Nachdem sich Angreifer*innen in ein Netzwerk eingeschlichen haben, können sie dort monatelang unentdeckt bleiben, um unbemerkt Daten zu erfassen, nach sensiblem Material zu suchen oder sich Anmeldeinformationen zu beschaffen. Diese Informationen können sie dann nutzen, um sich in der IT-Infrastruktur zu bewegen, sie zu beobachten und weitere Daten abzugreifen. Je mehr Daten abgegriffen werden, desto schwerwiegender können die Folgen des Angriffs sein. Um solche Angriffe frühzeitig erkennen zu können, ist eine gute Verteidigungsstrategie erforderlich. Ein wichtiger Teil einer solchen Strategie ist das sogenannte Threat Hunting.
Was ist Threat Hunting?
Threat Hunting, oder auch Bedrohungssuche genannt, ist eine proaktive Methode zur Stärkung der IT-Sicherheit. Dabei werden Netzwerk und IT-Infrastruktur nach potenziellen Bedrohungen durchsucht. Threat Hunting soll dazu dienen, tief verborgene Bedrohungen in einer IT-Umgebung ausfindig zu machen.
Wie funktioniert Threat Hunting?
Threat Hunting unterscheidet sich von den klassischen Ansätzen dadurch, dass das Verfahren einerseits präventiv ausgelegt und andererseits durch manuelle Aktivitäten gekennzeichnet ist. Diese können durch automatisierte Techniken und Sicherheits-Tools unterstützt werden. Beim Threat Hunting wird zunächst davon ausgegangen, dass das System bereits von Eindringlingen infiziert wurde. Basierend auf dieser Annahme, hält die/der Bedrohungsjäger*in dann nach auffällige Verhaltensweisen Ausschau. Threat Hunters nutzen dabei drei verschiedene Vorgehensweisen.
Bei der hypothesengestützten Untersuchung werden zunächst Informationen über aktuelle Cyberangriffe und Techniken aus dem Internet ausgewertet. Anhand dieser Informationen prüft der Threat Hunter anschließend, ob die dort beschriebene Verhaltensweisen auch in ihrer IT-Umgebung zu finden sind.
Eine weitere Methode ist die Untersuchung auf Basis bekannter Kompromittierungs- oder Angriffsindikatoren (indicator of compromise, abgekürzt IOC und indicator of attack, abgekürzt IOA). IOC und IOA sind Merkmale und Daten, die auf die Kompromittierung eines Systems bzw. auf einen gerade erfolgenden Angriff hinweisen. Threat Hunter können diese Merkmale und Daten ebenfalls nutzen, um potenziell getarnte Angriffe oder bereits laufende bösartige Aktivitäten zu finden.
Bei einem dritten Ansatz wird das Threat Hunting von Big-Data-Technologien und maschinellen Lernen unterstützt. Im Laufe der Bedrohungssuche werden große Mengen an Daten systematisch nach Unregelmäßigkeiten und abweichenden Verhaltensweisen untersucht. Diese Anomalien können dann vom Threat Hunter genauer untersucht werden.
Was sind die Vorteile von Threat Hunting?
Die meisten Sicherheitsvorfälle und Angriffe werden viel zu spät entdeckt. Nicht selten dringen Cyber-Kriminelle völlig unbemerkt in Systeme ein. Sie verhalten sich zunächst unauffällig, beobachten und nehmen nur kleine Änderungen vor, um möglichst keinen Alarm auszulösen und lange unentdeckt zu bleiben. Dabei können sie ihren Angriff in Ruhe vorbereiten, indem sie zum Beispiel Änderungen in Nutzendenprofilen und ihre Zugangsberechtigungen vornehmen. Die/der Angreifer*in wird dann zur Insider-Bedrohung. Da sie/er dabei legitime Anmeldedaten und Zugangsrechte verwendet, lösen die Sicherheitsmechanismen in der Regel weiterhin keinen Alarm aus.
Threat Hunter bringen ein menschliches Element in die IT-Sicherheit ein, das die automatisierten Systeme ergänzen soll. Im Idealfall handelt es sich dabei um eine*n Sicherheitsanalyst*n, die/der mit den internen Abläufen bestens vertraut ist. Dank der Kenntnisse über interne Prozesse, Nutzende und ihr Verhalten, kann dieser Threat Hunter bestimmte Ungereimtheiten unter Umständen schneller erkennen als ein automatisiertes Sicherheitssystem. Sie suchen dabei nach verborgener Malware und unübliche Veränderungen sowie nach verdächtigen Aktivitätsmustern, die von einem automatisierten Sicherheitssystem übersehen werden könnten. Die benötigte Zeit für die Erkennung, Untersuchung und Beseitigung von Bedrohungen kann dadurch in bestimmten Fällen erheblich gekürzt werden.
In einigen Fällen können Angriffe durch Threat Hunting identifiziert werden, bevor sie überhaupt tatsächlich stattfinden und Schaden anrichten können. Einige Bedrohungen können erkannt werden, ohne dass konkrete Sicherheitsereignisse vorliegen. Dadurch können Probleme schneller gelöst und die Folgen von Sicherheitsereignissen deutlich minimiert werden. Anschließend können die aus der Bedrohungsjagd gewonnenen Erkenntnisse zur Optimierung automatischer Erkennungssysteme genutzt werden, um ähnliche Ereignisse in der Zukunft noch früher zu erkennen.
Ihr möchtet mehr über IT-Security, Cyberangriffe und Sicherheitsstrategien erfahren? Unter dem Tag IT-Sicherheit findet ihr all unsere Blogbeiträge zum Thema Cybersecurity.
Verantwortlich für die Inhalte dieses Beitrags ist Stéphanie Bauens.