Die drei größten Irrtümer über Threat Hunting

Die Bedrohungssuche ist eine von Menschen geleitete und maschinell unterstützte Aufgabe. Dabei prüfen die „Jäger” Datensätze und Muster, um festzustellen, ob eine schadhafte Aktivität oder ein aktiver Angriff vorliegt. Dieser überaus komplizierte Prozess wird oftmals fehlinterpretiert. Sophos klärt über die drei häufigsten Missverständnisse auf.

Um sich vor Cyber-Angriffen zu schützen ist es das Ziel, den sich ständig weiterentwickelnden Bedrohungen einen Schritt voraus zu sein. Dabei ist die Praxis des „Threat Hunting” für die Überwachung und Behandlung von Netzwerkaktivitäten, das Entdecken von unbekannten Bedrohungen und die passende Reaktion darauf zunehmend wichtiger geworden. Ein komplexer Prozess, mit dem zahlreiche falsche Vorstellungen verbunden sind. Als Resultat wiegen Irreführung und Missverständnisse die Menschen in einem falschen Gefühl von Sicherheit und lassen die Organisation dabei ungeschützt. In der Debatte um die Suche nach Cyberbedrohungen gibt es drei gängige Fehleinschätzung.

Missverständnis Nummer 1: Threat Hunting lässt sich automatisieren

Die Idee, dass sich die Suche nach Cyber-Bedrohungen automatisieren lässt, gehört zu den größten Irrtümern. Denn während sich Teile des Prozesses tatsächlich automatisieren lassen, ist die menschliche Komponente essentiell für jede erfolgreiche Gefahrensuche. Durchgehend – also von der Identifizierung feindlicher Aktivitäten bis zur Reaktion darauf – lässt sich der gesamte Prozess (zumindest zum jetzigen Zeitpunkt) nicht automatisieren.

Trotzdem spielt Automatisierung eine wichtige Rolle beim Threat Hunting, und zwar beim Datensammeln und beim Aufspüren von Bekanntem. Bei einer automatisierten Suche kann eine Aktivität durch eine automatisierte Regel als verdächtig markiert werden. Sobald das passiert, bedarf es aber einer weiteren Instanz, die sich diesen Hinweis ansieht und eine strategische Analyse durchführt. Eine Maschine kann Abweichungen anzeigen, aber sie kann keine intelligente Entscheidung darüber treffen, ob eine Bewegung bös- oder gutartig ist. Es existiert ein großer Graubereich, bei dem es auch für ein gut trainiertes Modell schwierig ist, zu einer korrekten Urteilsfindung zu kommen. Menschliche Expertise ist notwendig.

Ein Beispiel: Ist PsExec im Netzwerk aktiv (ein Telnet-Ersatz, um Prozesse auf anderen Systemen via LAN auszuführen), ist noch nicht notwendigerweise klar, ob diese Aktion schadhaft oder harmlos ist. Es ist zunächst einmal eine Administratorfunktion, die für legitime Zwecke gedacht ist. Sie wird allerdings oft auch von Malware verwendet und Angreifer versuchen darüber etwas Bösartiges umzusetzen. Wie aber erkennt der Nutzer, ob er hier auf etwas Schadhaftes oder Gutartiges stößt? Menschliche Expertise kann in diesem Fall den Kontext liefern. Beispielsweise hat ein Kollege im Hintergrund Zugriff womit dieser Prozess autorisiert ist – Situationen, die die Maschine nicht kennen kann. Erst mit diesen Mehrinformationen lässt sich ableiten, ob eine Aktion berechtigt oder möglicherweise schadhaft ist.

Missverständnis Nummer 2: Mit Endpoint Detection and Response (EDR) betreibt man Threat Hunting

Bedrohungsjagd und EDR sind nicht das gleiche. Setzt der Nutzer ein EDR-Produkt ein, betreibt er damit nicht automatisch Threat Hunting. Im Grunde basiert EDR auf einem großen Datensatz, der dazu dient, Informationen zu ermitteln oder abzufragen. Während EDR ein wichtiges Werkzeug bei der Gefahrensuche ist, ist es dennoch nur ein Teil des gesamten Prozesses. Es existieren zahlreiche weitere Informationsquellen, die überaus wertvoll sind, etwa der Netzwerkverkehr. Gefahrenjäger schauen über EDR-Daten hinaus, beispielsweise auf Netzwerkprotokolle, Firewalls und Einbruchsmeldungen sowie Präventionsprotokolle, um ein ganzheitliches Bild der Umgebung zu erhalten. Das Einbeziehen von Daten aus Drittquellen, wie Informationen von Microsofts Active Directory, Office 365 Daten oder Daten aus anderen Anwendungen, kann den Datensatz anreichern. Je größer dieser ist, desto besser lassen sich komplexere Bedrohungen identifizieren.

Missverständnis Nummer 3: Füttert man SIEM mit Daten, kann man auf Bedrohungsjagd gehen

SIEM (Security Information and Event Management) bietet einen nützlichen Service, da es eine Umgebung darstellt, in der man zahlreiche Informationen kumulieren und abfragen kann. SIEM birgt aber auch ein großes Problem: es ist kaum möglich, die Daten konsistent zu halten. Und eine schlechte Datenqualität führt kaum zu guten Suchergebnissen.

Zwar ist die Definition von Qualitätsdaten oft subjektiv. Im Kern geht es aber darum, dass Daten aus unterschiedlichen Systemen genormt und dass Datenattribute (wo möglich) standardisiert sind.

Die Qualität der Daten ist aus folgenden Gründen entscheidend:

  1. Sie erhöht die Produktivität einer Bedrohungssuche und erleichtert es dem Team, große Datenmengen abzufragen und konsistente Ergebnisse zu erhalten.
  2. Bei genormten Datenattributen wird vermieden, dass bei einer Suche unterschiedliche Datensätze zusammengeführt werden müssen. Gleichzeig erhält man dadurch einen reicheren Kontext zur Identifizierung komplexerer Bedrohungen.
  3. Ein gutes Verständnis über die Qualität der Daten ermöglicht es dem Team klare Zielvorgaben darüber zu haben, welche Daten sie analysieren können und was nicht analysierbar ist. Das hilft bei der Koordination und Priorisierung von Projekten.

Hochwertige Daten ermöglichen es Threat Huntern, komplexe Bedrohungen schneller und genauer zu identifizieren und damit effektiver und leistungsstärker zu sein.

Der Schlüssel für eine erfolgreiche Gefahrensuche

Daten sind nur der Beginn der Bedrohungssuche. Wichtiger ist, wie man die Daten anwendet, um den initialen Punkt der Gefahr zu erkennen. Daten nutzbar zu machen, so dass man mit ihnen arbeiten kann, lässt sich durch Maschinen nicht automatisieren. Denn wäre das möglich, würde MDR (Managed Detection and Response) gar nicht existieren.

Einschätzungen über Gefahren, eine Methode, gute Daten und ein kritischer Blick auf verdächtige Aktivitäten sind die Schlüsselkomponenten für eine erfolgreiche Bedrohungssuche. Tauchen verdächtige Aktivitäten in der Grauzone auf, können Threat Hunter mit strategischen Analysen die Absicht entschlüsseln. Erst danach wird entschieden ob eine Reaktion nötig ist oder nicht.

Firmenkontakt und Herausgeber der Meldung:

Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de

Ansprechpartner:
Arno Lücht
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
Thilo Christ
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
Ariane Wendt
Telefon: +1 (724) 536839
E-Mail: sophos@tc-communications.de
Ulrike Masztalerz
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel