Erste Schritte mit Threat Hunting

Bedrohungen proaktiv abwehren ist besser als bloßes Reagieren. Wir geben Ihnen eine praktische Anleitung zur Vorbereitung auf die Suche und Neutralisierung von schwer fassbaren Cyber-Bedrohungen mit Threat Hunting.

Cyberangriffe werden bedrohlicher. Die Angreifer verwenden zunehmend innovative Methoden, um ihre Angriffe zu verstärken. Das Aufspüren und Neutralisieren von bösartigen Aktivitäten ist daher im Kampf gegen diese fortschrittlichen Bedrohungen anzuraten, aber das ist nicht einfach.

In diesem Bericht finden Sie Anleitungen für den Einstieg in die Bedrohungsjagd (Threat Hunting) und eine Übersicht über die Tools und Frameworks, die Sicherheitsteams, um den neuesten Cyber-Bedrohungen einen Schritt voraus zu sein und schnell auf potenzielle Angriffe zu reagieren.

Wir schildern Ihnen auch die fünf Schritte, die IT-Experten zur Vorbereitung auf die Bedrohungsjagd befolgen sollten.

Der Stand der Cyber-Bedrohungen im Jahr 2022

Die Cyberangriffe haben in diesem Jahr an Umfang, Komplexität und Auswirkungen zugenommen und die Herausforderungen für die Cybersicherheit in Unternehmen nehmen weiter zu. Im letzten Jahr haben laut der Sophos-Studie „The State of Ransomware 2022“ 57% der Unternehmen einen Anstieg des Volumens von Cyberangriffen festgestellt, 59 % sahen eine Zunahme der Komplexität der Angriffe und 53 % gaben an, dass die Auswirkungen der Angriffe zugenommen haben. Fast drei von vier Unternehmen (72 %) verzeichneten eine Zunahme in mindestens einem dieser Bereiche.

Ein wachsender Trend ist die Zunahme von Angriffen auf die Lieferkette, wie der im März bekannt gewordene Vorfall bei SolarWinds 2021. Die Angreifer hatten modifizierte Anweisungen in den Quellcode ihrer Orion-Lösung eingefügt, die für die Fernverwaltung komplexer Netzwerke verwendet wird. Diese Hintertür ermöglichte es den Angreifern, auf die Netzwerke von Kunden von SolarWinds, darunter mehrere Regierungsbehörden, zuzugreifen.

Ransomware ist eine reale Bedrohung für alle Unternehmen

66 % der Unternehmen waren im letzten Jahr von Ransomware betroffen, im Jahr 2020 waren es noch 37 %. Dies ist ein Anstieg von 78 Prozent innerhalb eines Jahres, was zeigt, dass die Angreifer immer besser in der Lage sind, Angriffe in großem Maßstab durchzuführen.

Der zunehmende Einsatz legitimer Tools bei Cyberangriffen

Die Angreifer bedienen sich zunehmend Raubkopien legitimer, handelsüblicher Software und kostenloser Open-Source-Tools. Diese Tools sind in der Regel dazu gedacht, Cyberangriffe zu simulieren, um die Sicherheit zu verbessern, können aber von Kriminellen für das Gegenteil ausgenutzt werden.

Tools wie Mimikatz (das sowohl von Penetrationstestern als auch von Malware-Autoren verwendet wird), sind zwar keine rein kommerziellen Angebote, wurden jedoch häufig eingesetzt und tauchten in fast jedem von Sophos im vergangenen Jahr untersuchten Vorfall auf.

Ebenfalls sehr verbreitet (dank der Veröffentlichung des Quellcodes im Jahr 2020) waren Raubkopien von Cobalt Strike (eine gegnerische Simulationssoftware), die nicht nur in Ransomware-Attacken verwendet wurden, sondern auch als Nutzlast anderer Malware. Die ‚Beacons‘-Funktion von Cobalt Strike, mit der sich eine Hintertür zu Windows-Rechnern öffnen lässt, hat dazu geführt, dass die Software zum bevorzugten Werkzeug von Cyberkriminellen geworden. Die meisten der Ransomware-Fälle, die wir im letzten Ransomware-Fälle, die wir im letzten Jahr beobachtet haben, mit Cobalt Strike Beacons zu tun.

Einen detaillierteren Überblick über den aktuellen Stand der Cyber-Bedrohungen finden Sie im aktuellen Sophos Threat Report.

Proaktive Cybersicherheitspraktiken sind ein Muss

Das gemeinsame Thema von Angriffen auf die Lieferkette, Software-Exploits und dem Mißbrauch legitimer Tools durch Hacker ist, dass sie von Menschen gesteuert werden. Sie sind sehr gezielt und kalkuliert sowie schwer auffindbar mit traditionellen Mitteln.

