Threat Hunting: Die Jagd nach Cyberbedrohungen

bei

 / 19. March. 2019

Die Bedrohungssuche ist eine komplexe Aufgabe, aber mit den richtigen Tools und Technologien kann sie einen großen Unterschied für die Sicherheit in Unternehmen bedeuten.

Threat Hunting oder Bedrohungssuche bedeutet, aktiv nach Malware oder Angreifern zu suchen, die im Netzwerk lauern – und das möglicherweise schon seit geraumer Zeit. Cyberkriminelle lernen immer neue Tricks, um traditionelle Abwehrmaßnahmen zu umgehen. So können sie heimlich still und leise Daten abschöpfen, geduldig nach vertraulichen Daten suchen oder sich durch das Netzwerk arbeiten, um Anmeldeinformationen aufzuspüren. Die Bedrohungssuche unterscheidet sich von traditionellen Maßnahmen des Bedrohungsmanagements wie Firewalls, Intrusion Detection Systems (IDS), Sandboxing und Security Information and Event Management (SIEM). Alle diese Maßnahmen führen eine Untersuchung erst durch, nachdem ein Angriff oder ein Sicherheitsvorfall einen Alarm ausgelöst hat. Es handelt sich also um rein reaktive Maßnahmen.

Anhaltende Bedrohung

Grundlegende Sicherheitsmaßnahmen und ordnungsgemäß implementierte Antivirenprogramme, Firewalls und andere automatisierte Sicherheitstools sollten die Mehrheit der Bedrohungen daran hindern, einzudringen. Sicherheitsexperten gehen davon aus, dass 80 Prozent der Angriffe sehr simpel sind und durch Standard-Sicherheitsmaßnahmen eingedämmt werden können. Die übrigen 20 Prozent stellen hoch entwickelte Bedrohungen dar: Sie lassen sich nicht allein mit programmgesteuerten Lösungen erkennen. Sobald sich ein Angreifer unbemerkt in das Netzwerk eingeschlichen hat, gibt es kaum Möglichkeiten, ihn davon abzuhalten, dort zu verweilen. Studien besagen, dass Cyberkriminelle im Durchschnitt 190 Tage in einem Netzwerk verbringen, bevor sie entdeckt werden – mehr als genug Zeit, Schaden anzurichten. Fortgeschrittene persistente Bedrohungen (Advanced Persistent Threats, APTs) können viel Unheil stiften. Im Vergleich zu einem einfachen Hacking-Versuch erfordert ein APT deutlich mehr Aufwand und Aufmerksamkeit. Hier kommt Threat Hunting ins Spiel. Anders als Threat Detection, dessen Erkennung passiv ist und auf Alarme wartet, ist Threat Hunting aktiv und sucht nach nicht identifizierten schädlichen Aktivitäten.

Die Jagd nach Bedrohungen geht von der Prämisse aus, dass sich die Angreifer bereits im Netzwerk eines Unternehmens befinden und dieses heimlich überwachen und durchforsten. Threat Hunting stoppt diese Angriffe bevor sie ihre Ziele erreichen, indem es verdeckte Indikatoren für Kompromittierungen (IOCs) ausfindig macht. Threat Hunting bietet diverse Vorteile, einige direkt und andere indirekt. Zu den direkten Vorteilen zählen eine geringere Verweildauer für Angreifer, die schnelle Erkennung und Reaktion auf neue schädliche Aktionen sowie neue Erkennungsmethoden. Zu den indirekten Vorteilen zählen das Aufdecken von Regelverletzungen, nicht gepatchten Systemen, riskantem Benutzerverhalten und möglicherweise unbekannten Angriffsflächen in der Umgebung.

Threat Hunting basiert auf Metadaten von Netzwerk- und Endgeräten. Netzwerk-Metadaten sind die Basis für Big-Data-Analysen, während Endpunkt-Metadaten die Jagd auf Angreifer-Aktivitätsmuster ermöglichen. Metadaten lassen sich viel effektiver und günstiger speichern als echte Daten und schnell abfragen. Sie stellen Inhalt und Kontext bereit, der in Firewall-Protokollen oder SIEM-Dashboards nicht auftaucht.

