Was ist Cyber Threat Hunting? Der ultimative Leitfaden

Cyber Threat Hunting ist ein neuartiger Ansatz zur Bedrohungserkennung, der darauf abzielt, Cyber-Bedrohungen im Unternehmensnetzwerk zu finden, bevor sie Schaden anrichten. Dies umfasst das gezielte Suchen nach Schwachstellen sowie jegliche Anzeichen laufender Angriffe innerhalb einer digitalen Infrastruktur. Threat Hunting ist komplexer als passive Bedrohungserkennung und erfordert spezifische Prozesse, Lösungen und Fachkenntnisse.

Die Identifizierung raffinierter Cyberangriffe ist nicht einfach, also lassen Sie uns tiefer einsteigen und versuchen zu verstehen, was Cyber Threat Hunting in einer echten SOC-Umgebung ist und wie es funktioniert. Über die Definition von Threat Hunting hinaus sprechen wir über eine gängige Routine, die jeder Threat Hunter täglich ausübt.

Bevor wir ins Lernen einsteigen, sollten Sie die Threat Intelligence-Timeline für die Bedrohungen Ihres Interesses in unserer Cyber Threats Suchmaschine überprüfen. Sobald Sie alle notwendigen Informationen zur Hand haben, können Sie auf Threat Hunting-Abfragen auf unserer Detection as Code-Plattform zugreifen, sie im Browser modifizieren und Ihr Jagderlebnis durch nahtlose Integration mit zahlreichen Sicherheitssystemen, die Sie möglicherweise verwenden, erweitern.

Erkennen & Jagen Erforschen Sie den Bedrohungskontext

Wie beginnt man mit Threat Hunting?

Die ersten Schritte beim proaktiven Threat Hunting bestimmen oft den Gesamterfolg. Einfach ausgedrückt: Um eine Bedrohung zu finden, müssen Sie eine Vorstellung davon haben, wonach Sie suchen. Stellen Sie sich eine durchschnittliche Organisation vor, die ungefähr 20.000 Ereignisse pro Sekunde generiert. Das sind 1.728.000.000 Ereignisse pro Tag. Dann gibt es täglich über 450.000 registrierte Malware-Beispiele. Automatisierte Algorithmen sind keine ideale Lösung, um gründlich versteckte Bedrohungen oder neue Malware-Stämme zu finden. Wie viele Cybersicherheitsleute benötigt man also, um solche großen Datenmengen zu bewältigen? Die Wahrheit ist, es gibt nie genug Sicherheitsspezialisten, es sei denn, sie beschränken ihre Bedrohungsforschung auf das, was wirklich wichtig ist. Sehen wir uns also an, wie man die Hauptrichtung des Threat Hunting identifiziert.

Situationsbewusstsein

An diesem Punkt müssen Threat Hunters über die Systemarchitektur, die Netzwerkstruktur und die Asset-Konfigurationen Bescheid wissen. Eine fein abgestimmte Sichtbarkeit auf das digitale Ökosystem der Organisation ermöglicht es, sich taktisch und strategisch auf die nächsten Schritte zu bewegen.

Situationsbewusstsein bedeutet, dass Threat Hunters die potenziellen Ziele der Angreifer sowie das aktuelle Schutzniveau kennen. Wenn es um die Elemente der Umgebung geht, betrachten die Hunter diese auch „innerhalb eines Zeit- und Raumvolumens, das Verständnis ihrer Bedeutung und auch die Projektion ihres Status in die nahe Zukunft“, wie es durch das OODA-Loop Konzept von Col. John Boyd definiert wurde. Um diese Art von Sichtbarkeit zu haben, ist eine korrekte Konfiguration von Sicherheitstools und -lösungen äußerst wichtig. Zum Beispiel ist es ohne das Protokollieren von Befehlszeilen und PowerShell-Skripten unmöglich, viele Arten von schweren Angriffen zu identifizieren.