Um den Kriminellen einen Schritt voraus zu sein, müssen Unternehmen zu proaktiveren Cybersicherheitsansätzen übergehen. Die Reaktion auf menschliche Angreifer erfordert einen von Menschen gesteuerten Ansatz. Hier kommt die Bedrohungsjagd ins Spiel.

Was ist Bedrohungsjagd?

Threat Hunting ist ein iterativer und proaktiver Prozess, bei dem Endpunkt- und Netzwerktelemetrie durchsucht werden, um bösartige Aktivitäten zu identifizieren, wobei davon ausgegangen wird, dass die Angreifer bereits die Abwehrmaßnahmen umgangen haben.

Wir bezeichnen diesen Prozess als iterativ, da er ständig angepasst werden muss, um sicherzustellen, dass er eine wirksame Methode bleibt, um die sich ständig weiterentwickelnden Cyber-Bedrohungen von heute aufzuspüren und zu neutralisieren.

Während einer Bedrohungsjagd analysieren die Teams die von den Bedrohungsakteuren verwendeten Tools, Techniken und Verfahren (TTPs), um das Stadium des Angriffs zu bestimmen und Informationen zu sammeln. Sobald sie dies festgestellt haben, ergreifen sie geeignete Maßnahmen, um die Bedrohung zu neutralisieren, falls erforderlich.

Warum brauchen wir Threat Hunting?

Dafür gibt es mehrere Gründe, doch der übergeordnete Grund lautet: Entgegen unzähliger Behauptungen kann Technologie allein nicht 100 % der Bedrohungen aufhalten. Trotz mehrerer Verteidigungsschichten schleichen sich immer noch einige Bedrohungen in IT-Systeme ein und gefährden sie.

Wie wir bereits angedeutet haben, setzen moderne Bedrohungsakteure zunehmend auf adaptive und ausweichende Ansätze statt der automatisierten und groß angelegten Angriffe vergangener Zeiten.

Dies spiegelt sich auch in den Erkenntnissen unserer Bedrohungsabwehrteams wider, die einen deutlichen Anstieg der Zahl der menschlichen Angreifer registrieren, die Angriffe kontrollieren und steuern. Das bedeutet, dass Sicherheitsteams nach dem Unbekannten jagen müssen, um auf dem Laufenden zu bleiben, und gleichzeitig davon auszugehen, dass ein Angriff bereits stattgefunden hat.

Die Mentalität der Bedrohungsjäger

Erfahrene Bedrohungsjäger gehen oft davon aus, dass eine potenzielle Bedrohung bereits den Verteidigungsmaßnahmen entgangen ist, unabhängig davon, wo in der Angriffskette sie sich befinden könnte. Diese Mentalität zwingt sie dazu, zwei Dinge zu tun.

  1. Die Verweildauer der Bedrohungsakteure begrenzen

Je länger ein Hacker in Ihrem Netzwerk ist, desto mehr Zeit hat er, um schädliche Aktivitäten durchzuführen. Je weniger Zeit ein Angreifer in einem Netzwerk verbringen kann, desto weniger Schaden kann er anrichten. Sicherheitsteams müssen deshalb Bedrohungen aufspüren, bevor sie sich bemerkbar machen, weil sie davon ausgehen, dass die Verteidigungsmaßnahmen bereits umgangen wurden.

  1. Verkürzung der Zeit bis zur Erkennung

Diese Mentalität zwingt Teams auch dazu, die durchschnittliche Zeit bis zur Erkennung zu verkürzen. Sie verfügen möglicherweise über mehrere Verteidigungsschichten, und die Bedrohung kann Ihre Verteidigung erst weiter hinten in der Angriffskette auslösen.

Das Problem ist, dass es zu diesem Zeitpunkt zu spät ist – der Schaden ist bereits angerichtet, da die Bedrohung bereits zu weit eskaliert ist. Indem wir die Bedrohung aufspüren, können wir Schwachstellen in unserer Sicherheit identifizieren, die anschließend behoben werden können und damit die Zeit bis zur Entdeckung derselben oder ähnlicher Bedrohungen in der Zukunft verkürzen.

Wer führt die Bedrohungsjagd durch?

