Was ist cyber threat hunting?
Fangen Sie fortschrittliche Cyberbedrohungen mit threat hunting ab. ThreatDown Endpoint Detection and Response (EDR) Solution hat eine bewährte, preisgekrönte Erkennung.
Was ist threat hunting im Bereich der Cybersicherheit?
Threat hunting ist eine Technik der Cybersicherheit, bei der Bedrohungsjäger Netzwerke, Systeme und Geräte nach Anomalien durchsuchen, um proaktiv nach Cyberbedrohungen zu suchen. Proaktiv threat hunting ist eine wichtige Maßnahme, die es Analysten ermöglicht, tief in die Angriffsoberfläche einzudringen und bösartige Bedrohungen zu entdecken. Diese fortschrittlichen Bedrohungen sind oft erfolgreich und unerkannt in die ersten Sicherheitsschichten der Endgeräte eingedrungen.
Anders als bei der Erkennung von Bedrohungen handelt es sich bei threat hunting nicht um einen reaktiven Ansatz. Der Prozess threat hunting nutzt präventive Techniken zur Überwachung von Systemen und Informationen in Verbindung mit Bedrohungsdaten, um verdächtige Aktivitäten zu erkennen und zu priorisieren. Das Hauptaugenmerk liegt darauf, ausgeklügelte Cyberangriffe und fortschrittliche anhaltende Bedrohungen daran zu hindern, im Netzwerk Schaden anzurichten.
Wie funktioniert threat hunting und was sind die Schritte?
Die Techniken von Cyber threat hunting umfassen 5 Hauptschritte zur Durchführung einer erfolgreichen Kampagne: Hypothese, Auslöser, Bedrohungsdaten, Untersuchung der Bedrohung und Reaktion.
Hypothese
Eine Bedrohungsjagd beginnt mit der Entwicklung einer Hypothese. In der Kampagne werden die Ideen, Aussagen oder Vermutungen eines Bedrohungsjägers darüber untersucht, welche bösartigen Aktivitäten stattfinden und wie und warum die Bedrohungsakteure in eine Umgebung eindringen. Bedrohungsjäger verwenden das MITRE ATT&CK Framework, Taktiken, Techniken und Verfahren (TTP), Kompromissindikatoren (IOC) und Bedrohungsdaten, um das Verhalten des Gegners besser zu verstehen und diese Hypothesen zu bilden. Ein Beispiel für eine Technik des Gegners ist die seitliche Verlagerung von Netzwerken, ein gängiges Verhalten, das Cyber-Angreifer nutzen, um auf böswillige Weise nach gezielten Daten und Ressourcen zu suchen.
Auslöser
Wenn eine Warnung ausgelöst wird, verwenden die Bedrohungsjäger diesen Auslöser als Leitfaden bei der Identifizierung von Mustern und Gemeinsamkeiten zwischen Vorfällen. Advanced Tools zur Erkennung von Bedrohungen ermöglichen es den Bedrohungsjägern, ausgelöste Warnungen zu bemerken, damit sie mit der Untersuchung von Bedrohungen beginnen können. Die von den Bedrohungsjägern entwickelte Hypothese kann auch als Auslöser für die proaktive Suche dienen, wenn neue Bedrohungen auftauchen.
Sammlung von Daten zu Bedrohungsdaten
Die Zusammenstellung von Bedrohungsdaten wird von threat hunting Tools wie Security Information and Event Management (SIEM), Managed Detection and Response (MDR) und Security Orchestration, Automation, and Response (SOAR) gesteuert. Diese Bibliothek von Sicherheitsdaten unterstützt den Prozess der Erkennung, Untersuchung und Analyse von Bedrohungen.
Untersuchung der Bedrohung
Bei der Untersuchung von Bedrohungen werden Technologien zur Erkennung von Bedrohungen eingesetzt, um verdächtige Aktivitäten zu untersuchen und bösartiges Verhalten von harmlosen, falschen Warnungen zu unterscheiden. Neben den oben genannten Sicherheitstools hilft Endpoint Detection and Response (EDR) bei der Bereitstellung von kontextbezogenen Informationen, die von überwachten Endbenutzergeräten gesammelt werden.
Antwort
Sobald eine verdächtige Aktivität als bösartig eingestuft wird, verwenden die Sicherheitsteams die gesammelten Bedrohungsdaten, um eine Strategie zur Reaktion auf den Vorfall vorzubereiten und Maßnahmen gegen den bestätigten Angriff zu ergreifen. Dazu könnte die Bereitstellung von Software-Patches, die Ausführung eines Tools zur Malware-Entfernung oder die Konfiguration von Änderungen in einer Cloud-basierten Sicherheitsplattform gehören.
Verständnis der threat hunting Modelle
Die threat hunting Cybersicherheitsmethoden können in 2 Modelle unterteilt werden:
Hypothesengeleitete Untersuchung von Bedrohungen
Bei diesem Modell wird threat hunting von einer Hypothese geleitet, die auf den Beobachtungen des Bedrohungsjägers, seinen Erkenntnissen über Bedrohungen und seiner langjährigen Erfahrung beruht. Das hypothesengesteuerte threat hunting besteht aus drei Schlüsselschritten: Formulierung einer Hypothese, Umsetzung der Vorhersagen und Testen der Ergebnisse. Bedrohungsjäger konzentrieren sich auf die Relevanz, Umsetzbarkeit und Überprüfbarkeit ihrer Hypothesen. Die Hypothesen sollten die aktuellen Branchentrends, die Bedürfnisse des Unternehmens und die Zugänglichkeit von Sicherheitstools berücksichtigen.
Intelligenzbasierte threat hunting
In einem auf Bedrohungsdaten basierenden Modell konzentriert sich threat hunting auf Taktiken, Techniken und Verfahren (TTP), Kompromissindikatoren (IOC), Angriffsindikatoren (IOA) und die Beschaffung von Bedrohungsdaten, um Bedrohungen vollständig zu verstehen, Auslöser zu überwachen und laufende Angreiferaktivitäten aufzudecken.
Threat hunting vs. Threat Intelligence: Was ist der Unterschied?
Cyber-Bedrohungsintelligenz ist eine Reihe von gesammelten Daten, die verarbeitet und analysiert werden, um die Anweisungen des Gegners besser zu verstehen. Intelligence-Informationen können mit automatisierten Systemen durch maschinelles Lernen (ML) und künstliche Intelligenz (KI) gesammelt und untersucht werden.
Cyber threat hunting ist eine Praxis, die sich auf Bedrohungsdaten stützt, um netzwerkweite Kampagnen durchzuführen. Diese threat hunting Kampagnen konzentrieren sich auf das Aufspüren von Cyber-Angreifern innerhalb der Systeme. Die Jagd auf Bedrohungen ist ein Prozess, der von den Bedrohungsdaten abhängt, die von wichtigen Sicherheitstools abgerufen werden.