Was ist proaktive Bedrohungssuche?

Bei der proaktiven Bedrohungssuche werden Bedrohungen, die sich im Netzwerk einer Organisation verbergen, aktiv ausgemerzt, bevor daraus Angriffe entstehen, die Schaden anrichten. Dabei wird menschliches Fachwissen mit ML-gesteuerter Anomalieerkennung und -analyse kombiniert, um verdächtige Aktivitäten aufzudecken, die von herkömmlichen Sicherheitsmechanismen oft übersehen werden.

Was ist der Unterschied zwischen Threat Hunting und Threat Intelligence?

Als Threat Intelligence werden Daten – zu aufkommenden Trends, bekannten Bedrohungen und mehr – bezeichnet, die Analysten und Sicherheitslösungen interpretieren können, um Bedrohungen zu verstehen und Risiken zu kontextualisieren. Threat Hunting ist die praktische Anwendung dieser Daten, indem Analysten in Echtzeit nach versteckten Bedrohungen suchen.

Wann sollten Sie Threat Hunting einsetzen?

Effektive Sicherheitsstrategien für Unternehmen beinhalten die Bedrohungssuche als integralen, fortlaufenden Bestandteil. Regelmäßige Threat-Hunting-Übungen, auch wenn kein akuter Angriffsverdacht besteht, können die Erkennung versteckter Bedrohungen und Schwachstellen in Ihrer Umgebung unterstützen. Durch konsequente Bedrohungssuche stärken Sie den Sicherheitsstatus Ihres Unternehmens gegenüber bekannten und unbekannten Bedrohungen.

Wo sollten Sie Threat Hunting einsetzen?

Bedrohungen nehmen an Häufigkeit und Raffinesse zu. Daher dürfen Threat-Hunting-Experten in den verteilten Netzwerken und Cloud-Workloads von heute keinen Winkel der IT-Umgebung vernachlässigen. Die Bedrohungssuche sollte sich auf alle Schichten des Netzwerks, alle IT-Ressourcen (Endgeräte, Server, Clouds, kritische Anwendungen usw.) und alle Useraktivitäten erstrecken.

Wie hilft erweiterter Speicher bei der Bedrohungssuche?

Durch den erweiterten Speicher können Sie größere Mengen historischer Daten und Protokolle aufbewahren. So erhalten Sie einen größeren Datensatz, mit dem Ihre Threat-Hunting-Experten historische Muster, Anomalien und IOCs, die zuvor möglicherweise übersehen wurden, korrelieren und untersuchen können. Dies wiederum unterstützt Sie beim Erkennen hartnäckiger Bedrohungen, die früher womöglich unentdeckt blieben.

Zpedia

/ Was ist Threat Hunting?

Was ist Threat Hunting?

Als Threat Hunting wird ein proaktiver Ansatz zum Aufspüren potenzieller Bedrohungen und Cybersicherheitslücken in den Netzwerken und Systemen einer Organisation bezeichnet. Er kombiniert menschliche Sicherheitsanalysten, Bedrohungsinformationen und zukunftsweisende Technologien, die Verhaltensanalysen durchführen, Anomalien erkennen und Indikatoren für eine Kompromittierung (IOCs) identifizieren, die herkömmlichen Sicherheitstools möglicherweise entgehen. Experten für Threat Hunting sind bestrebt, Bedrohungen frühzeitig zu erkennen und zu neutralisieren, um ihre potenziellen Auswirkungen zu minimieren.

Aktuelle Bedrohungsanalysen

Die Leistungsfähigkeit von Zscaler Threat Hunting

Schutz vor Cyberbedrohungen Data Protection

Deshalb ist ZTNA wichtig
Funktionsweise
Wichtige Tools
Schlüsselpersonen
Erste Schritte
Schutz durch Zscaler
Empfohlene Ressourcen
FAQs
Ähnliche Themen

Warum ist die Bedrohungssuche wichtig?

Angesichts der zunehmenden Häufigkeit und Kosten von Datenschutzverletzungen ist ein Threat-Hunting-Programm ein zentraler Bestandteil einer modernen Unternehmenssicherheitsstrategie und bietet Unternehmen folgende Vorteile:

Proaktive Abwehr potenzieller Risiken und versteckter Bedrohungen, Verbesserung des allgemeinen Sicherheitsstatus und Minderung von Risiken, bevor diese eskalieren, Verhinderung potenzieller Sicherheitsverletzungen
Ermöglichung einer schnelleren Reaktion auf Vorfälle und einer kürzeren Verweildauer bei Bedrohungen durch die Kombination automatisierter Tools und menschlicher Expertise für eine präzisere Bedrohungserkennung
Reduziertes Risiko von finanziellen Schäden, Reputationsschäden, Datenverlusten usw. angesichts immer häufigerer Angriffe und kostspieligerer Folgen

Die weltweiten Durchschnittskosten eines Datenschutzverstoßes stiegen von 2020 bis 2023 um 15 % auf 4,45 Million USD.