Bevor wir uns mit der Frage befassen, wer Bedrohungen aufspürt, ist es wichtig, die Rolle eines Bedrohungsjägers zu verstehen. Bedrohungsjagd ist ein hochkomplexer Vorgang. Personen, die in diesem Bereich tätig sind, müssen über eine Reihe spezifischer und spezieller Fähigkeiten besitzen. Die typischen Eigenschaften eines Bedrohungsjägers sind jedoch die folgenden

  1. Kreativ und neugierig – die Suche nach Bedrohungen gleicht der Suche nach einer Nadel im Heuhaufen. Jäger können oft tagelang nach Bedrohungen suchen und zahlreiche Methoden anwenden, um sie aufzuspüren.
  2. Erfahrung im Bereich der Cybersicherheit – die Bedrohungsjagd ist eine der fortschrittlichsten Tätigkeiten im Bereich der Cybersicherheit. Daher sind Vorkenntnisse in diesem Bereich und fundierte Kenntnisse ein Muss.
  3. Kenntnis der Bedrohungslandschaft – das Verständnis der neuesten Bedrohungstrends istein Muss, um unbekannte Entitäten aufzuspüren und zu neutralisieren.
  4. Gegnerische Denkweise – die Fähigkeit, wie ein Hacker zu denken, ist entscheidend für die Bekämpfung der heutigen menschengesteuerten Ansätzen.
  5. Technische Fähigkeiten und Protokollieren – Bedrohungsjäger müssen alle ihre Erkenntnisse als Teil des Untersuchungsprozesses protokollieren. Daher ist die Fähigkeit zur Kommunikation komplexer Informationen, von entscheidender Bedeutung, wenn es darum geht, die Suche zu Ende zu führen.
  6. Kenntnisse in den Bereichen Betriebssysteme und Netzwerke – fortgeschrittene Kenntnisse in beiden Bereichen sind unerlässlich.
  7. Erfahrung in der Programmierung/Skripterstellung – Das ist erforderlich, um Aufgaben zu automatisieren, Protokolle zu analysieren und Datenanalysen durchzuführen, um  Untersuchungen zu unterstützen und voranzutreiben.

Leider kommt zu dieser seltenen Kombination von Kompetenzen noch ein bemerkenswerter Mangel an Fähigkeiten bei traditionellen IT-Technikern hinzu. 54 % der IT-Administratoren sind der Meinung, dass Cyberangriffe trotz aller ihnen zur Verfügung stehenden Tools zu weit fortgeschritten sind, als dass ihr IT-Team sie allein bewältigen könnte. Wo jedoch Rollen besetzt werden können, sehen wir im Großen und Ganzen Bedrohungsjagd von einem von zwei verschiedenen Teams durchgeführt.

Innerbetriebliche Security Operations Center (SOCs)

Wenn sich Unternehmen dafür entscheiden, die Bedrohungsjagd selbst durchzuführen, werden sie innerhalb des Security Operations Center (SOC) beschäftigt. Ein SOC ist eine zentralisierte interne Unternehmensfunktion, die sich auf die Überwachung, Erkennung, Untersuchung von Cyber-Bedrohungen konzentriert, um darauf zu reagieren und gleichzeitig die übergreifende Sicherheitslage des Mutterunternehmens zu verbessern. Sie sind die erste Anlaufstelle innerhalb des Unternehmens für Fragen der Cybersicherheit.

Drittanbieter von Sicherheitsoperationen

Viele Unternehmen lagern ihre Sicherheitsoperationen zunehmend an Drittanbieter aus. Dies kann  auf einen Mangel an internen Kapazitäten zurückzuführen sein (IT-Teams verzeichneten im letzten Jahr einen Anstieg der Arbeitsbelastung im Bereich der Cybersicherheit um 69 %). Mangelnde interne Fähigkeiten oder die Bevorzugung externer Experten für diese kritische 24/7-Aufgabe.

Anbieter von Managed Detection and Response (MDR)

Managed Detection and Response MDR, das als vollständig verwalteter Service angeboten wird, stellt Unternehmen ein engagiertes Team von Sicherheitsanalysten zur Verfügung, die rund um die Uhr, sieben Tage die Woche und 365 Tage im Jahr nach lauernden Bedrohungen suchen. Tatsächlich nutzen 51 % einen Managed Detection and Response (MDR)-Dienstleister, um Telemetriedaten für die Erkennung und Reaktion auf Bedrohungen zu integrieren“, so eine Studie von ESG Research.

MDR-Anbieter, wie Sophos Managed Threat Response (MTR), haben eine Reihe von Vorteilen gegenüber einem rein internen Sicherheitsprogramm. Der wichtigste Vorteil ist oft die Erfahrung. Das MTR-Team von Sophos verfügt über Tausende von Stunden Erfahrung, in denen es alles gesehen und bewältigt hat, was die Gegner in Stellung bringen können. Außerdem können sie aus Angriffen auf ein Unternehmen lernen und diese auf alle Kunden anwenden. Ein weiterer Vorteil ist die Skalierbarkeit: Das Sophos MTR-Team kann 24/7-Support bieten, der von drei globalen Teams auf unterschiedlichen Kontinenten erbracht wird.

