Was ist Bedrohungsabwehr?

Unter Threat Hunting versteht man die Suche nach Cyber-Bedrohungen, die andernfalls möglicherweise unentdeckt in Ihrem Netzwerk bleiben. Laut Infosec kann „die Jagd auf Cyberbedrohungen der Jagd in der realen Welt sehr ähnlich sein.“ Es erfordert einen einzigartig qualifizierten Fachmann, der über beträchtliche Geduld, kritisches Denken, Kreativität und ein scharfes Auge für das Erkennen von Beute verfügt, meist in Form von Netzwerk-Verhaltensanomalien.“

Vereinbaren Sie eine Demo Read Whitepaper

Was ist Bedrohungsabwehr?

Gehen Sie am besten davon aus, dass Sie kompromittiert wurden

Die Suche nach Bedrohungen ist einfach deshalb notwendig, weil kein Cybersicherheitsschutz immer zu 100 % wirksam ist. Es ist eine aktive Verteidigung erforderlich, anstatt sich auf Sicherheitstools zu verlassen, bei denen man es einfach einstellt und vergisst.

 

Bei einigen Bedrohungen wie „Poisoning the Well“ arbeiten Angreifer daran, Ihre Anwendung langfristiger zu schützen. Für den Erfolg dieses Angriffs ist es entscheidend, unentdeckt zu bleiben. Leider gelingt es den meisten Angriffen, unentdeckt zu bleiben. Eine aktuelle Studie des Ponemon Institute im Auftrag von IBM ergab, dass die durchschnittliche Zeit, die erforderlich ist, um einen Verstoß zu erkennen und einzudämmen, 280 Tage beträgt.

Definition der Bedrohungsjagd

Bei der Bedrohungssuche werden manuelle und softwaregestützte Techniken eingesetzt, um mögliche Bedrohungen zu erkennen, die anderen Sicherheitssystemen entgangen sind. Zu den Aufgaben der Bedrohungssuche gehören insbesondere:

 

  1. Suchen Sie nach Bedrohungen in Ihrem Unternehmen, nach allem, was ein Angreifer einschleusen könnte, um Informationen zu extrahieren und Schaden anzurichten
  2. Suchen Sie proaktiv nach Bedrohungen, die überall auf der Welt auftreten
  3. Stellen Sie eine Falle und warten Sie im Wesentlichen darauf, dass Bedrohungen Sie jagen

Der Threat-Hunting-Prozess

Um Bedrohungen aufzuspüren, müssen Sie:

 

  • Sammeln Sie Qualitätsdaten
  • Verwenden Sie Tools, um es zu analysieren
  • Haben Sie die Fähigkeit, alles zu verstehen

 

Der Prozess beginnt mit der Erfassung einer ausreichenden Menge hochwertiger Daten, da Dateneingaben von schlechter Qualität zu einer ineffektiven Bedrohungssuche führen. Zu den erfassten Daten können Protokolldateien, Server, Netzwerkgeräte (z. B Firewall, Switches, Router), Datenbanken und Endgerät.

 

Als nächstes müssen Bedrohungsjäger nach Mustern und potenziellen Kompromittierungsindikatoren (IOCs) suchen. Wenn Sie überwachen, müssen Sie jemanden beauftragen, der sich die Protokolle ansieht. Zu oft verfügen Unternehmen nicht über genügend Ressourcen und Arbeitskräfte, um sich der laufenden Überwachung der Einbruchserkennung zu widmen. Der letzte Schritt besteht darin, entsprechend zu reagieren.

Was suchen Sie?

Indicators of Compromise (IOCs): Faktoren, einschließlich forensischer Daten und Protokolldateien, die dabei helfen können, potenzielle böswillige Aktivitäten zu erkennen, die bereits stattgefunden haben

 

Angriffsindikatoren (Indicators of Attack, IOAs): Obwohl es Ähnlichkeiten mit IOCs gibt, können IOAs Ihnen dabei helfen, laufendeAngriffe zu verstehen

 

Netzwerkbasierte Artefakte: Suchen Sie mithilfe von Tools wie Sitzungsaufzeichnung, Paketerfassung und Netzwerkstatusüberwachung nach Malware-Kommunikation

 

Hostbasierte Artefakte: Durchsuchen Sie das Endgerät und suchen Sie nach Malware-Interaktionen in der Registrierung, im Dateisystem und anderswo

Indikatoren für Kompromittierung und Angriff finden und untersuchen

Die Suche nach Bedrohungen erfordert einen Umfang dessen, wonach gesucht werden muss, und eine Möglichkeit, alles zu identifizieren, was nicht hineinpasst, wie zum Beispiel:

 

  • Unregelmäßiger Verkehr
  • Ungewöhnliche Kontoaktivität
  • Änderungen an der Registrierung und dem Dateisystem
  • In Remote-Sitzungen verwendete Befehle, die zuvor nicht gesehen wurden

 

Um Anomalien zu finden, ist es wichtig, zunächst ein grundlegendes Verständnis der regelmäßigen Aktivität zu haben. Sobald Anzeichen erkannt werden, folgen Sie der Spur. Dies geschieht häufig durch die Aufstellung einer Hypothese und die anschließende Feststellung, ob jedes IOC eine Bedrohung darstellt. Einige IOCs gehen möglicherweise unverblümt vor und legen offensichtliche Beweise vor. Beispielsweise ein erhöhter Datenverkehr in ein Land, mit dem die Organisation keine Geschäfte unterhält. Die Untersuchung von IOCs kann auch die Arbeit in einem Labor umfassen, um bestimmte Arten von Datenverkehr zu reproduzieren und sein Verhalten in einer virtuellen Umgebung zu untersuchen.

 

In kontrollierten Umgebungen wie SCADA ist es einfacher, etwas Ungewöhnliches zu erkennen. In Unternehmensumgebungen hingegen ist der Datenverkehr häufig unterschiedlich, was die Erkennung zu einer größeren Herausforderung macht. Sicherheitslösungen wie Anti-Malware sind am effektivsten gegen Schadcodes, die bereits kartiert und analysiert wurden, während völlig neuer Code schwieriger zu erkennen ist.

 

Während ein Übermaß an Tools die Bedrohungssuche kompliziert machen kann, helfen Tools für das Security Information and Event Management (SIEM) und die Ereigniskorrelation. Andererseits können sie auch Ihre Fähigkeit beeinträchtigen, Details zu erkennen. Ideal ist ein einheitlicher Ansatz für die Cloud-Sicherheit .

Tipps zur Bedrohungssuche

Mit den YARA-Regeln können Sie Regelsätze erstellen, die beim Zuordnen und Erkennen von Malware helfen. „ Mit YARA können Sie Beschreibungen von Malware-Familien (oder was auch immer Sie beschreiben möchten) basierend auf Text- oder Binärmustern erstellen.“

 

Hochentwickelte Malware versteckt sich oft in etwas anderem, um Diensthosts zu infiltrieren, beispielsweise Windows-Prozesse, die Ihr System ständig ausführt. Wenn es ihnen gelingt, Schadcode einzuschleusen, können sie auf unentdeckte Weise bösartige Vorgänge ausführen. Die Windows-Registrierung ist ein weiterer wichtiger Ort, an dem sich Malware verstecken könnte. Vergleichen Sie es mit der Standardsystemregistrierung und untersuchen Sie alle Änderungen.

 

Der Detaillierungsgrad, auf den Sie eingehen, hängt von den Prioritäten Ihrer Organisation und dem Grad der Freiheit ab, über den jedes System verfügt. Die Überprüfung der Integrität kritischer Systemprozesse, die immer aktiv sind, ist ein wichtiger Teil der forensischen Seite der Bedrohungssuche.

Effektive Teams

Infosec erklärt: „Die Jagd kann sowohl maschinelle als auch manuelle Techniken umfassen. Im Gegensatz zu anderen automatisierten Systemen wie SIEM sind beim Hunting menschliche Fähigkeiten erforderlich, um Bedrohungen komplexer aufzuspüren.“

 

Ein wichtiges Merkmal eines effektiven Threat-Hunting-Teams ist die Kommunikation. Bedrohungsjäger müssen außerdem in der Lage sein, Berichte zu verfassen und andere über Bedrohungen und Risiken aufzuklären. Um das Management dabei zu unterstützen, auf der Grundlage ihrer Erkenntnisse gute Entscheidungen zu treffen, müssen Teams in der Lage sein, über ihre Erkenntnisse in Laiensprache zu sprechen. Insgesamt ist die Jagd eher eine Analysten- als eine Ingenieursrolle.

Threat Hunting muss Teil eines einheitlichen Ansatzes zur Cloud-Sicherheit sein

CloudGuard Intelligence and Threat Hunting, Teil der CloudGuard Cloud Native Security-Plattform, bietet Cloud-native Bedrohungssicherheitsforensik durch umfassende maschinelles Lernen-Visualisierung und liefert Echtzeitkontext von Bedrohungen und Anomalien in Ihrer Multi-Cloud-Umgebung.

 

CloudGuard erfasst Cloud-native Protokoll- und Ereignisdaten und liefert kontextualisierte Visualisierungen Ihrer gesamten öffentlichen Cloud-Infrastruktur sowie Cloud-Sicherheitsanalysen und trägt so zur Verbesserung bei:

 

  • Incident Response (Cloud-Forensik): Warnungen zu Netzwerkaktivitäten und Kontoverhalten
  • Netzwerkproblembehebung: Echtzeit-Konfiguration und Traffic-Überwachung in VPC und VNET, einschließlich flüchtiger Services und Cloud-nativer Plattformkomponenten von Amazon AWS, Microsoft Azure und Google Cloud Platform.
  • Compliance: Sofortige Benachrichtigungen bei Verstößen gegen Vorschriften und problemloses Bestehen von Audits
×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Durch die weitere Nutzung dieser Website erklären Sie sich mit der Verwendung von Cookies einverstanden. Für weitere Informationen lesen Sie bitte unseren Hinweis zu Cookies.
OK