— Cost of a Data Breach Report 2023, IBM

Wie funktioniert die Bedrohungssuche?

Bei der effektiven Suche nach Bedrohungen geht es um praktische Untersuchung, Prävention und Risikominderung. Diese Maßnahmen geschehen jedoch nicht im luftleeren Raum. Vielmehr handelt es sich um ein Wettrüsten mit Bedrohungsakteuren, die ständig daran arbeiten, ihre Angriffe schneller, zahlreicher und schwieriger zu erkennen zu machen. Sie können sich den grundlegenden Prozess der Bedrohungssuche in vier Teilen vorstellen:

1. Erfassen und Analysieren von Daten

Threat-Hunting-Experten erfassen riesige Datenmengen innerhalb und außerhalb des Netzwerks der Organisation, darunter Protokolle, Verkehrs- und Endpunktdaten sowie Bedrohungsinformations-Feeds. Mithilfe von Verhaltensanalysen und maschinellem Lernen lässt sich aus diesen Daten ein Basiswert normalen Verhaltens ermitteln. Jede Abweichung hiervon könnte auf eine potenzielle Bedrohung hinweisen.

2. Entwickeln einer Hypothese

Basierend auf den Erkenntnissen aus der Datenanalyse formulieren Bedrohungsjäger Hypothesen über potenzielle Bedrohungen und konzentrieren sich dabei auf die Identifizierung von Anomalien oder verdächtigen Aktivitäten, die auf das Vorhandensein von Malware oder einen anderen drohenden Sicherheitsvorfall hinweisen könnten.

3. Untersuchen und Validieren

Bedrohungsjäger suchen nach IOCs, Anzeichen böswilliger Aktivitäten oder ungewöhnlichen Mustern in den Daten, indem sie den Netzwerkverkehr untersuchen, Protokolle überprüfen, die Endpunktaktivität prüfen und mehr. Ziel ist es zu validieren, ob die Indikatoren auf tatsächliche Bedrohungen hinweisen oder lediglich Fehlalarme sind. Die Validierung ist von entscheidender Bedeutung, damit Organisationen schneller und effizienter auf Bedrohungen reagieren können.

4. Kontinuierliche Verbesserung

Um sich kontinuierlich an sich entwickelnde Bedrohungen anzupassen, verläuft der Jagdprozess zyklisch: Bedrohungsjäger wenden gewonnene Erkenntnisse an, um ihre Techniken zu verfeinern, ihre Hypothesen zu aktualisieren, neue Bedrohungsinformationen und Sicherheitslösungen einzubeziehen und vieles mehr, um ihre nächste Analyse mit einer fundierteren Grundlage zu versehen.

Arten der Bedrohungssuche

Die Vorgehensweise der Bedrohungsjäger hängt von den Informationen ab, die ihnen im Vorfeld zur Verfügung stehen. Hat beispielsweise ein Bedrohungs-Feed neue, spezifische Informationen zu einem neuen Malware-Typ bereitgestellt, etwa Signaturdaten? Hat die Organisation einen plötzlichen Anstieg des ausgehenden Datenverkehrs bemerkt?

Die zielorientierte Bedrohungssuche (auch als strukturierte Suche bekannt) basiert auf Hypothesen oder bestimmten IOCs, die als Leitfaden für die Untersuchung dienen. Wenn Jäger beispielsweise wie oben erwähnt spezifische Informationen über neu auftretende Schadsoftware erhalten, können sie in ihrer Umgebung nach bekannten Anzeichen dieser Schadsoftware suchen.

Die ziellose Bedrohungssuche (auch unstrukturierte Suche genannt) ist nicht auf bestimmte Hinweise oder Indikatoren angewiesen. Stattdessen nutzen Bedrohungsjäger Datenanalyse- und Anomalieerkennungstechniken, um Dinge wie den oben erwähnten Anstieg des Netzwerkverkehrs aufzudecken und von dort aus dann die Ursache der Anomalie zu untersuchen.

Diese Ansätze schließen sich nicht gegenseitig aus. Bedrohungsjagdteams müssen sich im Rahmen einer umfassenden Jagdmethodik häufig auf eine Kombination aus beiden verlassen.

Vorteile der Automatisierung bei der Suche nach Cyberbedrohungen

Für eine effektive Bedrohungssuche ist Automatisierung, gepaart mit menschlichem Querdenken und Kreativität, von entscheidender Bedeutung. Böswillige Akteure nutzen jeden sich bietenden Vorteil aus, was heutzutage bedeutet, dass sie für ihre Angriffe zunehmend künstliche Intelligenz und Automatisierung einsetzen. Mit anderen Worten: Es handelt sich um ein klassisches Beispiel dafür, wie man den Gegner mit den eigenen Waffen bekämpft.

