{"id":13433,"date":"2022-12-19T12:00:43","date_gmt":"2022-12-19T11:00:43","guid":{"rendered":"https:\/\/blog.rwth-aachen.de\/itc\/?p=13433"},"modified":"2022-12-15T09:35:34","modified_gmt":"2022-12-15T08:35:34","slug":"threat-hunting","status":"publish","type":"post","link":"https:\/\/blog.rwth-aachen.de\/itc\/2022\/12\/19\/threat-hunting\/","title":{"rendered":"Threat Hunting \u2013 Auf der Jagd nach Bedrohungen"},"content":{"rendered":"<div class=\"twoclick_social_bookmarks_post_13433 social_share_privacy clearfix 1.6.4 locale-de_DE sprite-de_DE\"><\/div><div class=\"twoclick-js\"><script type=\"text\/javascript\">\/* <![CDATA[ *\/\njQuery(document).ready(function($){if($('.twoclick_social_bookmarks_post_13433')){$('.twoclick_social_bookmarks_post_13433').socialSharePrivacy({\"txt_help\":\"Wenn Sie diese Felder durch einen Klick aktivieren, werden Informationen an Facebook, Twitter, Flattr, Xing, t3n, LinkedIn, Pinterest oder Google eventuell ins Ausland \\u00fcbertragen und unter Umst\\u00e4nden auch dort gespeichert. N\\u00e4heres erfahren Sie durch einen Klick auf das <em>i<\\\/em>.\",\"settings_perma\":\"Dauerhaft aktivieren und Daten\\u00fcber-tragung zustimmen:\",\"info_link\":\"http:\\\/\\\/www.heise.de\\\/ct\\\/artikel\\\/2-Klicks-fuer-mehr-Datenschutz-1333879.html\",\"uri\":\"https:\\\/\\\/blog.rwth-aachen.de\\\/itc\\\/2022\\\/12\\\/19\\\/threat-hunting\\\/\",\"post_id\":13433,\"post_title_referrer_track\":\"Threat+Hunting+%E2%80%93+Auf+der+Jagd+nach+Bedrohungen\",\"display_infobox\":\"on\"});}});\n\/* ]]> *\/<\/script><\/div><p><div id=\"attachment_13435\" style=\"width: 310px\" class=\"wp-caption alignright\"><a href=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/12\/IT-Center-Blog-Threat-Hunting.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-13435\" class=\"wp-image-13435 size-medium\" src=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/12\/IT-Center-Blog-Threat-Hunting-300x169.png\" alt=\"Illustration eines Laptops mit Lupe. Durch die Lupe werden Sicherheitsvorf\u00e4lle sichtbar\" width=\"300\" height=\"169\" srcset=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/12\/IT-Center-Blog-Threat-Hunting-300x169.png 300w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/12\/IT-Center-Blog-Threat-Hunting-1024x576.png 1024w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/12\/IT-Center-Blog-Threat-Hunting-768x432.png 768w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/12\/IT-Center-Blog-Threat-Hunting-1536x864.png 1536w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/12\/IT-Center-Blog-Threat-Hunting.png 1920w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/a><p id=\"caption-attachment-13435\" class=\"wp-caption-text\">Threat Hunter decken Sicherheitsrisiken auf, bevor sie vom System erkannt werden. <\/p>\n<p>Quelle: Eigene Darstellung<\/p><\/div><\/p>\n<p>Nachdem sich Angreifer*innen in ein Netzwerk eingeschlichen haben, k\u00f6nnen sie dort monatelang unentdeckt bleiben, um unbemerkt Daten zu erfassen, nach sensiblem Material zu suchen oder sich Anmeldeinformationen zu beschaffen. Diese Informationen k\u00f6nnen sie dann nutzen, um sich in der IT-Infrastruktur zu bewegen, sie zu beobachten und weitere Daten abzugreifen. Je mehr Daten abgegriffen werden, desto schwerwiegender k\u00f6nnen die Folgen des Angriffs sein. Um solche Angriffe fr\u00fchzeitig erkennen zu k\u00f6nnen, ist eine gute Verteidigungsstrategie erforderlich. Ein wichtiger Teil einer solchen Strategie ist das sogenannte Threat Hunting.