Was ist Cyber Threat Hunting?

Preisgekröntes ThreatDown MDR stoppt Bedrohungen, die andere übersehen

MDR erkunden

Einführung

Threat hunting eine Cybersicherheitstechnik, bei der Threat Hunter Netzwerke, Systeme und Geräte nach Anomalien durchsuchen, um proaktiv nach Cyberbedrohungen zu suchen. Proaktives threat hunting eine wichtige Maßnahme, die es Analysten ermöglicht, tief in die Angriffsfläche einzutauchen und bösartige Bedrohungen aufzudecken. Diese fortgeschrittenen Bedrohungen haben oft erfolgreich und unentdeckt die ersten Endpunkt-Sicherheitsschichten infiltriert.

Im Gegensatz zur Bedrohungserkennung threat hunting kein reaktiver Ansatz. threat hunting nutzt präventive Techniken zur Überwachung von Systemen und Informationen in Verbindung mitBedrohungsinformationen, um verdächtige Aktivitäten zu identifizieren und zu priorisieren. Sein Hauptaugenmerk liegt darauf, zu verhindern, dass ausgeklügelte Cyberangriffe und fortgeschrittene persistente Bedrohungen im Netzwerk Chaos anrichten.

Wie funktioniert threat hunting und was sind die Schritte?

threat hunting umfassen 5 Hauptschritte für eine erfolgreiche Kampagne, darunter Hypothese, Auslöser, Bedrohungsdaten, Bedrohungsuntersuchung und Reaktion.

Hypothese
Eine Bedrohungssuche beginnt mit der Entwicklung einer Hypothese. Die Kampagne zielt darauf ab, die Ideen, Aussagen oder fundierten Vermutungen eines Bedrohungssuchers darüber zu untersuchen, welche böswilligen Aktivitäten stattfinden und wie und warum die Bedrohungsakteure in eine Umgebung eindringen. Bedrohungssucher verwendendas MITRE ATT&CK Framework, Taktiken, Techniken und Verfahren (TTP),Kompromittierungsindikatoren (IOC) und Bedrohungsinformationen, um das Verhalten der Angreifer besser zu verstehen und diese Hypothesen zu bilden. Ein Beispiel für eine Technik von Angreifern ist die laterale Bewegung im Netzwerk, ein gängiges Verhalten, auf das Cyberangreifer zurückgreifen, um gezielt nach Daten und Ressourcen zu suchen.

Trigger
Wenn ein Alarm ausgelöst wird, nutzen die Bedrohungsjäger diesen Auslöser als Leitfaden, um Muster und Gemeinsamkeiten zwischen Vorfällen zu identifizieren. Dank Advanced Tools zur Erkennung Advanced können Bedrohungsjäger ausgelöste Alarme erkennen und mit der Untersuchung der Bedrohung beginnen. Die von einem Threat Hunter entwickelte Hypothese kann auch als Auslöser für proaktives Hunting dienen, wenn neue Bedrohungen auftreten.

Threat Intelligence-Datenerfassung
Die Zusammenstellung von Threat Intelligence-Daten erfolgt mithilfe von threat hunting wieSecurity Information and Event Management (SIEM),Managed Detection and Response (MDR) und Security Orchestration, Automation and Response (SOAR). Diese Bibliothek mit Sicherheitsdaten unterstützt den Prozess der Erkennung, Untersuchung und Analyse von Bedrohungen.


zur Untersuchung von Bedrohungen Der Prozess der Bedrohungsuntersuchung stützt sich auf Technologien zur Erkennung von Bedrohungen, um verdächtige Aktivitäten eingehend zu untersuchen und böswilliges Verhalten von harmlosen, falschen Warnmeldungen zu unterscheiden. Neben den oben genannten Sicherheitstools unterstütztEndpoint Detection and Response EDR)die Bereitstellung von Kontextinformationen, die von überwachten Endbenutzergeräten gesammelt werden.

Reaktions-
Sobald verdächtige Aktivitäten als bösartig eingestuft werden, nutzen Sicherheitsteams die gesammelten Bedrohungsdaten, um eineStrategie zur Reaktion auf Vorfällezu entwickeln und Maßnahmen gegen den bestätigten Angriff zu ergreifen. Dazu können die Bereitstellungvon Software-Patches, die Ausführung eines Tools zum Entfernen von Malware oder die Konfiguration von Änderungen in einercloudbasierten Sicherheitsplattform gehören.

Verständnis der threat hunting Modelle

Die Methoden threat hunting lassen sich in zwei Modelle einteilen:

Hypothesenbasierte Bedrohungsuntersuchung
In diesem Modell threat hunting auf einer Hypothese, die auf den Beobachtungen des Threat Hunters, Bedrohungsinformationen und langjähriger Erfahrung beruht. threat hunting hypothesengesteuerte threat hunting drei wichtige Schritte: die Formulierung einer Hypothese, die Umsetzung der Vorhersagen und die Überprüfung der Ergebnisse. Threat Hunter konzentrieren sich auf die Relevanz, Umsetzbarkeit und Überprüfbarkeit ihrer Hypothesen. Hypothesen sollten aktuelle Branchentrends, die Bedürfnisse der Organisation und die Verfügbarkeit von Sicherheitstools berücksichtigen.

Informationsbasierte threat hunting
In einem informationsgesteuerten Modell threat hunting auf Taktiken, Techniken und Verfahren (TTP), Kompromittierungsindikatoren (IOC), Angriffsindikatoren (IOA) und die Beschaffung von Bedrohungsinformationen, um Bedrohungen vollständig zu verstehen, Auslöser zu überwachen und laufende Angreiferaktivitäten aufzudecken.

Threat hunting vs. Threat Intelligence: Was ist der Unterschied?

Cyber Threat Intelligence ist eine Sammlung von Daten, die verarbeitet und analysiert werden, um die Absichten von Angreifern besser zu verstehen. Diese Informationen können mithilfe automatisierter Systeme durch maschinelles Lernen (ML) und künstliche Intelligenz (KI) gesammelt und untersucht werden.

Cyber threat hunting eine Praxis, die sich auf Bedrohungsinformationen stützt, um netzwerkweite Kampagnen durchzuführen. Diese threat hunting konzentrieren sich auf die Suche nach Cyberangreifern innerhalb von Systemen. Das Aufspüren von Bedrohungen ist ein Prozess, der von den Bedrohungsinformationen abhängt, die aus kritischen Sicherheitstools abgerufen werden.

Ausgewählte Ressourcen

Cyber Threat Hunting FAQs

Was ist erforderlich, um threat hunting zu starten?

Um threat hunting Untersuchungen einzuleiten, müssen die Bedrohungsjäger eine Ausgangshypothese erstellen, auf die sie ihre Kampagnen ausrichten. Diese threat hunting Teams benötigen Zugang zu Bedrohungsdaten und Technologien zur Erkennung von Bedrohungen, um die erwarteten Anomalien, IOCs und IOAs besser identifizieren zu können. Threat hunting erfordert Cybersecurity-Talente mit der Fähigkeit, Bedrohungsdaten und Malware-Erkennungsdaten zu analysieren, gepaart mit umfassender Systemerfahrung.

Was ist verwaltet threat hunting?

Managed threat hunting ist ein Dienst, der proaktiv und rund um die Uhr verdächtige Aktivitäten und Cyber-Bedrohungen überwacht und von hochkarätigen Erkennungs- und Reaktionsexperten geleitet wird, die sich auf Bedrohungsdaten stützen. Weitere Informationen finden Sie unter MDR-Sicherheit.

Warum sind die Tools von threat hunting wichtig für Ihr kleines Unternehmen?

Threat hunting ist eine Maßnahme, die proaktiv nach Anzeichen für eine Datenverletzung oder einen Cyberangriff sucht. Für kleine Unternehmen mit begrenzten Ressourcen und Qualifikationsdefiziten im Bereich der Cybersicherheit hilft threat hunting den IT-Mitarbeitern, auf dem Laufenden zu bleiben, da die TTPs (Taktiken, Techniken und Verfahren) und IOCs (Indikatoren für eine Kompromittierung) immer ausgefeilter werden.