Bedrohungslandschaft & Angriffsfläche Bewusstsein

Die Cyber-Bedrohungslandschaft ist ein umfassendes Bild aller Cyber-Bedrohungen, die derzeit existieren und gefährlich sein könnten. Viele davon werden von Threat Hunters angenommen (darauf werden wir im nächsten Abschnitt eingehen), weil es nicht genügend Informationen darüber gibt, wie sie operieren, was die Ziele sind usw. Dennoch könnten sie für das Auge des Forschers unsichtbar sein. In einigen Quellen werden Sie feststellen, dass die Bedrohungslandschaft eine Liste aller bekannten Bedrohungen ist, aber diese Sichtweise ist begrenzt. Es ist besser anzuerkennen, dass ein Teil der Bedrohungslandschaft immer noch im Schatten liegt, aber dennoch existiert. Und Threat Hunters arbeiten normalerweise mit diesem Schattenanteil. Ein weiteres besonderes Merkmal einer Bedrohungslandschaft ist, dass sie dynamisch ist. Sie mutiert und entwickelt sich aufgrund zahlreicher Umstände; daher ist es wichtig, immer die Nachrichten, Informationen und die neuesten Forschungen im Auge zu behalten.

Die Angriffsfläche ist die Gesamtzahl der Schwachstellen (sowohl bekannt als auch Zero-Day), potenziellen Fehlkonfigurationen und Anomalien in der digitalen Infrastruktur der Organisation. Da heutzutage viele Softwareanwendungen zahlreiche Abhängigkeiten haben und oft auf Cloud-Servern bereitgestellt werden, ist es kaum möglich, einen Netzwerkperimeter als solchen zu definieren. Somit nimmt die Angriffsfläche zu. Gleichzeitig, wenn man einen Drucker hernimmt, der vor 20 Jahren hergestellt wurde und mit einem einzigen Personalcomputer mit einem perfekt gepatchten Windows und ohne Internetverbindung verbunden ist, hat er eine kleinere Angriffsfläche. Natürlich ist es verständlich, dass die Angriffsfläche exponentiell mit der Komplexität des Netzwerks wächst. Und vergessen wir nicht, dass Bedrohungen selbst dann existieren, wenn keine Schwachstellen vorhanden sind. Deshalb empfiehlt NIST, digitale Infrastrukturen zu schaffen, die sicher durch Design.

Risikopriorisierung

Es gibt viele Ansätze zur Erstellung und Aufrechterhaltung des Managements von Cyber-Risiken. Organisationen verwenden Rahmenwerke von NIST, ISO 270001, DoD und mehr. Alles in allem geht es darum, die Risiken zu definieren, die auf einen bestimmten Geschäftskontext anwendbar sind, sie zu priorisieren, eine Risikoappetit zu definieren, Migrations-Playbooks zu dokumentieren und regelmäßig deren Effizienz zu überprüfen.

Was hat Risikomanagement mit Threat Hunting zu tun? Dort beginnt alles. Zum Beispiel sind von 100 % riskanten Mustern 50 % gepatcht, 30 % aufgrund der Netzwerkkonfiguration nicht anwendbar, 10 % werden durch automatisierte Sicherheitssysteme behandelt, und 5 % werden manuell saniert. Was bleibt, sind 5 % der unbekannten Risiken. Dort beginnt das Threat Hunting.

Was sind die Schritte des Threat Hunting?

Threat Hunters sind diejenigen, die unbekannten Bedrohungen gegenüberstehen, also beginnen sie, sobald sie etwas Verdächtiges haben, mit den Threat Hunting-Schritten. Die Erkennung der Verdächtigkeit selbst erfordert ebenfalls viel Fachwissen und Erfahrung. Zum Beispiel könnte etwas, das wie ein DDoS-Angriff aussieht, nur mehrere Computer im Netzwerk sein, die gleichzeitig gestartet werden. Um also nicht in die falsche Richtung zu gehen, sollte jeder Schritt des Threat Hunting gut durchdacht sein. Im Allgemeinen lassen sich drei Schritte skizzieren.