Managed Security Service Provider (MSSPs)

Managed Security Service Provider MSSPs werden eingesetzt, um einen Teil oder die gesamten IT-Sicherheitsabläufe eines Unternehmens zu verwalten. Es sind Teams, die sich mehr auf die täglichen Aufgaben konzentrieren können. MSSPs bieten Bedrohungsjagdfunktionen als Teil eines verwalteten

Dienstes an. Dies kann auch die oben beschriebenen MDR-Dienste umfassen.

Voraussetzungen für die Bedrohungsjagd

Damit Bedrohungsjäger potenziell bösartige Aktivitäten identifizieren und untersuchen können, benötigen sie Inputs und Untersuchungswerkzeuge. Hier kommen Endpoint Detection and Response (EDR) und Extended Detection and Response (XDR) ins Spiel. Sie ermöglichen es Jägern, verdächtige Erkennungen schnell zu erkennen und sie gründlich zu untersuchen.

Wie der Name schon sagt, liefert EDR Inputs von der Endpunktlösung. Im Gegensatz dazu konsolidiert XDR Signale aus der gesamten IT-Umgebung, einschließlich Firewall-, Mobil-, E-Mail- und Cloud-Sicherheitslösungen. Da Angreifer jede Angriffsmöglichkeit ausnutzen, können Sie sie umso besser frühzeitig erkennen, je weiter Sie Ihr Signalnetz auswerfen.

Eine der größten praktischen Herausforderungen bei EDR/XDR-Lösungen ist das Rauschen: Bedrohungsjäger erhalten so viele Signale, dass es schwierig sein kann, den Wald vor lauter Bäumen nicht zu sehen. Deshalb ist es wichtig, dass Sie Ihre EDR/XDR-Lösung mit einem leistungsstarken Endpunktschutz zu kombinieren, der mehr Bedrohungen von vornherein stoppt und es den Verteidigern ermöglicht, sich auf weniger, genauere Erkennungen konzentrieren können.

Die Anatomie von Threat Detection und Response

Threat Hunting ist eine Komponente eines umfassenderen Vorgangs – Threat Detection und Response. Bei Sophos wenden wir ein Threat Detection and Response Framework auf unsere Bedrohungsjagden an. Dieses besteht aus fünf Kernkomponenten.

  1. Prävention

Robuste und richtig konfigurierte Präventionstechnologien (wie z.B. eine Endpoint Protection-Lösung) verhindert, dass Angreifer in Ihr Netzwerk eindringen können. Noch wichtiger ist, dass dadurch auch die  Anzahl der Sicherheitswarnungen, die täglich oder sogar stündlich generiert werden. Da weniger Warnmeldungen zu durchforsten sind, kann das Sicherheitsteam die wichtigen Signale besser erkennen und sich auf sie konzentrieren – in diesem Fall von Menschen geführte Angreifer.

  1. Sammlung von Sicherheitsereignissen, Warnungen und Erkennungen

Daten sind der Treibstoff für die Bedrohungssuche und -analyse. Ohne die richtige Art, Menge und Qualität von Signalen ist es für Sicherheitsteams schwierig, potenzielle Angriffsindikatoren genau zu identifizieren. Doch Daten ohne Kontext erschweren die Überzeugungsarbeit des Analysten. Ohne aussagekräftige Metadaten, die mit dem Signal verknüpft sind, kann der Analyst nur schwer feststellen, ob die Signale bösartig oder harmlos sind.

  1. Priorisierung der wichtigen Signale

Um zu vermeiden, dass Sie von Daten überwältigt werden und die Elemente nicht erkennen, die eine genauere Untersuchung rechtfertigen, müssen Sie in der Lage sein, die wichtigen Alarme zu erkennen. Das ist schwieriger, als es aussieht. Je mehr Sie das Signal-Rausch-Verhältnis durch eine Kombination aus Kontext, den nur Ereignisproduzenten liefern können, und mit automatisierter und künstlicher Intelligenz, desto besser. Selbst mit Automatisierung ist dies kein einfacher Prozess.

  1. Untersuchung

Sobald Sie die Schlüsselsignale isoliert haben, ist es an der Zeit, Einblicke zu gewinnen und das, was Sie entdeckt haben, zu messen und anhand von vordefinierten Rahmen und Modellen zu messen, um bösartiges von gutartigem Verhalten zu unterscheiden.

OODA-Untersuchungsrahmen

Erfahrene Sicherheitsanalysten verwenden oft ein Framework, um ihre Untersuchungen zu steuern. Zum Beispiel verwendet das Sophos MTR-Team eine Untersuchungsmethodik, die als OODA-Schleife bekannt ist (Observe – beobachten, Orient – orientieren, Decide – entscheiden, Act – handeln). Dies ermöglicht es ihnen, sicherzustellen, dass alle Erkenntnisse getestet und verifiziert werden.

