Bedrohungsjagd (auch als Cyberthreat Hunting bezeichnet) ist ein proaktiver Ansatz zur Identifizierung bislang unbekannter oder aktuell andauernder Cyberbedrohungen im Netzwerk eines Unternehmens.
Die Bedrohungsjagd ist wichtig, da sie den Unternehmen hilft, ihren Sicherheitsstatus gegen Ransomware, Insider-Bedrohungen und andere Cyberangriffe zu stärken, die sonst unbemerkt bleiben könnten.
Während automatisierte Sicherheitstools und wachsame Analysten des Security Operations Center (SOC) die meisten Cybersicherheitsbedrohungen erkennen können, bevor sie größeren Schaden anrichten, sind einige ausgeklügelte Bedrohungen in der Lage, diese Abwehrmaßnahmen zu umgehen.
Wenn es einem böswilligen Akteur gelingt, in ein System einzudringen, kann er wochen- oder sogar monatelang unbemerkt bleiben, bevor er entdeckt wird. Laut dem Cost of a Data Breach Report von IBM dauert es durchschnittlich 194 Tage, bis ein Datenschutzverstoß erkannt wird. Währenddessen schöpfen Angreifer Daten ab und stehlen Anmeldedaten, um sich weiteren Zugang zu verschaffen.
Wie viel Schaden können diese potenziellen Bedrohungen anrichten? Laut dem Cost of a Data Breach Report kostet ein durchschnittlicher Verstoß ein Unternehmen 4,88 Millionen US-Dollar. Je länger die Zeit zwischen dem ersten Zugriff und der Eindämmung vergeht, desto mehr kann es ein Unternehmen kosten.
Bei einer effektiven Bedrohungsjagd suchen Sicherheitsteams proaktiv nach diesen versteckten Bedrohungen. Dadurch können Unternehmen Eindringlinge viel schneller entdecken und Gegenmaßnahmen ergreifen, wodurch der Schaden, den Angreifer anrichten können, reduziert wird.
Schließen Sie sich Führungskräften im Bereich Sicherheit an, die von den kuratierten Nachrichten zu KI, Cybersicherheit, Daten und Automatisierung im Think Newsletter profitieren. Lernen Sie schnell von Experten-Tutorials und Erläuterungen, die direkt in Ihren Posteingang geliefert werden. Weitere Informationen finden Sie in der IBM Datenschutzerklärung.
Cyberbedrohungs-Jäger sind erfahrene Cybersicherheitsexperten. In der Regel handelt es sich um Sicherheitsanalysten aus der IT-Abteilung eines Unternehmens, die die Abläufe des Unternehmens gut kennen. Manchmal handelt es sich aber auch um externe Analysten. Bedrohungsjagd-Teams nutzen Sicherheitsautomatisierung, um Bedrohungen zu suchen, zu protokollieren, zu überwachen und zu neutralisieren, bevor sie ernsthafte Probleme verursachen können.
Bedrohungsjagdprogramme basieren auf Daten – insbesondere auf den Datensätzen, die von den Bedrohungserkennungssystemen eines Unternehmens und anderen Unternehmenssicherheitslösungen erfasst werden.
Während des Prozesses der Bedrohungsjagd durchsuchen Bedrohungsjäger diese Sicherheitsdaten und suchen nach versteckter Malware, heimlichen Angreifern und anderen Anzeichen verdächtiger Aktivitäten, die automatisierte Systeme möglicherweise übersehen haben.
Wenn Bedrohungsjäger etwas finden, treten sie in Aktion, beseitigen die Bedrohung und verstärken die Abwehrmaßnahmen, um sicherzustellen, dass so etwas nicht wieder vorkommt.
Jäger gehen von einer Hypothese aus, die auf ihren Beobachtungen, Sicherheitsdaten oder einem anderen Auslöser basiert. Die Hypothese dient als Ausgangspunkt für eine eingehendere Untersuchung potenzieller Bedrohungen.
Untersuchungen erfolgen in der Regel in einer von drei Formen: strukturierte Jagd, unstrukturierte Jagd oder situationsbezogene Jagd.
Formale Frameworks, wie z. B. das MITRE Adversary Taktiken Techniques and Common Knowledge (ATT&CK)-Framework, leiten strukturierte Jagden. Sie suchen nach definierten Angriffsindikatoren (Indicators of Attack, IoA) und den Taktiken, Techniken und Verfahren (Tactics, Techniques, and Procedures, TTPs) bekannter Bedrohungsakteure.
Eine unstrukturierte Jagd ist reaktiver als eine strukturierte Jagd. Sie wird häufig durch die Entdeckung eines Kompromittierungsindikators (Indicator of Compromise, IoC) im System eines Unternehmens ausgelöst. Die Jäger suchen dann nach der Ursache für den IoC und danach, ob er sich noch im Netzwerk befindet.
Eine situationsbezogene Suche ist eine Reaktion auf die besondere Situation eines Unternehmens. In der Regel basieren diese Prozesse auf den Ergebnissen einer internen Risikobewertung oder einer Trend- und Schwachstellenanalyse der IT-Umgebung.
Entitätsgesteuerte Suchvorgänge konzentrieren sich speziell auf kritische Assets und Systeme in einem Netzwerk. Bedrohungsjäger identifizieren Cyberbedrohungen, die ein Risiko für diese Einheiten darstellen könnten, und suchen nach Anzeichen laufender Kompromittierungen.
Erkenntnisbasierte Jagd basiert auf IoCs aus Threat-Intelligence-Quellen. Bedrohungsjäger verwenden Tools wie SIEM-Systeme (Security Information and Event Management), um bekannte IoCs wie Hash-Werte, IP-Adressen, Domainnamen und Hostartefakte zu überwachen. Wenn IoCs erkannt werden, untersuchen Jäger potenzielle bösartige Aktivitäten, indem sie den Status des Netzwerks vor und nach der Alertausgabe untersuchen.
Die hypothesenbasierte Jagd orientiert sich an den bekannten IoAs, die in Frameworks wie MITRE ATT&CK aufgezeichnet sind. Hypothesenbasierte Jagden erkunden, ob Angreifer bestimmte TTPs verwenden können, um Zugriff auf ein bestimmtes Netzwerk zu erhalten. Wenn ein Verhalten identifiziert wird, können Bedrohungsjäger Aktivitätsmuster überwachen, um Bedrohungen, die dieses Verhalten verwenden, zu erkennen, zu identifizieren und zu isolieren.
Aufgrund ihres proaktiven Charakters können hypothesenbasierte Jagden dazu beitragen, fortgeschrittene anhaltende Bedrohungen (Advanced Persistent Threats, APT) zu identifizieren und zu stoppen, bevor sie größeren Schaden anrichten.
Die individuelle Jagd basiert auf dem Kontext eines Unternehmens: frühere Sicherheitsvorfälle, geopolitische Probleme, gezielte Angriffe, Warnmeldungen von Sicherheitssystemen und andere Faktoren. Individuelle Jagden können die Eigenschaften von nachrichtendienstlichen und hypothesenbasierten Jagdmethoden kombinieren.
Sicherheitsteams verwenden verschiedene Tools, um Bedrohungsjagden durchzuführen. Einige der häufigsten sind:
SIEM ist eine Sicherheitslösung, die Unternehmen dabei hilft, Bedrohungen und Schwachstellen zu erkennen und zu beheben, bevor sie die Möglichkeit haben, den Geschäftsbetrieb zu stören. SIEMs können dazu beitragen, Angriffe früher zu erkennen und die Anzahl der Fehlalarme zu reduzieren, die Bedrohungsjäger untersuchen müssen.
EDR-Software nutzt Echtzeitanalysen und KI-gestützte Automatisierung, um die Endbenutzer, Endgeräte und IT-Ressourcen eines Unternehmens gegen Cyberbedrohungen zu schützen, die herkömmliche Tools für die Endpoint Security überwinden.
MDR ist ein Cybersicherheitsdienst, der Bedrohungen in Echtzeit überwacht, erkennt und darauf reagiert. Er kombiniert fortschrittliche Technologie und Expertenanalysen, um eine proaktive Bedrohungsjagd zu fördern, effektive Reaktionen auf Vorfälle zu ermöglichen und eine schnelle Sanierung durchzuführen.
Diese Systeme bieten umfassendere Erkenntnisse in Sicherheitsdaten, indem sie Big Data mit innovativen Tools für maschinelles Lernen und künstlicher Intelligenz kombinieren. Sicherheitsanalysen können die Suche nach Cyberbedrohungen beschleunigen, indem sie detaillierte Observability-Daten liefern.
Threat-Intelligence, auch „Cyberthreat-Intelligence“ genannt, sind detaillierte, umsetzbare Informationen, die Unternehmen zur Prävention und Bekämpfung von Cybersicherheitsbedrohungen nutzen können.
Threat-Intelligence bietet Unternehmen Erkenntnisse über die neuesten Bedrohungen, die auf ihre Netzwerke abzielen, sowie über die allgemeine Bedrohungslandschaft.
Bedrohungsjäger nutzen Threat-Intelligence zur gründlichen, systemweiten Suche nach bösartigen Akteuren. Anders ausgedrückt: Die Bedrohungsjagd beginnt dort, wo die Threat-Intelligence endet. ie Erkenntnisse der Threat-Intelligence werden in konkrete Maßnahmen umgewandelt, die erforderlich sind, um bestehende Bedrohungen zu beseitigen und künftige Angriffe zu verhindern.
Stärken Sie Sicherheit und Compliance mit IBM IAM-Services und optimieren Sie die Identität in Hybrid-Cloud-Umgebungen.
Optimieren Sie Ihr Sicherheitsprogramm mit den globalen, herstellerunabhängigen Services von IBM zur Bedrohungsabwehr.
Bauen Sie mit IBM Verify eine sichere Identitätsgrundlage auf, um den Zugriff zu vereinfachen, die Authentifizierung zu verbessern und die Skalierung zu gewährleisten.