Generieren einer Threat Hunting-Hypothese

The Die Threat Hunting-Hypothese kommt zuerst, genauso wie bei jeder anderen Art von Forschungsarbeit. Tauchen Sie in unseren Leitfaden zu Beispielen von Cyber Threat Hunting-Hypothesen ein, wenn Sie mehr wissen möchten. Denken Sie daran, dass, selbst wenn sich Ihre Hypothese als falsch erweist, Sie immer noch ein wertvolles Stück Information für Ihre weitere Forschung erhalten. Zum Beispiel haben Sie angenommen, dass einige der seltenen HTTP-Nutzeragenten bösartig waren, sich dann aber herausstellte, dass sie es nicht waren. Es ist in Ordnung, jetzt haben Sie ein besseres Situationsbewusstsein darüber, was innerhalb des Unternehmens passiert. Übrigens kann das Herausfordern Ihrer Hypothesen und deren Vergleich mit alternativen nützlicher sein als ein „zufriedenstellender“ Ansatz, bei dem Sie nur sich selbst beweisen wollen lassen und fehlende Teile nicht erkennen.

Führen Sie Tests & Analysen durch

Jetzt, da die Hypothese aufgestellt ist, ist es Zeit, sie zu testen. Threat Hunters könnten verschiedene Threat Hunting-Tools verwenden, da es mehrere Wege für die Prüfung ihrer Hypothesen gibt. Sie können nach spezifischem Verhalten in Systemprotokollen suchen, Malware-Beispiele in einer emulierten Umgebung testen, sich den Netzwerkdatenfluss ansehen und mehr. Der schwierigste Teil ist es, einen Weg zu finden, um das zu erkennen, wonach Sie suchen. Nehmen wir an, Sie möchten eine Beaconing-Erkennung durchführen, aber Ihr Netzwerk nutzt DNS über HTTPS-Verschlüsselung, dann gibt es einige Tricks, die Sie kennen sollten. Es ist möglich, in diesem Fall bösartige Signale zu finden, aber einige Systemkonfigurationen könnten Sie an einer erfolgreichen Suche hindern und zu falsch-negativen Ergebnissen führen.

Der Analyse-Teil ist der interessanteste, da es mehrere Möglichkeiten gibt, mit Daten zu arbeiten. Manchmal ist es besser, auf mathematische Algorithmen wie die Faktorenanalyse zurückzugreifen, aber manchmal ist es besser, die Bedrohungen zu visualisieren. Es gibt viele Bedrohungsmodellierungs-Tools. Zum Beispiel wird TypeDB von Threat Hunters ziemlich häufig verwendet. Außerdem können Sie Diagramme, Diagramme und Diagramme verwenden, die besonders unterhaltsam sind, wenn Sie nach Dingen wie Ausreißern suchen möchten. Wenn Sie Verteilungsgrafiken, Standardabweichung, Box-Plots, Streudiagramme, Isolationswälder programmieren und Muster finden können, könnte diese Art von Analyse großartige Ergebnisse bringen.

Allerdings funktioniert alles Automatisierte selten gut mit nicht numerischen Daten. Maschinelles Lernen eignet sich gut zum Identifizieren von Unterschieden ohne das Eintauchen in den Kontext (vielleicht mit Ausnahme von Naïve Bayes, die gut für Textinhalte ist).

An irgendeinem Punkt ist es notwendig, ein menschliches Element zum Threat Hunting hinzuzufügen. Wenn diese Zeit kommt, versuchen Sie das Diamond-Modell der Eindringanalyse und die TTP-basierte Jagd. Wenn eine manuelle Überprüfung ewig dauern würde, weil eine große Datenmenge vorhanden ist, können Tools wie Clearcut hilfreich sein. Dann kennen Sie die Gewohnheiten Ihrer Benutzer und fügen Sie einen Hauch von Inspiration hinzu. Das Erlernen von Themen wie Statistik, Datenwissenschaft oder sogar kognitive Psychologie wird Ihnen Ihr Jagderlebnis bereichern.

Sanieren

Egal, wie gut es sich anfühlt, einfach ein freier Jäger und kreativer Forscher zu sein, am Ende der Threat Hunting-Pipeline kommen einige wichtige Verantwortlichkeiten ins Spiel. Wenn Sie die Analyseergebnisse vorliegen haben, ist es an der Zeit, diese zu dokumentieren und darauf basierend zu handeln, um zu verhindern, dass die von Ihnen gefundene Bedrohung Schaden anrichtet. In großen Organisationen wird dieser Vorgang namens Incident Response an die SOC-Mitglieder weitergegeben, die dies regelmäßig tun, während Threat Hunters zurück zu Hypothesen und Analysen gehen.

Bekannte Schwachstellen können gepatcht werden. Dieser Teil ist vielleicht der leichtere. Es ist jedoch eine Herausforderung, alle Arten von Patches bei allen Arten von Assets zu überwachen. Einige von ihnen mögen überhaupt kein Patchen, wie hochbelastete Server, die 24/7 arbeiten müssen, und jede Wartung gibt Schwankungen in den Geschäftsprozessen. Solche Patches sollten ordnungsgemäß geplant werden. Andernfalls können SOC-Teams Optionen zur Fehlerbehebung ohne Ausfallzeiten (ZDP) erkunden.

Schwierige Fälle erfordern einen einzigartigen Ansatz und werden daher in der Regel manuell behandelt. Insgesamt kann die Incident Response eine Vielzahl unterschiedlicher Aktionen umfassen. Threat Hunting-Zertifizierung Schulungen umfassen in der Regel Theorie und Praxis dazu. Neben einer effektiven Sanierung ist es manchmal notwendig, eine Datenwiederherstellung durchzuführen. Als Teil der proaktiven Bedrohungsabwehr verbessern SOC-Mitglieder den Schutz der Systeme basierend auf den Vorhersagen der Threat Hunters. Wenn es sich um eine gutartige Bedrohung handelt, tun sie vielleicht auch gar nichts.

Threat Hunting-Service

Das Outsourcing von Dienstleistungen ist im IT-Bereich ziemlich üblich, also warum nicht auch Threat Hunting-Dienste auslagern? Wenn es für eine langfristige Strategie von Vorteil ist, Sicherheitsspezialisten von außen anzustellen, hilft es, eine übermäßige Arbeitsbelastung vom internen Team zu nehmen und liefert für den ausgehandelten Preis einen großen Wert, dann ist es klug, diesen Schritt zu gehen.

Viele Anbieter bieten Threat Hunting-Dienste zusätzlich zu ihrer Software an, wie IBM, CrowdStrike, Verizon, ESET und Palo Alto Networks. SOC Prime Security Engineers bieten SIEM-Audits mit MITRE ATT&CK®-Abdeckung. Sie können Ihnen helfen, Konfigurationsprobleme, Fehler und einschränkende Faktoren in verschiedenen von Ihnen möglicherweise verwendeten Sicherheitsprodukten zu identifizieren. Nach dem ersten Audit können sie verwaltete Sicherheitsdienste durchführen, wie zum Beispiel:

• SIEM-Bereinigung
• Storage-Kostenreduktion
• Inhaltsanpassung
• Protokollquellenfilterung & Fahrplan
• Leistungsoptimierung
• MITRE ATT&CK®-Ausrichtung
• Architekturgrößenbestimmung und ganzheitliche Kostenoptimierung
• Schulungsplan für harte Fähigkeiten
• Technologieerweiterung
• Prozesstransformation
• Budget- und Stakeholder-Ausrichtung
• Entwicklungsfahrplan

All diese Verbesserungen wirken auf verschiedenen Ebenen, von der operativen bis zur strategischen, und helfen Threat Hunters, versteckte Bedrohungen zu erkennen.

Arten des Threat Hunting

Threat Hunters erkennen drei verschiedene Arten von Cybersecurity-Hunting, um Aufgaben zu teilen und ihre Ziele effizienter zu erreichen. Threat Hunting-Techniken könnten bei verschiedenen Arten von Threat Hunting gleich sein oder sich je nach Komplexität der Sicherheits-CI/CD-Pipeline unterscheiden.

Strukturiert

Strukturiertes Threat Hunting basiert auf den Indikatoren des Angriffs (IoA), die auf den MITRE ATT&CK® Adversary Tactics, Techniques, and Procedures (TTP) basieren. Dies ist die Spitze von David Bianco’s Pyramide des Schmerzes. Der Punkt einer solch detaillierten Sicht auf Kill-Chains besteht darin, Angreifer zu jagen, bevor sie es wissen (d. h. ihnen viel Schmerz zuzufügen).

TTPs machen Spaß, weil eine Technik zwangsläufig die andere nach sich zieht. Es ist, als würde man Discovery finden, nach Execution suchen. Wenn Sie Execution finden, suchen Sie nach Persistence usw. Wenn eine bestimmte Technik eingesetzt wurde, wissen Sie sicher, welche Datenquellen Sie benötigen und an welchen Orten Sie in diesen Quellen suchen werden. Im Allgemeinen ist strukturiertes Threat Hunting gut, um Zero-Day-Exploits zu erkennen, wenn keine sicheren Indikatoren vorhanden sind.

Unstrukturiert

Ein verdächtiges Ereignis oder eine Reihe von Ereignissen könnte als Auslöser für die Einleitung einer unstrukturierten Jagd dienen. Um mehr Kontext zu erhalten, möchte ein Cyber Threat Hunter alle Arten von Informationen sammeln. Was ist vor und nach dem Auslöser passiert? Was ist noch passiert? Stehen diese Ereignisse im Zusammenhang und wie? Sie möchten all diese Fragen beantworten.

Beachten Sie, dass Indikatoren für Kompromittierungen (IoC) viel weiter reichen können als URLs, Domainnamen und IP-Adressen. In der Tat sind viele Arten von anomalen Ereignissen recht greifbar. Sie können ihre Kennungen über Bedrohungs-Intel und/oder aus den internen Protokollen erhalten.

Für die vollständige Liste dessen, was Bedrohungs-Intel bieten kann, überprüfen Sie die Liste der STIX Cyber-beobachtbaren Objekte. Was die internen Quellen betrifft, protokolliert zum Beispiel Sysmon Prozesse, Sitzungen, Netzwerkverbindungen usw. Diese Protokolle enthalten GUIDs (global eindeutige Kennungen). Daher kann eine gut gemachte Threat Hunting-Regel identifizierbare Werte verwenden, die ein Kompromiss darstellen, wie:

• Anomale Lesevolumen der Datenbank
• Verdächtiger eingehender und ausgehender Datenverkehr
• Verdächtige Änderungen an Systemdateien
• Und vieles mehr

Wie Sie sehen werden, ist alles Anormale entweder zu wenig oder zu viel. Zu lange Befehlszeilen, zu kleine (verschleierte) Zeichenfolgen, zu viele DNS-Namen mit zu vielen Zahlen und Buchstaben usw. Normalerweise automatisieren Sicherheitstechniker die Erkennung all dieser, indem sie Baselines und Schwellenwerte im SIEM festlegen. Warum sollten sie also Threat Hunters belästigen, fragen Sie sich vielleicht? Weil es überraschend ist, wie leicht solche IOCs übersehen werden. Zum Beispiel gehen verdächtige Domainnamen durch einen Proxy-DNS-Server und das SOC-Team sieht sie einfach nicht. Das bedeutet, es ist Zeit zu jagen.

Zur zusätzlichen Effizienz können Threat Hunters in Tier 1,2,3 unterteilt werden, genau wie Analysten. Während die erste Gruppe Echtzeit-Cybersecurity-Threat Hunting durchführt, erforscht die zweite TTPs, und die dritte beschäftigt sich mit fortgeschrittener Analyse mit ML-Tools, Mathematik und Datenwissenschaft. Abhängig vom Threat Hunting Maturity Modeleines Unternehmens kann diese Verteidigungstaktik machbar oder nicht machbar sein.

Situational

Situational Threat Hunting kann von zwei Haupttypen von Quellen ausgehen: intern und extern. Zu den internen Quellen gehören Dinge wie regelmäßige Risikoassessments, Juwel-in-der-Krone-Analysen und andere Überlegungen zu Ihrer einzigartigen Infrastruktur und Ihrem Verkehr. Zu den externen Quellen gehören Bedrohungsinformationen, Nachrichten, Schwachstellen-Feeds und Forschungsergebnisse.

Während Bedrohungsinformationen auf Unternehmensniveau eine primäre Quelle für situatives Bedrohungsbewusstsein sind, sind alternative ebenfalls im Trend. Zum Beispiel ist Twitter gut, um zu wissen, was in der Welt der Cyber passiert. Schauen Sie sich diese Konten an:

• Malware-Datenverkehr
• CVE Trends
• Threat Intel

Neben Twitter gibt es viele andere Quellen, die es wert sind, erkundet zu werden. Open-Source Bedrohungsinformationen ziehen Tonnen interessanter Daten, die es wert sind, gejagt zu werden. Zusätzlich sind neue und heiße Anfragen immer verfügbar in einem Quick Hunt Modul auf der SOC Prime Detection as Code-Plattform. Sie erfordern keine umfangreiche Vorbereitung und Erfahrung, was gut für Junior Threat Hunters ist.

Was ist der Unterschied zwischen Threat Hunting und Threat Intelligence?

Einfach ausgedrückt, sind Threat Intelligence nützliche Informationen, und Threat Hunting ist das Sinnmachen dieser Informationen. Threat Hunters suchen proaktiv nach Gegnern innerhalb des Netzwerks einer Organisation. Sie verwenden Threat Intelligence-Feeds als Input, um ihre Jagdprozesse auszulösen.

Einige Threat Hunting-Plattformen wie die SOC Prime Detection as Code beziehen den Kontext der Bedrohungsinformationen zusammen mit anderen nützlichen Funktionalitäten ein, wie die Möglichkeit, Regeln zu entdecken und zu bearbeiten und sie dann in einer SIEM-, EDR/XDR- oder SOAR-Umgebung bereitzustellen. Es ist notwendig, kontinuierlich Bedrohungs-Intel-Feeds zu überwachen, da sie die neuesten Informationen über Cyber-Bedrohungen enthalten, die in verschiedenen privaten und öffentlichen Netzwerken entdeckt wurden.

Warum ist Threat Hunting wichtig?

Raffinierte Bedrohungen sind nicht so einfach zu erkennen. Ob es darum geht, auf dem Land zu leben oder monatelang der Erkennung zu entgehen, moderne Malware hat ihre Möglichkeiten, traditionelle Sicherheitskontrollen zu umgehen. Cybersecurity Threat Hunting ist wichtig, weil es die Sichtbarkeit von fortschrittlicher Malware verbessert und hilft, den Schaden zu vermeiden, den sie verursachen könnte. Präemptives Threat Hunting wird offiziell empfohlen von CISA und dem FBI.

Threat Hunters tragen zur Verbesserung der allgemeinen Cyberabwehr bei, weil sie als Bedrohungsforscher agieren. Durch die Anwendung eines ganzen Spektrums technischer und wissenschaftlicher Kenntnisse zerlegen die Hunter Malware-Beispiele und Phasen von Kill-Chains, um zu verstehen, wie sie funktionieren. Und wenn ein solches Verständnis erreicht ist, wird es möglich, ausgeklügeltere Methoden zur Bedrohungserkennung und -reaktion zu entwickeln.

Treten Sie bei SOC Prime Detection as Code Plattform, um auf Tausende von Cyber Hunting-Abfragen zuzugreifen, die die neuesten Angriffe antizipieren. Stärken Sie Ihre SOC-Pipeline mit Sigma-basierten Regeln, die in zahlreiche vendorspezifische Formate übersetzt werden und sofort in einer SIEM-Umgebung implementiert werden können. Und wenn Sie über eigenes Expertenwissen verfügen, sind Sie eingeladen, Ihre Erkennungsobjekte in unserer globalen Crowdsourcing-Initiative zu teilen, im Threat Bounty Program, wo Sicherheitstechniker und Forscher die kollaborative Verteidigung verbessern und für ihre Bemühungen wiederholt Auszahlungen erhalten.