Die OODA-Schleife ist ein militärisches Konzept, das es unserem Team ermöglicht, einen Argumentationszyklus zu durchlaufen, um das das Ereignis und das umgebende Verhalten zu verstehen. Sie können dann auf diesem Wissen aufbauen und menschliche Entscheidungsfindung und Intuition einsetzen, um festzustellen, ob in der Umgebung des Kunden eine bösartige Aktivität vorliegt. So können auf dieser Grundlage entscheiden, wie sie darauf reagieren sollen.

Bei der Anwendung des OODA-Frameworks führen die Sicherheitsanalysten von Sophos häufig die folgenden Schritte durch:

Beobachten – was sehen wir bei dieser Erkennung?

– Beobachtung der potenziellen externen und internen Verbindungen im Zusammenhang mit der Erkennung und Feststellen, wo die Erkennung stattfindet und ob Endbenutzer mit ihr in Verbindung stehen

Orientieren – was verstehen wir über diese Entdeckung?

-Sammeln von evidenzbasierten Daten und Verstehen der gemeinsamen oder spezifischen Taktiken, Techniken und Prozeduren (TTPs) für diesen Angriff oder die Bedrohungsakteure. Eine solche Ressource zur Identifizierung von TTPs ist das MITRE ATT&CK-Framework, auf das wir später im Bericht näher eingehen werden. – Sammeln von Informationen über Angriffsindikatoren (IOAs) und Kompromittierungsindikatoren (IOCs)

Entscheiden – Ist diese Erkennung bösartig, verdächtig oder harmlos? Sind Maßnahmen erforderlich? Was werden Sie auf der Grundlage der vorherigen Schritte tun? – Abschwächen – Neutralisieren – Wiederholen – Verbessern.

  1. Aktion

Dies ist ein wichtiger Schritt. Sobald Sie festgestellt haben, dass Sie es mit einer Bedrohung zu tun haben, müssen Sie zwei Dinge tun und beide sind gleichermaßen wichtig. Erstens müssen Sie das unmittelbare Problem entschärfen, und zweitens müssen Sie bedenken, dass Sie wahrscheinlich nur ein Symptom des Angriffs bekämpfen und die eigentliche Ursache noch aufspüren und neutralisieren müssen. Die erste Aktion muss durchgeführt werden, ohne die Fähigkeit zur Durchführung der zweiten Maßnahme zu beeinträchtigen. Manchmal reicht es aus, einen Computer unter Quarantäne zu stellen oder ihn vom Netzwerk zu trennen, in anderen Fällen muss das Sicherheitsteam tief in ein Netzwerk eindringen, um die Fäden eines Angreifers zu ziehen.

Nur weil Sie zum Beispiel Malware erfolgreich blockiert und von Ihrem System entfernt haben und nicht mehr die Warnung sehen, die Sie darauf aufmerksam gemacht hat, heißt das noch lange nicht, dass der Angreifer aus Ihrer Umgebung verschwunden ist.

Professionelle Bedrohungsjäger, die Tausende von Angriffen beobachten, wissen, wann und wo sie genauer hinschauen müssen. Sie untersuchen, was die Angreifer sonst noch im Netzwerk tun, getan haben oder möglicherweise planen – und neutralisieren auch das.

Klassifizierung von Bedrohungen: das MITRE ATT&CK-Framework

Eine häufig von Bedrohungsjägern verwendete Ressource ist das MITRE ATT&CK-Framework. Wenn Sie schon einmal Zeit im Bereich der Cybersicherheit verbracht haben, haben Sie höchstwahrscheinlich zumindest davon gehört. Neben vielen anderen Frameworks ist MITRE eine weltweit zugängliche Wissensbasis über die TTPs von Angreifern, die auf realen Beobachtungen beruhen, und wird als Grundlage für die Entwicklung spezifischer Bedrohungsmodelle und Methoden. Es ermöglicht Bedrohungsjägern, die Verhaltensweisen von Angreifern einer Vielzahl von zuvor identifizierten TTPs zuzuordnen. Dies wiederum erlaubt es den Jägern, festzustellen, wo im Lebenszyklus des laufenden Angriffs sich dieser befindet. Dies ist entscheidend für die Orientierungsphase des OODA-Frameworks. Ausführlichere Informationen über das MITRE ATT&CK-Framework finden Sie hier.

Methoden der Bedrohungsjagd

In diesem Abschnitt werden einige häufig verwendete Threat Hunting-Methoden vorgestellt. Bei Sophos initiieren wir Threat Hunts häufig auf zwei verschiedene Arten.