<!--more--><\/p>\n<h3><span style=\"color: #00549f;\">Was ist Threat Hunting?<\/span><\/h3>\n<p>Threat Hunting, oder auch Bedrohungssuche genannt, ist eine proaktive Methode zur St\u00e4rkung der IT-Sicherheit. Dabei werden Netzwerk und IT-Infrastruktur nach potenziellen Bedrohungen durchsucht. Threat Hunting soll dazu dienen, tief verborgene Bedrohungen in einer IT-Umgebung ausfindig zu machen.<\/p>\n<h3><span style=\"color: #00549f;\">Wie funktioniert Threat Hunting?<\/span><\/h3>\n<p>Threat Hunting unterscheidet sich von den klassischen Ans\u00e4tzen dadurch, dass das Verfahren einerseits pr\u00e4ventiv ausgelegt und andererseits durch manuelle Aktivit\u00e4ten gekennzeichnet ist. Diese k\u00f6nnen durch automatisierte Techniken und Sicherheits-Tools unterst\u00fctzt werden. Beim Threat Hunting wird zun\u00e4chst davon ausgegangen, dass das System bereits von Eindringlingen infiziert wurde. Basierend auf dieser Annahme, h\u00e4lt die\/der Bedrohungsj\u00e4ger*in dann nach auff\u00e4llige Verhaltensweisen Ausschau. Threat Hunters nutzen dabei drei verschiedene Vorgehensweisen.<\/p>\n<p>Bei der hypothesengest\u00fctzten Untersuchung werden zun\u00e4chst Informationen \u00fcber aktuelle Cyberangriffe und Techniken aus dem Internet ausgewertet. Anhand dieser Informationen pr\u00fcft der Threat Hunter anschlie\u00dfend, ob die dort beschriebene Verhaltensweisen auch in ihrer IT-Umgebung zu finden sind.<\/p>\n<p>Eine weitere Methode ist die Untersuchung auf Basis bekannter Kompromittierungs- oder Angriffsindikatoren (indicator of compromise, abgek\u00fcrzt IOC und indicator of attack, abgek\u00fcrzt IOA). IOC und IOA sind Merkmale und Daten, die auf die Kompromittierung eines Systems bzw. auf einen gerade erfolgenden Angriff hinweisen. Threat Hunter k\u00f6nnen\u00a0diese Merkmale und Daten ebenfalls nutzen, um potenziell getarnte Angriffe oder bereits laufende b\u00f6sartige Aktivit\u00e4ten zu finden.<\/p>\n<p>Bei einem dritten Ansatz wird das Threat Hunting von Big-Data-Technologien und <a href=\"https:\/\/blog.rwth-aachen.de\/itc\/2022\/08\/29\/kuenstliche-intelligenz\/\">maschinellen Lernen<\/a> unterst\u00fctzt. Im Laufe der Bedrohungssuche werden gro\u00dfe Mengen an Daten systematisch nach Unregelm\u00e4\u00dfigkeiten und abweichenden Verhaltensweisen untersucht. Diese Anomalien k\u00f6nnen dann vom Threat Hunter genauer untersucht werden.<\/p>\n<h3><span style=\"color: #00549f;\">Was sind die Vorteile von Threat Hunting?<\/span><\/h3>\n<p>Die meisten Sicherheitsvorf\u00e4lle und Angriffe werden viel zu sp\u00e4t entdeckt. Nicht selten dringen Cyber-Kriminelle v\u00f6llig unbemerkt in Systeme ein. Sie verhalten sich zun\u00e4chst unauff\u00e4llig, beobachten und nehmen nur kleine \u00c4nderungen vor, um m\u00f6glichst keinen Alarm auszul\u00f6sen und lange unentdeckt zu bleiben. Dabei k\u00f6nnen sie ihren Angriff in Ruhe vorbereiten, indem sie zum Beispiel \u00c4nderungen in Nutzendenprofilen und ihre Zugangsberechtigungen vornehmen. Die\/der Angreifer*in wird dann zur <a href=\"https:\/\/blog.rwth-aachen.de\/itc\/2022\/05\/16\/insider-bedrohung\/\">Insider-Bedrohung<\/a>. Da sie\/er dabei legitime Anmeldedaten und Zugangsrechte verwendet, l\u00f6sen die Sicherheitsmechanismen in der Regel weiterhin keinen Alarm aus.