Was ist cyber threat hunting?

Fangen Sie fortschrittliche Cyberbedrohungen mit threat hunting ab. ThreatDown Endpoint Detection and Response (EDR) Solution hat eine bewährte, preisgekrönte Erkennung.


Preisgekrönter ThreatDown EDR stoppt Bedrohungen, die andere übersehen

Was ist threat hunting im Bereich der Cybersicherheit?

Threat hunting ist eine Technik der Cybersicherheit, bei der Bedrohungsjäger Netzwerke, Systeme und Geräte nach Anomalien durchsuchen, um proaktiv nach Cyberbedrohungen zu suchen. Proaktiv threat hunting ist eine wichtige Maßnahme, die es Analysten ermöglicht, tief in die Angriffsoberfläche einzudringen und bösartige Bedrohungen zu entdecken. Diese fortschrittlichen Bedrohungen sind oft erfolgreich und unerkannt in die ersten Sicherheitsschichten der Endgeräte eingedrungen.

Anders als bei der Erkennung von Bedrohungen handelt es sich bei threat hunting nicht um einen reaktiven Ansatz. Der Prozess threat hunting nutzt präventive Techniken zur Überwachung von Systemen und Informationen in Verbindung mit Bedrohungsdaten, um verdächtige Aktivitäten zu erkennen und zu priorisieren. Das Hauptaugenmerk liegt darauf, ausgeklügelte Cyberangriffe und fortschrittliche anhaltende Bedrohungen daran zu hindern, im Netzwerk Schaden anzurichten.

Wie funktioniert threat hunting und was sind die Schritte?

Die Techniken von Cyber threat hunting umfassen 5 Hauptschritte zur Durchführung einer erfolgreichen Kampagne: Hypothese, Auslöser, Bedrohungsdaten, Untersuchung der Bedrohung und Reaktion.

Hypothese

Eine Bedrohungsjagd beginnt mit der Entwicklung einer Hypothese. In der Kampagne werden die Ideen, Aussagen oder Vermutungen eines Bedrohungsjägers darüber untersucht, welche bösartigen Aktivitäten stattfinden und wie und warum die Bedrohungsakteure in eine Umgebung eindringen. Bedrohungsjäger verwenden das MITRE ATT&CK Framework, Taktiken, Techniken und Verfahren (TTP), Kompromissindikatoren (IOC) und Bedrohungsdaten, um das Verhalten des Gegners besser zu verstehen und diese Hypothesen zu bilden. Ein Beispiel für eine Technik des Gegners ist die seitliche Verlagerung von Netzwerken, ein gängiges Verhalten, das Cyber-Angreifer nutzen, um auf böswillige Weise nach gezielten Daten und Ressourcen zu suchen.

Auslöser

Wenn eine Warnung ausgelöst wird, verwenden die Bedrohungsjäger diesen Auslöser als Leitfaden bei der Identifizierung von Mustern und Gemeinsamkeiten zwischen Vorfällen. Advanced Tools zur Erkennung von Bedrohungen ermöglichen es den Bedrohungsjägern, ausgelöste Warnungen zu bemerken, damit sie mit der Untersuchung von Bedrohungen beginnen können. Die von den Bedrohungsjägern entwickelte Hypothese kann auch als Auslöser für die proaktive Suche dienen, wenn neue Bedrohungen auftauchen.

Sammlung von Daten zu Bedrohungsdaten

Die Zusammenstellung von Bedrohungsdaten wird von threat hunting Tools wie Security Information and Event Management (SIEM), Managed Detection and Response (MDR) und Security Orchestration, Automation, and Response (SOAR) gesteuert. Diese Bibliothek von Sicherheitsdaten unterstützt den Prozess der Erkennung, Untersuchung und Analyse von Bedrohungen.

Untersuchung der Bedrohung

Bei der Untersuchung von Bedrohungen werden Technologien zur Erkennung von Bedrohungen eingesetzt, um verdächtige Aktivitäten zu untersuchen und bösartiges Verhalten von harmlosen, falschen Warnungen zu unterscheiden. Neben den oben genannten Sicherheitstools hilft Endpoint Detection and Response (EDR) bei der Bereitstellung von kontextbezogenen Informationen, die von überwachten Endbenutzergeräten gesammelt werden.

Antwort

Sobald eine verdächtige Aktivität als bösartig eingestuft wird, verwenden die Sicherheitsteams die gesammelten Bedrohungsdaten, um eine Strategie zur Reaktion auf den Vorfall vorzubereiten und Maßnahmen gegen den bestätigten Angriff zu ergreifen. Dazu könnte die Bereitstellung von Software-Patches, die Ausführung eines Tools zur Malware-Entfernung oder die Konfiguration von Änderungen in einer Cloud-basierten Sicherheitsplattform gehören.

Verständnis der threat hunting Modelle

Die threat hunting Cybersicherheitsmethoden können in 2 Modelle unterteilt werden:

Hypothesengeleitete Untersuchung von Bedrohungen

Bei diesem Modell wird threat hunting von einer Hypothese geleitet, die auf den Beobachtungen des Bedrohungsjägers, seinen Erkenntnissen über Bedrohungen und seiner langjährigen Erfahrung beruht. Das hypothesengesteuerte threat hunting besteht aus drei Schlüsselschritten: Formulierung einer Hypothese, Umsetzung der Vorhersagen und Testen der Ergebnisse. Bedrohungsjäger konzentrieren sich auf die Relevanz, Umsetzbarkeit und Überprüfbarkeit ihrer Hypothesen. Die Hypothesen sollten die aktuellen Branchentrends, die Bedürfnisse des Unternehmens und die Zugänglichkeit von Sicherheitstools berücksichtigen.

Intelligenzbasierte threat hunting

In einem auf Bedrohungsdaten basierenden Modell konzentriert sich threat hunting auf Taktiken, Techniken und Verfahren (TTP), Kompromissindikatoren (IOC), Angriffsindikatoren (IOA) und die Beschaffung von Bedrohungsdaten, um Bedrohungen vollständig zu verstehen, Auslöser zu überwachen und laufende Angreiferaktivitäten aufzudecken.

Threat hunting vs. Threat Intelligence: Was ist der Unterschied?

Cyber-Bedrohungsintelligenz ist eine Reihe von gesammelten Daten, die verarbeitet und analysiert werden, um die Anweisungen des Gegners besser zu verstehen. Intelligence-Informationen können mit automatisierten Systemen durch maschinelles Lernen (ML) und künstliche Intelligenz (KI) gesammelt und untersucht werden.

Cyber threat hunting ist eine Praxis, die sich auf Bedrohungsdaten stützt, um netzwerkweite Kampagnen durchzuführen. Diese threat hunting Kampagnen konzentrieren sich auf das Aufspüren von Cyber-Angreifern innerhalb der Systeme. Die Jagd auf Bedrohungen ist ein Prozess, der von den Bedrohungsdaten abhängt, die von wichtigen Sicherheitstools abgerufen werden.

Ausgewählte Ressourcen

Ausgewählte Ressourcen

Cyber Threat Hunting FAQs

Was ist erforderlich, um threat hunting zu starten?

Um threat hunting Untersuchungen einzuleiten, müssen die Bedrohungsjäger eine Ausgangshypothese erstellen, auf die sie ihre Kampagnen ausrichten. Diese threat hunting Teams benötigen Zugang zu Bedrohungsdaten und Technologien zur Erkennung von Bedrohungen, um die erwarteten Anomalien, IOCs und IOAs besser identifizieren zu können. Threat hunting erfordert Cybersecurity-Talente mit der Fähigkeit, Bedrohungsdaten und Malware-Erkennungsdaten zu analysieren, gepaart mit umfassender Systemerfahrung.

Was ist verwaltet threat hunting?

Managed threat hunting ist ein Dienst, der proaktiv und rund um die Uhr verdächtige Aktivitäten und Cyber-Bedrohungen überwacht und von hochkarätigen Erkennungs- und Reaktionsexperten geleitet wird, die sich auf Bedrohungsdaten stützen. Weitere Informationen finden Sie unter MDR-Sicherheit.

Warum sind die Tools von threat hunting wichtig für Ihr kleines Unternehmen?

Threat hunting ist eine Maßnahme, die proaktiv nach Anzeichen für eine Datenverletzung oder einen Cyberangriff sucht. Für kleine Unternehmen mit begrenzten Ressourcen und Qualifikationsdefiziten im Bereich der Cybersicherheit hilft threat hunting den IT-Mitarbeitern, auf dem Laufenden zu bleiben, da die TTPs (Taktiken, Techniken und Verfahren) und IOCs (Indikatoren für eine Kompromittierung) immer ausgefeilter werden.