Lead-driven Threat Hunts

In unserem Unternehmen wird jede Erkennung, die eine weitere Untersuchung erfordert, von einem menschlichen Threat-Analysten überprüft wird, der den geschäftlichen Kontext und das menschliche Denken auf jede Situation anwenden kann. Er wird das Verhalten beobachten, berücksichtigt den zuvor ermittelten geschäftlichen Kontext, stellt eine Hypothese auf und handelt dann entsprechend. Die Hypothese kann darin bestehen, sich aktiv mit dem potenziellen Vorfall zu befassen oder weitere Untersuchungen anzustellen, um das Wissen über das Problem zu vertiefen. Um den Kreislauf zu schließen, wartet der Analytiker ab und überprüft die Ergebnisse dieser Hypothese und der Tests. Wenn weitere Untersuchungen erforderlich sind, können sie diesen Zyklus wiederholen, bis sie eine Entscheidung getroffen haben. Wenn sich das Ereignis zu einem aktiven Vorfall entwickelt hat, geht der Analyst in den vollständigen Reaktionsmodus über, um die Bedrohung aktiv zu bekämpfen.

Leadless Threat Hunts

Während bei der lead-driven Jagd einer unserer Sensoren ein Signal von Interesse erkennen oder erzeugen muss, ist eine leadless Jagd viel organischer. Auch wenn wir immer noch unsere Algorithmen der künstlichen Intelligenz einsetzen, um Algorithmen verwenden, um die große Menge an Daten zu verarbeiten, wird die leadless Bedrohungsjagd fast immer von einem menschlichen Analysten geleitet. Anstatt uns auf das erste systematische Signal zu verlassen, das uns darauf hinweist, dass etwas untersucht werden muss, führen wir proaktiv Abfragen in den Beständen eines Kunden oder mehrerer Kunden durch.

Dies kann verschiedene Gründe haben:

  1. Ein Kunde in der gleichen Branche wurde auf eine bestimmte Art und Weise angegriffen, und wir wollen sicherstellen, dass die gleichen Bedrohungsakteure nicht versuchen, andere Kunden anzugreifen
  2. SophosLabs hat das MTR-Team über einen signifikanten Angriff auf Kunden informiert, entweder in der derselben Branche oder mit ähnlichen Eigenschaften.
  3. Ein bedeutendes Ereignis ist in der Sicherheitslandschaft eingetreten, und wir möchten feststellen, ob einer unserer Kunden betroffen ist.

Fallstudie: Die Ransomware-Jagd auf einen historischen Banking-Trojaner

Nachdem wir nun die Feinheiten der Bedrohungsjagd erläutert haben, wollen wir einen Blick auf eine Bedrohungsjagd in Aktion werfen. Wie das Sophos MTR-Team untersucht hat, ist dieser Fall ein gutes Beispiel dafür, wie eine Bedrohungsjagd auf unerwartetes reagiert hat. In diesem Fall meldete sich ein Kunde und teilte mit, dass ein Anbieter, mit dem er zusammenarbeitet, von Ransomware betroffen war und er befürchtete, dass auch er infiziert sein könnte.

Das Sophos MTR-Team begann sofort mit der Untersuchung und arbeitete mit unseren Experten in den SophosLabs zusammen. Sie stellten schnell fest, dass es keine Hinweise auf Ransomware gab. Zu diesem Zeitpunkt hätten einige Teams den Fall vielleicht schon abgeschlossen und sich anderen Aufgaben zugewandt. Das Sophos MTR-Team untersuchte den Fall jedoch weiter und entdeckte einen historischen Banking-Trojaner.

Der Kunde konnte sich beruhigt zurücklehnen, da er wusste, dass er nicht von Ransomware betroffen war und dass ein historischer Banking-Malware vollständig entfernt worden war – ein Ergebnis, das ohne das Eingreifen von Experten nicht zustande gekommen wäre.

Und wie diese Geschichte zeigt, ist Ransomware zwar oft die Bedrohung, die im Vordergrund steht, aber es ist auch wichtig, dass man auch auf Angriffe achten sollte, die sich lieber im Schatten verstecken. Innerhalb von zwei Stunden und 6 Minuten war der gesamte Vorfall untersucht und bereinigt.

Einen tieferen Einblick in diesen Fall finden Sie in diesem Artikel.

Vorbereitung auf Threat Hunting – fünf Schritte

Sie haben nun hoffentlich einen guten Überblick über alles, was mit Threat Hunting zu tun hat. Doch bevor Sie beginnen können, müssen Sie sicherstellen, dass Ihr Unternehmen für die effektive Durchführung der Bedrohungsjagd bestens gerüstet ist.