Durch die Automatisierung werden große Datenmengen in Echtzeit und weitaus effizienter erfasst, korreliert und Anomalien darin identifiziert, was die Erkennung und Reaktion auf Bedrohungen beschleunigt. Dadurch haben menschliche Analysten mehr Zeit und Aufmerksamkeit, um sich auf Vorfälle zu konzentrieren, die differenzierte, kontextbezogene Entscheidungen erfordern oder bei denen historische Sicherheitsdaten für die Entscheidungsfindung durch automatisierte Tools fehlen.

Modelle und Methoden zur Bedrohungssuche

Verschiedene Modelle und Methoden zur Bedrohungssuche helfen den Jägern dabei, Bedrohungen zu identifizieren, zu untersuchen und einzudämmen, wobei der Schwerpunkt auf unterschiedlichen Aspekten liegt, je nachdem, was zur Art ihres Teams oder der Bedrohung selbst passt. Einige gängige Modelle sind:

MITRE ATT&CK Framework

Eine Wissensdatenbank bekannter gegnerischer TTPs, das MITRE ATT&CK Framework, bietet eine standardisierte Möglichkeit, Bedrohungsverhalten in verschiedenen Phasen eines Angriffs zu kategorisieren und zu analysieren und unterstützt Bedrohungsjäger dabei, ihre Erkennungs- und Reaktionsbemühungen aufeinander abzustimmen.

Lockheed Martin Cyber Kill Chain

Dieses Modell unterteilt einen Cyberangriff in sieben Phasen, von der Aufklärung bis zur Exfiltration, um die proaktive Suche nach Bedrohungen zu unterstützen, indem es Schwachstellen und potenzielle Minderungsstrategien identifiziert, die an verschiedenen Punkten der Angriffskette wirksam sind.

Lebenszyklus von Cyber-Bedrohungsinformationen

Dieser kontinuierliche Prozess des Sammelns, Analysierens und Verbreitens von Bedrohungsinformationen hilft Bedrohungsjägern dabei, zeitnahe, relevante Bedrohungsinformationen in ihre Erkennungs- und Reaktionsbemühungen zu integrieren, sodass Unternehmen aufkommenden Bedrohungen immer einen Schritt voraus sind.

Weitere Informationen finden Sie in dem Beitrag „ Was versteht man unter Threat Intelligence?“

Beobachten, Orientieren, Entscheiden, Handeln (OODA)-Schleife

Dieses ursprünglich für die US Air Force entwickelte vierstufige Framework hilft Bedrohungsjägern dabei, Informationen über sich entwickelnde Bedrohungen zu kontextualisieren, um sich schneller an veränderte Situationen anzupassen, fundierte Entscheidungen zu treffen und wirksame Maßnahmen zu ergreifen.

Diamantmodell der Intrusionsanalyse

Dieses Framework zur Zuordnung von Cyberbedrohungen definiert die vier Kernmerkmale einer Eindringaktivität – Gegner, Infrastruktur, Opfer und Fähigkeit – und ihre Beziehungen zueinander, um Bedrohungsjägern dabei zu helfen, das Wer, Was, Wo und Wie eines Angriffs zu verstehen.

Tools zur Bedrohungssuche

So wie es viele Methoden zur Suche gibt, so enthält auch der Werkzeugkasten des Cyberbedrohungsjägers viele Werkzeuge. Einige der gängigen Technologien:

Toolsfür das Sicherheitsinformations- und Ereignismanagement (SIEM) erfassen und analysieren Protokolldaten aus dem Netzwerk einer Organisation und bieten eine zentrale Überwachungs- und Warnplattform.
Toolszur Netzwerkverkehrsanalyse (NTA) analysieren Netzwerkverkehrsmuster und -verhalten, um verdächtige Aktivitäten zu erkennen und potenzielle Bedrohungen zu identifizieren.
Toolsfür Endpoint Detection and Response (EDR) überwachen und erkennen verdächtige Aktivitäten auf Endgeräten in Echtzeit und ermöglichen gleichzeitig die Untersuchung, Suche nach Bedrohungen, Triage und Behebung.
Threat-Intelligence-Plattformen (TIPs) aggregieren, korrelieren, analysieren und erweitern Bedrohungsinformationen aus verschiedenen Quellen, um Analysten und ihren Tools dabei zu helfen, fundierte Entscheidungen zu treffen.
SOAR-Plattformen (Security Orchestration, Automation and Response) automatisieren und orchestrieren Aufgaben zur Reaktion auf Vorfälle und ermöglichen so eine schnellere und effizientere Abwehr von Bedrohungen.
Toolszum Scannen von Schwachstellen unterstützen das Patchmanagement und die Risikobewertung, indem sie die Umgebungen und Apps einer Organisation scannen, um Schwachstellen zu identifizieren, die Angreifer ausnutzen könnten.
Toolszur Angriffsflächenverwaltung (Attack Surface Management, ASM) bieten Einblick in die Angriffsfläche eines Unternehmens und tragen durch Identifizierung, Überwachung und Eindämmung von Schwachstellen und potenziellen Angriffsmethoden zu deren Reduzierung bei.
Malware-Sandboxen isolieren und analysieren verdächtige Dateien und Programme in einer kontrollierten Umgebung. Sie werden verwendet, um das Verhalten von Malware zu identifizieren und potenzielle Bedrohungen einzuschätzen.
Bedrohungsemulations- und Red-Teaming- Tools simulieren reale Cyberangriffe, um Unternehmen dabei zu helfen, ihre Sicherheitslage zu bewerten und Schwachstellen zu identifizieren.
Bei der Deception-Technologie werden in einem Netzwerk neben echten Assets Decoys eingesetzt, um Angreifer anzulocken und hochpräzise Warnungen zu generieren, die die Verweildauer verkürzen und die Reaktion auf Vorfälle beschleunigen.

Wer sollte an der Bedrohungssuche beteiligt sein?

Sicherheitsanalysten, die sich mit Tools zur Bedrohungserkennung und -suche auskennen, sind die wichtigsten Akteure bei Ihrer Bedrohungssuche. Sie übernehmen die Führung bei der Überwachung und Analyse von Warnmeldungen, der Verfolgung verdächtiger Verhaltensweisen, der Identifizierung von Angriffsindikatoren (IOAs) und vielem mehr. Kleinere Organisationen beschäftigen möglicherweise nur einen einzigen Vollzeitanalysten, während größere Organisationen möglicherweise über umfangreiche Security Operations Center-Teams (SOC) oder Managed Services verfügen.

Zu den weiteren wichtigen Hilfskräften zählen oft:

Bedrohungsanalyse-Analysten destillieren Bedrohungsinformationen in kritische Kontexte und Indikatoren für eine Gefährdung.
Rechts- und Compliance-Teams helfen bei der Einhaltung gesetzlicher und behördlicher Anforderungen.
Führungskräfte und Vorstandsmitglieder treffen wichtige Entscheidungen zu Strategie, Personal und Budgetierung.

Welche Voraussetzungen müssen für eine effektive Bedrohungssuche erfüllt sein?

Um Bedrohungen wirksam aufspüren zu können, sind vier Voraussetzungen erforderlich:

Ein Team aus erfahrenen Jägern und Analysten. Wenn Sie über ein internes Sicherheitsteam verfügen, investieren Sie in kontinuierliche Schulungen und Weiterbildungen, um das Team dabei zu unterstützen, Ihr Unternehmen vor neuartigen und komplexen Bedrohungen zu schützen.
Die richtige Mischung aus Technologien zur Bedrohungssuche und automatisierten Tools, einschließlich SIEM-Plattformen, EDR-Lösungen, NTA-Tools und Threat-Intelligence-Plattformen.
Zugriff auf Protokolle, Netzwerkverkehrsdaten, Verhaltensdaten usw., um sicherzustellen, dass Ihre Bedrohungsjäger einen vollständigen Überblick über die Bedrohungslandschaft haben.
Ein klarer strategischer Rahmen für die Bedrohungssuchemit definierten Zielen und Strategien, die Ihrer Risikotoleranz und Sicherheitslage entsprechen.

Die Rolle von Zscaler bei der Bedrohungssuche

Die Threat-Hunting-Experten von Zscaler ThreatLabz halten in den 500 Billionen Datenpunkten der weltweit größten Sicherheits-Cloud Ausschau nach Anomalien und identifizieren und erkennen bösartige Aktivitäten sowie neu auftretende Bedrohungen.

Zscaler ThreatLabz nutzt Bedrohungsinformationen und proprietäre Tools, um proaktiv nach verräterischen Taktiken, Tools und Verfahren (TTPs) von Bedrohungen zu suchen – von den raffiniertesten Angreifergruppen bis hin zu gängiger Schadsoftware. So ist eine umfassende Abdeckung aktueller Bedrohungen möglich.

Diese Datenpunkte werden auch zum Trainieren von Modellen maschinellen Lernens für schnellere und umfassendere Erkennungen verwendet. Dieser proaktive Ansatz trägt dazu bei, täglich 9 Milliarden potenzielle Bedrohungen zu erkennen und zu blockieren, bevor sie unsere Kunden beeinträchtigen oder Schaden anrichten können.