Tarnen und täuschen

Es gibt noch weitere Methoden der Jagd: Zur Elevate-Plattform von Fidelis Cybersecurity etwa zählt neben Komponenten für den Schutz von Endpoints und den Schutz von Netzwerken auch eine Deception-Lösung, mit der sich das Verhalten von Cyberkriminellen beobachten lässt und die gleichzeitig der Ablenkung dient. Deception legt Köder und Attrappen aus, um Hacker und automatisierte Malware anzulocken. Statt vergeblich nach dem bösen Akteur im Ozean guter Daten zu fischen, liefert Deception aussagekräftige Alarme und Verkehrsanalysen. Moderne Deception bietet zudem gefälschte Zugangsdaten mit Active-Directory-Einträgen und simulierten Zugriffen auf Unternehmensressourcen. Dies bildet ein überzeugendes Scheinnetzwerk, das Geräte, Daten und Verhaltensweisen enthält, die alle dazu dienen, dass Angreifer die Köder verfolgen. So können die Verteidiger sie erkennen, daraus lernen und sich erfolgreich verteidigen. Deception stellt auch eine Abwehrmaßnahme für nicht standardmäßige Geräte dar, die keinen Sicherheitsagenten haben – beispielsweise IoT-Geräte für Unternehmen wie Drucker, intelligente Beleuchtungssysteme, Kameras und Switches – sowie nicht mehr supportete Systeme.

Security-Systeme sind wichtig, um gesammelte Metadaten für die Analyse über Ende-zu Ende-Beziehungen hinweg zur Verfügung zu stellen, Alarme auf Endgeräten zu überprüfen, Alarme zu Schlussfolgerungen zusammenzufassen, komplette Abläufe zwischen Deception, Endpunkt und Netzwerk für die Erkennung und Untersuchung bereitzustellen sowie automatisierte Antworten zu ermöglichen. Bei Stand-Alone-Lösungen werden Metadaten häufig nicht erfasst und genutzt. Zudem bleibt es den Unternehmen überlassen, über Schnittstellen (APIs) für eine benutzerdefinierte Integration zu sorgen. Laut Fidelis Cybersecurity können Kunden eine Anzahl von 40 bis 50-Sicherheitslösungen durch Konsolidierung und Integration auf 10-15 Systeme reduzieren. Der zu schützende Bereich wird dabei mit Asset-Profiling und -Klassifizierung als integriertes Feature abgebildet. Ein weiteres Beispiel ist die Bereitstellung von Informationen zu den Endpunkten zur Inventarisierung und um Schwachstellen zu erkennen. Beides verringert die Anzahl der erforderlichen Sicherheitslösungen.

Fazit

Zusammenfassend lässt sich sagen, dass Unternehmen aktive Taktiken wie Threat Hunting zur Bedrohungserkennung in Betracht ziehen sollten. Mangelnde Ressourcen und Fähigkeiten sind hohe Barrieren, die sich aber überwinden lassen – etwa indem Teile an einen Provider für Managed Detection and Response (MDR) ausgelagert werden.

 

Roland Messmer ist bereits seit vielen Jahren erfolgreich im Management und im Vertrieb von High-End-Netzwerkprodukten und Netzwerksicherheitslösungen tätig. Zuletzt verantwortete er als Regional Director das Geschäft in Zentral- und Osteuropa bei LogRhythm. Zu seinen weiteren beruflichen Stationen zählten Foundry Networks und – nach der Übernahme des Unternehmens – Brocade Communications. Dort bekleidete er verschiedene Management-Positionen und verantwortete unter anderem den Data Center Networking-Vertrieb. Zudem hat Roland Messmer maßgeblich den Aufbau, das Wachstum und den Erfolg von Aruba Networks in der Region verantwortet.

Andreas Dumont arbeitet seit dem Jahr 2000 als Fachzeitschriftenredakteur und war seitdem in mehreren Verlagen angestellt. 2019 hat er sich als freier Journalist und Autor selbstständig gemacht.