  1. Verstehen Sie den Reifegrad Ihrer aktuellen Cybersicherheitsmaßnahmen

Bevor Sie damit beginnen können, potenzielle Angreifer zu verstehen, müssen Sie den Stand Ihrer derzeitigen Cybersicherheitsvorgänge verstehen. Die Zuordnung Ihrer Prozesse zu einem Cybersicherheits-Reifegradmodell (wie dem Cybersecurity Maturity Model Certification (CMMC) des US-Verteidigungsministerium) ist eine gute Möglichkeit, um festzustellen, wie gut Sie für die Bedrohungsjagd gerüstet sind (oder auch nicht). Es ist auch eine gute Idee, Ihre Ihre Sicherheitslage zu überprüfen, um festzustellen, wie anfällig Sie für Bedrohungen sind.

  1. Entscheiden Sie, wie Sie bei der Bedrohungssuche vorgehen wollen

Sobald Sie Ihren Cyber-Reifegrad festgestellt haben, können Sie entscheiden, ob Sie die Bedrohungssuche intern durchführen, vollständig auslagern oder eine Kombination aus beidem wählen möchten.

  1. Erkennen Sie technologische Lücken

Überprüfen Sie Ihre vorhandenen Tools und ermitteln Sie, was Sie für eine effektive Bedrohungssuche noch benötigen. Wie effektiv ist Ihre Präventionstechnologie? Verfügt sie über die Fähigkeiten zur Bedrohungssuche, wie EDR und XDR?

  1. Identifizieren Sie Qualifikationslücken

Die Bedrohungsjagd ist komplex und erfordert spezielle Fähigkeiten. Wenn Sie nicht über die nötige Erfahrung verfügen, sollten Sie Schulungskurse belegen, um die erforderlichen Fähigkeiten zu entwickeln. Ziehen Sie auch die Zusammenarbeit mit einem Drittanbieter in Betracht, um Ihr Team zu ergänzen.

  1. Entwickeln und implementieren Sie einen Plan zur Reaktion auf Vorfälle

Bevor Sie mit der Bedrohungsjagd beginnen, müssen Sie unbedingt einen umfassenden Plan für die Reaktion auf Vorfälle erstellen, um sicherzustellen, dass jede Reaktion angemessen und kontrolliert ist. Ein gut vorbereiteter, gut verstandener Reaktionsplan, den der von allen Beteiligten sofort in die Tat umgesetzt werden kann, wird die Auswirkungen eines Angriffs auf Ihr Unternehmen drastisch minimieren.

Ein guter Reaktionsplan für einen Vorfall sollte Protokolle für die Vorbereitung, Erkennung und Meldung, Triage und Analyse, Eindämmung und Neutralisierung sowie Aktivitäten nach einem Vorfall enthalten. Tipps für die Erstellung eines effektiven Vorfallreaktionsplans finden Sie in unserem Leitfaden zur Vorfallreaktion  in der Sophos Threat Hunting Academy.

Wie Sophos helfen kann

Wie wir bereits erwähnt haben, ist eine effektive Bedrohungsjagd unglaublich komplex und erfordert Technologien der nächsten Generation, gepaart mit umfassender menschlicher Expertise. Glücklicherweise kann Sophos Ihre Threat Hunting Ziele unterstützen, unabhängig vom Reifegrad Ihrer Cybersicherheit.

Sophos Intercept X Endpoint verhindert, dass Bedrohungen in Ihr Netzwerk eindringen

Bedrohungsjäger können ihre Aufgaben nur dann effizient erfüllen, wenn sie nicht mit Sicherheitswarnungen überschwemmt werden. Eine Möglichkeit, dies zu erreichen, ist die Einführung erstklassiger Präventionstechnologien, damit sich die Verteidiger auf weniger und genauere Erkennungen konzentrieren und den anschließenden Untersuchungs- und Reaktionsprozess rationalisieren können. Hier kommt Sophos Intercept X Endpoint ins Spiel.

Sophos Intercept X ist die branchenführende Endpoint Security-Lösung, die die Angriffsfläche reduziert und Angriffe verhindert. Durch die Kombination von Anti-Exploit, Anti-Ransomware, Deep Learning AI und Control Technologie, stoppt es Bedrohungen, bevor sie Ihre Systeme beeinträchtigen. Sophos Intercept X verwendet einen umfassenden, defensiven Ansatz für den Endpoint-Schutz und verlässt sich nicht auf eine einzige primäre Sicherheitstechnik.

