Statistisch gesehen wird jedes deutsche Unternehmen mehr als 190-mal pro Woche Opfer eines Cyberangriffs. Auch wenn diese Zahl alleine bereits dramatisch klingen mag, kennzeichnet sie doch nur die sprichwörtliche Spitze des Eisbergs, also die Zahl der „sichtbaren“, von Systemen erkannten Angriffe. Die Dunkelziffer wird von Experten auf etwa den selben Wert geschätzt: mindestens die Hälfte aller Angriffe wird nicht erkannt. Die Strategie der Täter ist nachvollziehbar: Sie besitzen das technische Know-how und die Ressourcen, um unbemerkt in Systeme einzudringen. Dabei überwinden sie konventionelle Sicherheitssysteme wie Firewalls und Antivirenprogramme und nisten sich buchstäblich im System ein. Der eigentliche Angriff auf das System, sei es destruktiv, um das Opfer zum Beispiel durch Sabotage zu schädigen oder um Daten abzuschöpfen oder im Rahmen von Industriespionage, Datenmissbrauch oder als Grundlage für Cyber-Erpressung, erfolgt dann meist erst später, auf Grundlage unbemerkt platzierter Malware.

Konventionelle IT-Sicherheit gerät immer öfter an Grenzen

Sind Firewall und Virenscanner einmal überwunden, haben Angreifer in vielen Unternehmen freie Bahn. Tatsächlich dauert es im Durchschnitt ganze 200 Tage, bis ein so professionell durchgeführter Angriff erkannt wird. Der Schaden, der in diesem Zeitraum entstehen kann, ist nachvollziehbar immens. Trotzdem setzt Unternehmens-IT weiterhin verbreitet vor allen Dingen auf klassische Security-Ansätze aus genannten Firewalls und Antiviren-Software sowie Intrusion Detection/Prevention Systems (IDS/IPS), Endpoint Protection, Zugangskontrolle und Patch Management. Auch wenn dies unverzichtbare Elemente einer Sicherheitsstrategie sind, arbeiten sie doch rein reaktiv, meist isoliert und sind leider oft blind für komplexe Angriffe. Einen Schritt weiter geht der analytische Ansatz des Security Information and Event Management (SIEM). Hierbei werden Daten von verschiedenen Geräten und Anwendungen gesammelt, normalisiert, Muster festgelegt und die Daten in Echtzeit analysiert, um Auffälligkeiten zu entdecken. SIEM-Ansätze liefern bereits eine ganzheitliche Sicht und erkennen auch unbekannte Bedrohungen durch Veränderungen in den festgelegten „normalen“ Mustern. Die Kombination aus klassische IT-Security und SIEM bietet grundlegenden Schutz gegen Cyberangriffe wie Phishing, Ransomware oder DDoS. Umfassenden Schutz liefern sie als reaktive Methoden jedoch nicht.

Fallen schlagen zu, Jäger spüren auf

Threat Hunting sucht proaktiv nach versteckten und unbekannten Bedrohungen, die von automatisierten Systemen wie SIEM nicht erkannt werden.

Als manuelle Methode arbeitet Threat Hunting hypothesenbasiert: Sicherheitsexperten, nach der Methode als Threat Hunter benannt, stellen Annahmen zu potenziellen Angriffen auf ein System auf und suchen gezielt nach Indikatoren, die eine solche Hypothese untermauern würden. Threat Hunting nutzt zwar auch Tools, wie zum Beispiel Endpoint Detection and Response (EDR) oder Netzwerk-Traffic-Analyse, setzt aber vor allen Dingen auf Kreativität und Erfahrung, um ungewöhnliche Muster zu erkennen. Dabei wird nicht, wie beim SIEM, mit vordefinierten Regeln gearbeitet. Die Threat Hunter suchen stattdessen nach Anomalien, die auf eine Kompromittierung hindeuten könnten. Die Zielsetzung lautet dabei, unbekannte oder schlummernde Bedrohungen wie zum Beispiel Zero-Day-Exploits oder persistente Angreifer aufzuspüren, bevor sie weiteren Schaden verursachen können.

Optimale Ergebnisse erzielen Strategien, die SIEM und Threat Hunting gezielt kombinieren: SIEM liefert in diesem Fall die Rohdaten und filtert offensichtliche Bedrohungen und schafft so die Basis für den analytischen Ansatz des Threat Huntings. Dieses nutzt die Daten, um tiefgehende Analysen durchzuführen und Angriffe aufzuspüren, die als Blind Spots vom SIEM nicht erkannt wurden. Die so im Threat Hunting gewonnenen Erkenntnisse werden wiederum genutzt, um Signaturen im SIEM zu optimieren und IT-Systeme besser abzusichern. Es entsteht eine Feedbackschleife, die sukzessive Resilienz aufbaut, vor unbekannten Bedrohungen schützt und die Schutzwirkung der automatisierten Systeme ausbaut.

Threat Hunter von ConSecur finden, was andere übersehen

Als Experte für IT-Sicherheitskonzepte entwickelt ConSecur seit 1999 Lösungen für Unternehmen und Organisationen. Das Unternehmen aus Meppen nutzt dabei führende IT-Sicherheitstechnologien für einen umfassenden Schutz vor komplexen Bedrohungen. Dabei setzt ConSecur auf einen ganzheitlichen Ansatz und unterstützt Mandanten mit erfahrenen Threat Huntern.

ConSecur bietet Leistungen im Bereich des Threat Huntings als eigenständige Leistung sowie als Bestandteil umfassender Systeme im Security Monitoring. Threat Hunter von ConSecur unterstützen Unternehmen von der proaktiven Erstellung von Anfangshypothesen bis zur systematischen Dokumentation, Analyse und Nachverfolgung aller Aktivitäten, Erkenntnisse und Ergebnisse sowie dem Aufbau von Schnittstellen zur IT, der Systementwicklung im Rahmen des Use-Case-Engineerings und weiteren Stakeholdern.

Quellen:

https://blog.checkpoint.com/…

https://medien.bsi.bund.de/…