<\/p>\n<p>Threat Hunter bringen ein menschliches Element in die IT-Sicherheit ein, das die automatisierten Systeme erg\u00e4nzen soll. Im Idealfall handelt es sich dabei um eine*n Sicherheitsanalyst*n, die\/der mit den internen Abl\u00e4ufen bestens vertraut ist. Dank der Kenntnisse \u00fcber interne Prozesse, Nutzende und ihr Verhalten, kann dieser Threat Hunter bestimmte Ungereimtheiten unter Umst\u00e4nden schneller erkennen als ein automatisiertes Sicherheitssystem. Sie suchen dabei nach verborgener Malware und un\u00fcbliche Ver\u00e4nderungen sowie nach verd\u00e4chtigen Aktivit\u00e4tsmustern, die von einem automatisierten Sicherheitssystem \u00fcbersehen werden k\u00f6nnten. Die ben\u00f6tigte Zeit f\u00fcr die Erkennung, Untersuchung und Beseitigung von Bedrohungen kann dadurch in bestimmten F\u00e4llen erheblich gek\u00fcrzt werden.<\/p>\n<p>In einigen F\u00e4llen k\u00f6nnen Angriffe durch Threat Hunting identifiziert werden, bevor sie \u00fcberhaupt tats\u00e4chlich stattfinden und Schaden anrichten k\u00f6nnen. Einige Bedrohungen k\u00f6nnen erkannt werden, ohne dass konkrete Sicherheitsereignisse vorliegen. Dadurch k\u00f6nnen Probleme schneller gel\u00f6st und die Folgen von Sicherheitsereignissen deutlich minimiert werden. Anschlie\u00dfend k\u00f6nnen die aus der Bedrohungsjagd gewonnenen Erkenntnisse zur Optimierung automatischer Erkennungssysteme genutzt werden, um \u00e4hnliche Ereignisse in der Zukunft noch fr\u00fcher zu erkennen.<\/p>\n<p>Ihr m\u00f6chtet mehr \u00fcber IT-Security, Cyberangriffe und Sicherheitsstrategien erfahren? Unter dem Tag <a href=\"https:\/\/blog.rwth-aachen.de\/itc\/tag\/it-sicherheit\/\">IT-Sicherheit<\/a> findet ihr all unsere Blogbeitr\u00e4ge zum Thema Cybersecurity.<\/p>\n<p>&nbsp;<\/p>\n<p>Verantwortlich f\u00fcr die Inhalte dieses Beitrags ist <a href=\"https:\/\/www.itc.rwth-aachen.de\/cms\/IT-Center\/IT-Center\/Team\/~epvp\/Mitarbeiter-CAMPUS-\/?gguid=0x2C5E1B0A3DA32A45AB293A42E93EEC07&amp;allou=1\">St\u00e9phanie Bauens<\/a>.<\/p>","protected":false},"excerpt":{"rendered":"<p>Nachdem sich Angreifer*innen in ein Netzwerk eingeschlichen haben, k\u00f6nnen sie dort monatelang unentdeckt bleiben, um unbemerkt Daten zu erfassen, nach sensiblem Material zu suchen oder sich Anmeldeinformationen zu beschaffen. Diese [&hellip;]<\/p>\n","protected":false},"author":1859,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"c2c_always_allow_admin_comments":false,"footnotes":""},"categories":[305],"tags":[609,61,149,727],"class_list":["post-13433","post","type-post","status-publish","format-standard","hentry","category-themen","tag-cyber-security","tag-it-sicherheit","tag-safetyfirst","tag-threat-hunting"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts\/13433","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/users\/1859"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/comments?post=13433"}],"version-history":[{"count":2,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts\/13433\/revisions"}],"predecessor-version":[{"id":13437,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts\/13433\/revisions\/13437"}],"wp:attachment":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/media?parent=13433"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/categories?post=13433"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/tags?post=13433"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}