Die Präventionsfunktionen des Endpoint-Schutzes von Sophos Intercept X blockieren 99,98% der Bedrohungen, wie das Magdeburger Forschungsinstitut AV-TEST als Durchschnittswert Januar-November 2021 ermittelt hat. Verteidiger können sich dann besser auf die verdächtigen Signale konzentrieren, die ein menschliches Eingreifen erfordern.

Hier können Sie mehr über Intercept X Endpoint erfahren oder eine Testversion anfordern.

Selbst auf Bedrohungsjagd gehen – Sophos XDR

Sophos XDR wurde für Sicherheitsanalysten, die in speziellen SOC-Teams arbeiten, und für IT-Administratoren entwickelt, die für Sicherheit und andere IT-Aufgaben zuständig sind. So ermöglicht Sophos XDR Ihrem Team die Erkennung, Untersuchung und Reaktion von Endpoints, Servern, Firewalls, Cloud-Workloads, E-Mails, Mobilgeräten und mehr.

Wählen Sie aus einer Bibliothek von vorgefertigten und anpassbaren Vorlagen, die viele verschiedene Threat Hunting-Themen abdecken, die für Sie wichtigen Informationen aus, die viele verschiedene Szenarien für die Bedrohungssuche und den IT-Betrieb abdecken – oder nutzen Ihre eigenen. Sie haben Zugriff auf Live-Gerätedaten, bis zu 90 Tage an Festplattendaten, 30 Tage auf die im Sophos Data Lake Cloud Repository gespeicherten Daten und eine automatisch erstellte Liste verdächtiger Objekte, damit Sie genau wissen, wo Sie anfangen müssen.

Wenn Sie Sophos XDR ausprobieren möchten, um Ihre eigenen Threat Hunts durchzuführen, bietet Ihnen Sophos die Tools, die Sie die Sie für eine erweiterte Bedrohungsjagd und Sicherheitshygiene benötigen. Sie können entweder eine produktinterne Testversion starten (mit einer Sophos Central-Konto) oder einer Testversion von Sophos Intercept X, die XDR enthält.

Threat Hunting als vollständig verwalteter Service oder zur Ergänzung Ihres Teams – Sophos MTR

Sophos MTR ist eine vielseitige, umfassende und preisgekrönte MDR-Lösung, die das Fachwissen und die Fähigkeiten des Sophos Teams von Sicherheitsanalysten und deren breite Palette an Fähigkeiten in Netzwerken und Cloud-Umgebungen nutzt. Sophos MTR erweitert Ihre Sicherheitsabläufe und fügt umfangreiche Fähigkeiten zu Ihren eigenen Fähigkeiten hinzu.

Das Sophos MTR-Team aus Bedrohungsjägern und Response-Experten wird:

– Proaktiv nach potenziellen Bedrohungen und Vorfällen suchen und diese überprüfen

– Nutzt alle verfügbaren Informationen, um den Umfang und Schweregrad von Bedrohungen zu bestimmen

– Anwendung des entsprechenden Geschäftskontextes für gültige Bedrohungen

– Einleiten von Maßnahmen zur Unterbrechung, Eindämmung und Neutralisierung von Bedrohungen aus der Ferne

– Bereitstellung umsetzbarer Ratschläge für die Behebung der Ursachen wiederkehrender Vorfälle

Selbst wenn Ihr Unternehmen über ein ausgereiftes Security Operation Center verfügt, möchten Sie vielleicht eine zweite Person hinzuziehen zur Überwachung der Umgebung, um sicherzustellen, dass nichts durch die Maschen schlüpft. Sophos MTR vereint Threat Hunting und Endpoint-Schutz zusammen und bietet Ihnen jeden Tag einen Überblick und Fachwissen. Ihr Netzwerk und Netzwerk- und Cloud-Ressourcen haben für die Sophos Netzwerkanalysten und Threat Hunters höchste Priorität.

Mit einem guten MDR-Service können Sie und Ihr Unternehmen ruhig schlafen, denn Sie wissen, dass ein Team von erfahrenen Experten Ihr Unternehmen ständig überwacht, Bedrohungen jagt, verdächtige Aktivitäten untersucht und auf potenzielle Vorfälle reagiert. Angesichts der ständig wachsenden Bedrohungslandschaft im Bereich der Cybersicherheit ist es beruhigend. mit einem Team zusammenzuarbeiten, das sich ganz auf Cybersicherheit konzentriert.

Um zu besprechen, wie Sophos MTR Ihr Unternehmen unterstützen kann, reden Sie mit Ihrem Sophos Ansprechpartner oder fordern Sie einen Rückruf an. In der Zwischenzeit können Sie sich über die neuesten MTR-Forschungsergebnisse und Fachinformationen

 

Themenseiten: threat hunting

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Erste Schritte mit Threat Hunting

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *