach laufenden Angriffen bzw. vorbereitenden bedrohlichen Aktivitäten, die bestehende Abwehrmaßnahmen und Sicherheitskontrollen bereits überwinden konnten.

Ausgehend davon, dass Angreifer sich jederzeit unbemerkt im Netzwerk befinden können, wird beim Threat Hunting nach Kompromittierungsindikatoren, lateralen Bewegungen oder sonstigen verräterischen Spuren gesucht. Die durch SOC-Operatoren gesteuerte, dauerhafte und ständig angepasste proaktive Suche nach Bedrohungen ermöglicht noch schnellere Reaktionen, wodurch Schäden und das Gesamtrisiko für Unternehmen insgesamt deutlich reduziert werden.

Unerlässlich: Daten und umfassende Analysen
Ohne Daten kein Threat Hunting! Grundvoraussetzung für eine effektive Bedrohungssuche ist die permanente und flächendeckende Datenerfassung innerhalb der gesamten IT-Infrastruktur. Dazu werden im 8com SOC Daten wie Datei-Hash-Werte, Prozesse, Benutzer- und Netzwerkaktivitäten, Dateivorgänge, System- und Ereignisprotokolle, abgelehnte Verbindungen und die Aktivitäten sämtlicher Peripheriegeräte rund um die Uhr erfasst und ausgewertet.

Das allein reicht allerdings längst nicht aus. Zusätzlich müssen fürs Threat Hunting umfassende Kontextinformationen vorhanden sein, Daten müssen kombiniert, korreliert oder erweitert werden, um Angriffsmuster sichtbar werden zu lassen. Die Operatoren setzen dazu unterschiedliche Tools ein, mit denen Ereignisse zentral erfasst und zur Erkennung automatisch kontextualisiert und korreliert werden. Dadurch kann das 8com SOC den Aufwand für die manuelle Prüfung von Rohdaten auf ein Minimum reduzieren und so die Bedrohungserkennung und -abwehr effektiv verbessern.

Umfassende Kenntnis über den Normalzustand als Basis
Weil bedrohliche Aktivitäten oft nur durch Abweichungen vom Normalzustand erkennbar sind, bilden umfassende Kenntnisse über das zu schützende Unternehmen eine wichtige Grundlage für effektives Threat Hunting. Insbesondere Wissen um spezifische Geschäftsaktivitäten, beispielsweise die Anstellung neuer Mitarbeitender, die Anschaffung neuer Assets oder Geschäftsübernahmen, können Angreifer anziehen und verdienen bei Threat Hunting im SOC besondere Aufmerksamkeit.

Eine gründliche Bestandsaufnahme zur Festlegung des Normalzustandes ist unerlässlich, um Abweichungen von der Norm identifizieren zu können. Sehr oft mischen sich Angreifer unter normale Systemnutzer, indem sie im Vorfeld Anmeldedaten mit Phishing-Kampagnen abgreifen, um sich so als scheinbar harmlose Nutzer im System umzusehen. Ungewöhnliche Dateizugriffe bzw. Anmeldungen sind deshalb wichtige Indizien für potenziell bedrohliche Aktivitäten.

Nicht abwarten, sondern jagen
Beim Threat Hunting geht es darum, nicht erst bis zum Alarm zu warten, sondern kontinuierlich Ausschau zu halten nach Angriffsspuren. Zum einen wird dabei nach Bedrohungen auf Grundlage von Kompromittierungsdaten unterschiedlicher Informationsquellen wie dem FBI oder dem BSI gesucht. Auf Grundlage von Daten wie Hash-Werten, IP-Adressen oder Domänenamen, die im Zusammenhang bekanntgewordener Bedrohungsaktivitäten aufgetreten sind, können Bedrohungen so besonders frühzeitig erkannt werden.

Leider werden aber längst nicht alle Bedrohungen bekannt – vielmehr macht die Zahl der unbekannten Bedrohungen den weitaus größeren Anteil aus. Um diese proaktiv zu erkennen, ist es notwendig, Vermutungen über Bedrohungsaktivitäten anzustellen. Auf Grundlage früherer Erfahrungen, Bedrohungsdaten und Tools und Frameworks wie MITRE ATT&CK formulieren die Operatoren und Analysten im SOC Hypothesen. Sie versetzten sich in die Rolle potenzieller Angreifer, fragen sich, wie sie selbst beim Angriff auf die konkrete Umgebung vorgegangen wären, worauf sie hätten Zugriff erlangen wollen und welche Ziele sie verfolgt haben könnten.

Die daraus resultierenden Hypothesen werden im nächsten Schritt mithilfe unterschiedlicher Analysetools nachverfolgt, um neue schädliche Angriffsmuster und deren Taktiken und Techniken aufzudecken. Im Falle neu entdeckter Tactics, Techniques, Procedures (TTPs) machen sich die Operatoren umgehend daran, auf die Bedrohung zu reagieren. Dabei erarbeiten sie auch langfristige Reaktionsmaßnahmen, die zur Neutralisierung zukünftiger gleichartiger Angriffe angewendet werden können. Zudem erarbeiten die Operatoren alle erforderlichen Maßnahmen, um sicherzustellen, dass derartige Angriffe nicht erneut auftreten.

Damit ist Threat Hunting nicht nur eine wichtige und produktive Methode, mit der das SOC neue, noch unbekannte Angriffsszenarien identifizieren und darauf reagieren kann. Zusätzlich hilft Threat Hunting, die Erkennungs- und Überwachungssysteme kontinuierlich weiterzuentwickeln und deren Wirksamkeit zu steigern.

Bild (c) kim chungbae / Pixabay

Zurück zur Blog-übersicht
Alle Mitarbeiter-Interviews