Was ist Threat Hunting 2023? [Vollständige Anleitung]

Veröffentlicht: 2023-03-22

Die Suche nach Cyber-Bedrohungen ist eine proaktive Methode der Internetsicherheit, bei der Bedrohungsjäger nach Sicherheitsrisiken suchen, die sich möglicherweise im Netzwerk eines Unternehmens verbergen .

Cyber-Hunting sucht aktiv nach zuvor unentdeckten, nicht identifizierten oder nicht behobenen Bedrohungen, die den automatisierten Verteidigungsmechanismen Ihres Netzwerks möglicherweise entgangen sind, im Gegensatz zu eher passiven Cyber-Sicherheits-Hunting-Techniken wie automatisierten Bedrohungserkennungssystemen.

Inhaltsverzeichnis

Was ist Bedrohungsjagd?

Die aktive Suche nach Cyber-Bedrohungen, die unentdeckt in einem Netzwerk lauern, wird als Threat Hunting bezeichnet. Die Suche nach Cyber-Bedrohungen durchsucht Ihre Umgebung nach böswilligen Akteuren, die Ihre anfänglichen Endpunkt-Sicherheitsmaßnahmen überwunden haben.

Einige Gefahren sind raffinierter und fortschrittlicher, während die meisten Sicherheitssysteme nicht überwinden können. Angreifer können wochenlang unentdeckt im System und in Dateien bleiben, während sie langsam über das Netzwerk vordringen, um weitere Daten zu sammeln.

Während dieses Vorgangs können Wochen oder sogar Monate vergehen. Es kann leicht der Erkennung durch Sicherheitstools und -personal entgehen, ohne aktiv zu jagen.

Threat Hunting

Warum ist Threat Hunting wichtig?

Da ausgeklügelte Bedrohungen der automatisierten Cybersicherheit entgehen können, ist die Bedrohungssuche von entscheidender Bedeutung.

Sie müssen sich immer noch um die verbleibenden 20 % der Bedrohungen kümmern, selbst wenn automatisierte Sicherheitstools und Tier-1- und Tier-2-Analysten des Security Operations Center (SOC) in der Lage sein sollten, etwa 80 % davon zu bewältigen.

Bedrohungen in den verbleibenden 20 % sind eher komplex und können großen Schaden anrichten.

Ein Angreifer kann heimlich in ein Netzwerk eindringen und dort monatelang bleiben, während er unbemerkt Informationen sammelt, nach sensiblen Dokumenten sucht oder Anmeldeinformationen erhält, die es ihm ermöglichen, sich in der Umgebung zu bewegen.

Vielen Unternehmen fehlt es an den ausgefeilten Erkennungsfähigkeiten, die erforderlich sind, um zu verhindern, dass Advanced Persistent Threats im Netzwerk verweilen, nachdem ein Angreifer erfolgreich der Erkennung entgangen ist und ein Angriff die Verteidigung eines Unternehmens durchbrochen hat.

Threat Hunting ist daher ein entscheidendes Element jeder Verteidigungsstrategie.

Arten der Bedrohungsjagd

Die offizielle Website von IBM hat die drei Hauptarten der Bedrohungssuche ziemlich angemessen erklärt. Laut ihrem Blog gibt es bei der Bedrohungssuche folgende Arten:

1. Strukturierte Jagd

Eine Angriffsanzeige (IoA) und die Taktiken, Methoden und Verfahren des Angreifers (TTPs) dienen als Grundlage einer systematischen Jagd.

Jede Jagd wird geplant und basiert auf den TTPs der Bedrohungsakteure. Aus diesem Grund erkennt der Jäger häufig einen Bedrohungsakteur, bevor der Angreifer die Möglichkeit hat, die Umgebung zu stören.

2. Unstrukturierte Jagd

Eine Ad-hoc-Jagd wird basierend auf einem Auslöser initiiert, einem von vielen Indikatoren für eine Kompromittierung (IoC) . Dieser Auslöser wird normalerweise verwendet, um einen Jäger dazu zu bringen, nach Vor- und Nacherkennungsmustern zu suchen .

Soweit die Vorratsdatenspeicherung und damit verbundene frühere Straftaten dies zulassen, kann der Jäger eine Studie durchführen, um seinen Plan zu erstellen.

3. Situativ oder unternehmensgetrieben

Eine Situationshypothese kann durch die interne Risikobewertung einer Organisation oder durch eine Untersuchung von Trends und Schwächen, die für ihre IT-Infrastruktur einzigartig sind, erstellt werden.

Von der allgemeinen Öffentlichkeit gesammelte Angriffsdaten, die bei Überprüfung die neuesten TTPs laufender Cyber-Bedrohungen zeigen, sind der Ort, an dem unternehmensorientierte Hinweise erstellt werden. Der Bedrohungsjäger kann dann die Umgebung nach diesen spezifischen Verhaltensweisen scannen.

Wie funktioniert Threat Hunting?

Der menschliche Aspekt und die massive Datenverarbeitungsfähigkeit einer Softwarelösung werden kombiniert, um Cyber-Bedrohungen effektiv zu jagen.

Jäger von menschlichen Bedrohungen verlassen sich auf Daten aus ausgeklügelten Sicherheitsüberwachungs- und Analysetools, um sie bei der proaktiven Erkennung und Beseitigung von Bedrohungen zu unterstützen.

Ihr Ziel ist es, Lösungen und Informationen/Daten einzusetzen, um Gegner zu finden, die sich der normalen Verteidigung entziehen können, indem sie Strategien wie das Leben vom Land anwenden.

Intuition, ethisches und strategisches Denken sowie kreative Problemlösung sind wesentliche Bestandteile des Cyber-Hunting-Prozesses.

Unternehmen sind in der Lage, Bedrohungen schneller und präziser zu lösen, indem sie diese menschlichen Eigenschaften nutzen, die „ Cyber ​​Threat Hunters “ an den Tisch bringen, anstatt sich nur auf automatisierte Bedrohungserkennungssysteme zu verlassen.

Jäger von Cyber-Bedrohungen

Wer sind Cyber-Bedrohungsjäger?

Cyber ​​Threat Hunters verleihen der Unternehmenssicherheit eine menschliche Note und verbessern automatisierte Maßnahmen. Sie sind erfahrene IT-Sicherheitsexperten, die Bedrohungen erkennen, aufzeichnen, im Auge behalten und beseitigen, bevor sie zu ernsthaften Problemen werden können.

Obwohl es sich gelegentlich um externe Analysten handelt, handelt es sich im Idealfall um Sicherheitsanalysten, die sich mit der Arbeitsweise der IT-Abteilung des Unternehmens auskennen.

Threat Hunters durchsuchen Sicherheitsinformationen. Sie suchen nach verdächtigen Verhaltensmustern, die ein Computer möglicherweise übersehen hat oder von denen angenommen wurde, dass sie gehandhabt wurden, dies aber nicht sind, sowie nach versteckter Malware oder Angreifern.

Sie helfen auch beim Patchen des Sicherheitssystems eines Unternehmens, um zukünftige Vorkommnisse derselben Art von Eindringlingen zu verhindern.

Was ist Bedrohungsjagd

Voraussetzungen für die Bedrohungssuche

Bedrohungsjäger müssen zunächst eine Basislinie erwarteter oder genehmigter Vorkommnisse erstellen, um Anomalien besser erkennen zu können, damit die Suche nach Cyberbedrohungen effektiv ist.

Bedrohungsjäger können dann Sicherheitsdaten und Informationen durchgehen, die von Bedrohungserkennungstechnologien gesammelt wurden, indem sie diese Baseline und die neuesten Bedrohungsinformationen verwenden.

Diese Technologien können Managed Detection and Response (MDR) , Tools für die Sicherheitsanalyse oder SIEM-Lösungen (Security Information and Event Management) umfassen.

Bedrohungsjäger können Ihre Systeme nach potenziellen Gefahren, zwielichtigen Aktivitäten oder Auslösern durchsuchen, die von der Norm abweichen, nachdem sie mit Daten aus einer Vielzahl von Quellen, einschließlich Endpunkt-, Netzwerk- und Cloud-Daten, ausgestattet sind.

Bedrohungsjäger können Hypothesen aufstellen und umfangreiche Netzwerkuntersuchungen durchführen, wenn eine Bedrohung gefunden wird oder wenn bekannte Bedrohungsinformationen auf neue mögliche Bedrohungen hinweisen.

Bedrohungsjäger suchen während dieser Untersuchungen nach Informationen, um festzustellen, ob eine Bedrohung schädlich oder harmlos ist oder ob das Netzwerk angemessen vor neuen Cyber-Bedrohungen geschützt ist.

Methoden zur Bedrohungssuche

Bedrohungsjäger beginnen ihre Ermittlungen in der Annahme, dass bereits Angreifer im System vorhanden sind, und suchen nach ungewöhnlichem Verhalten, das auf das Vorhandensein feindlicher Aktivitäten hinweisen kann.

Dieser Beginn einer Untersuchung fällt häufig in eine von drei Kategorien der proaktiven Bedrohungssuche.

Um die Systeme und Informationen eines Unternehmens proaktiv zu verteidigen, beinhalten alle drei Strategien eine von Menschenhand betriebene Anstrengung, die Bedrohungsinformationen mit modernster Sicherheitstechnologie kombiniert.

1. Hypothesengetriebene Untersuchung

Eine neue Gefahr, die durch eine riesige Datenbank mit Crowdsourcing-Angriffsdaten entdeckt wurde, löst häufig hypothesengetriebene Untersuchungen aus, die Informationen über die neuesten Strategien, Techniken und Verfahren liefern, die von Angreifern verwendet werden (TTP).

Bedrohungsjäger prüfen dann, ob die einzigartigen Aktionen des Angreifers in ihrer eigenen Umgebung vorhanden sind, sobald ein neuer TTP erkannt wurde.

2. Eine Untersuchung auf der Grundlage identifizierter Angriffs- oder Kompromittierungsindikatoren

Mithilfe taktischer Bedrohungsinformationen listet diese Methode der Bedrohungssuche bekannte IOCs und IOAs auf, die mit neuen Bedrohungen in Verbindung stehen. Bedrohungsjäger können diese dann als Auslöser verwenden, um potenzielle verdeckte Angriffe oder laufende schädliche Aktivitäten zu finden.

3. Erweiterte Analysen und Untersuchungen zum maschinellen Lernen

Die dritte Methode durchforstet mithilfe von maschinellem Lernen und fortschrittlicher Datenanalyse eine riesige Datenmenge, um nach Anomalien zu suchen, die auf mögliche feindselige Aktivitäten hindeuten könnten.

Diese Anomalien werden zu Jagdspuren, die von sachkundigen Analysten untersucht werden, um verdeckte Gefahren zu finden.

Bedrohungssuche mit Proxys

Bedrohungsjäger finden möglicherweise eine Fülle von Informationen in Web-Proxy-Datensätzen. Diese Proxys fungieren als Kanäle zwischen dem Server oder Gerät, das Anfragen empfängt, und dem Gerät, das die Anfrage sendet.

Ein gemeinsamer Datensatz, der von Web-Proxys generiert wird, kann verwendet werden, um ungewöhnliches oder verdächtiges Verhalten zu erkennen.

Beispielsweise könnte ein Bedrohungsjäger in einer Organisation die in den Web-Proxy-Protokollen enthaltenen Gefahreninformationen analysieren und verdächtige Aktivitäten mit Benutzeragenten wie cURL und SharePoint-Sites entdecken.

Sie machen auf das Problem aufmerksam und stellen fest, dass die Anfragen legitim sind und von den DevOps-Teams stammen.

Um diese Protokolle zu untersuchen und böswillige Personen in der Mischung zu finden, verwenden Bedrohungsjäger eine Vielzahl von Protokollen und Methoden. Web-Proxy-Protokolle bieten häufig die folgenden Details:

  • Ziel-URL (Hostname)
  • Ziel-IP
  • HTTP-Status
  • Domain-Kategorie
  • Protokoll
  • Zielhafen
  • User-Agent
  • Anforderungsmethode
  • Geräteaktion
  • Angeforderter Dateiname
  • Dauer

**Und mehr!

Wie funktioniert die Bedrohungssuche mit Proxy-Protokollen?

Lassen Sie uns untersuchen, wie Web-Proxy-Protokolle diesen Jägern helfen, nachdem Sie die Bedrohungssuche verstanden haben. Analysten müssen eine Vielzahl von Methoden anwenden, um Schwachstellen und böswillige Parteien zu finden, die sich mit dem Netzwerk beschäftigen, da Web-Proxy-Protokolle mehrere Datenelemente enthalten.

1. Überprüfung des blockierten Datenverkehrs:

Es ist wichtig herauszufinden, was den Benutzer dazu veranlasst hat, auf eine bestimmte Website zuzugreifen, obwohl diese für die Benutzer der Organisation möglicherweise verboten war. Es kann bedeuten, dass ihr Computer infiziert wurde.

2. URLs mit IP-Anfragen:

Diese Filterung kann Protokolle erkennen, die DNS-Sicherheitseinschränkungen umgehen, indem sie hartcodierte IP-Adressen verwenden.

3. URLs mit Dateiendungen:

Dieser Filter macht potenziell gefährliche URLs mit Dateiendungen wie .doc, .pdf und .exe sichtbar. Angreifer verwenden häufig Dokument- oder PDF-Dateien mit Makrofunktionalität, um Malware auf einem Computer oder Netzwerk einzuschleusen.

4. Bekannte Referrer-URL mit ungewöhnlicher URL:

Das Identifizieren von Phishing-Links kann erleichtert werden, indem Protokolle herausgefiltert werden, die beliebte Verweisdomänen und unverwechselbare URLs enthalten.

Unterschied zwischen Threat Hunting und Threat Intelligence

Threat Intelligence ist eine Sammlung von Daten zu versuchten oder erfolgreichen Eindringlingen, die typischerweise von automatisierten Sicherheitssystemen mithilfe von maschinellem Lernen und künstlicher Intelligenz gesammelt und untersucht werden.

Diese Informationen werden bei der Bedrohungssuche verwendet, um eine gründliche, systemweite Suche nach böswilligen Benutzern durchzuführen.

Mit anderen Worten: Threat Hunting beginnt dort, wo Threat Intelligence aufhört. Eine produktive Bedrohungssuche kann auch Gefahren finden, die noch nicht in freier Wildbahn gesehen wurden.

Bedrohungsindikatoren werden manchmal als Hinweis oder Hypothese bei der Bedrohungssuche verwendet. Virtuelle Fingerabdrücke, die von Malware oder einem Angreifer hinterlassen wurden, eine ungerade IP-Adresse, Phishing-E-Mails oder anderer anomaler Netzwerkverkehr sind Beispiele für Bedrohungsindikatoren.

Schnelllinks:

  • Cyberlab-Rezension
  • CyberImpact-Überprüfung
  • Überprüfung der CyberVista-IT-Schulung
  • Beste Partnerprogramme für Cybersicherheit

Fazit: Was ist Threat Hunting 2023?

Das übliche Verfahren zur Erkennung, Reaktion und Behebung von Vorfällen wird durch das Threat Hunting stark ergänzt. Eine realistische und praktische Strategie für Unternehmen besteht darin, sich gegen unvorhergesehene Bedrohungen zu wappnen.

Die Überwachung von Proxy-Protokollen ermöglicht es jedoch auch, Benutzer zu identifizieren, die möglicherweise Websites schaben. Diejenigen, die nur versuchen, legitime Aufgaben zu erledigen, stoßen in einer solchen Situation auf Probleme.

Durch den Einsatz mehrerer Proxys, insbesondere solcher, die helfen, ihre wahre IP-Adresse zu verbergen, können Benutzer verhindern, dass Bedrohungsjäger ihre Aktivitäten entdecken.

Außerdem sind ihre Protokolle für diese Jäger kein Warnsignal, da es nicht eine einzige IP-Adresse für alle ihre Aktivitäten gibt.

Dazu benötigen Sie hochwertige Proxys, die für Software zur Bedrohungssuche legitim erscheinen. Um Ihre Frage zu beantworten: Threat-Hunting-Software ist im Grunde ein Programm, das Threat-Hunting-Protokolle und -Analysen durchführt.

Schnelle Links

  • Beste Proxys für die Aggregation von Reisepreisen
  • Beste französische Proxys
  • Die besten Tripadvisor-Proxys
  • Beste Etsy-Proxys
  • IPRoyal Gutscheincode
  • Beste TikTok-Proxys
  • Beste freigegebene Proxys