Sicherheitsbedrohungen: Die drei größten Irrtümer über Threat Hunting

Um sich vor Cyberangriffen zu schützen, ist es das Ziel, den sich ständig weiterentwickelnden Sicherheitsbedrohungen einen Schritt voraus zu sein. Dabei wird nach Ansicht von Sophos die Praxis des „Threat Hunting” für die Überwachung und Behandlung von Netzwerkaktivitäten, das Entdecken von unbekannten Bedrohungen und die passende Reaktion darauf immer wichtiger.

Ein komplexer Prozess, mit dem zahlreiche falsche Vorstellungen verbunden sind. Als Resultat lassen Irreführung und Missverständnisse die Menschen in einem falschen Gefühl von Sicherheit stehen und die Organisation dabei ungeschützt. In der Debatte um die Suche nach Sicherheitsbedrohungen gibt es drei häufig verbreitete Fehleinschätzungen:

Irrtum Nummer 1: Threat Hunting lässt sich automatisieren

Die Idee, dass sich die Suche nach Sicherheitsbedrohungen automatisieren lässt, gehört zu den größten Irrtümern. Denn während sich Teile des Prozesses tatsächlich automatisieren lassen, ist die menschliche Komponente essentiell für jede erfolgreiche Gefahrensuche. Durchgehend – also von der Identifizierung feindlicher Aktivitäten bis zur Reaktion darauf – lässt sich der gesamte Prozess (zumindest zum jetzigen Zeitpunkt) nicht automatisieren.

Trotzdem spielt Automatisierung eine wichtige Rolle beim Threat Hunting, und zwar beim Datensammeln und beim Aufspüren von Bekanntem. Bei einer automatisierten Suche kann eine Aktivität durch eine automatisierte Regel als verdächtig markiert werden. Sobald das passiert, bedarf es aber einer weiteren Instanz, die sich diesen Hinweis ansieht und eine strategische Analyse durchführt. Eine Maschine kann Abweichungen anzeigen, aber sie kann keine intelligente Entscheidung darüber treffen, ob eine Bewegung bösartig oder gutartig ist. Es existiert ein großer Graubereich, bei dem es auch für ein gut trainiertes Modell schwierig ist, zu einer korrekten Urteilsfindung zu kommen. Menschliche Expertise ist notwendig.

Sicherheitsbedrohungen: richtige Einstufung einer Aktion

Ist beispielsweise PsExec im Netzwerk aktiv, also ein Telnet-Ersatz, um Prozesse auf anderen Systemen via LAN auszuführen, ist noch nicht sofort klar, ob diese Aktion schadhaft oder harmlos ist. Es ist zunächst einmal eine Administratorfunktion, die für legitime Zwecke gedacht ist. Sie wird allerdings oft auch von Malware verwendet und Angreifer versuchen darüber etwas Bösartiges umzusetzen.

Wie aber erkennt der Nutzer, ob er hier auf etwas Schadhaftes oder Gutartiges stößt? Menschliche Expertise kann in diesem Fall den Kontext liefern. Beispielsweise hat ein Kollege im Hintergrund Zugriff womit dieser Prozess autorisiert ist – Situationen, die die Maschine nicht kennen kann. Erst mit diesen Zusatzinformationen lässt sich ableiten, ob eine Aktion berechtigt oder möglicherweise schadhaft ist.

Irrtum Nummer 2: EDR-Lösungen unterstützen Bedrohungssuche

Die Jagd nach Sicherheitsbedrohungen und Endpoint Detection and Response (EDR) sind nicht das gleiche. Setzt der Nutzer ein EDR-Produkt ein, betreibt er damit nicht automatisch Threat Hunting. Im Grunde basiert EDR auf einem großen Datensatz, der dazu dient, Informationen zu ermitteln oder abzufragen. Während EDR ein wichtiges Werkzeug bei der Gefahrensuche ist, ist es dennoch nur ein Teil des gesamten Prozesses. Es existieren zahlreiche weitere Informationsquellen, die überaus wertvoll sind, etwa der Netzwerkverkehr.

Gefahrenjäger schauen über EDR-Daten hinaus, beispielsweise auf Netzwerkprotokolle, Firewalls und Einbruchsmeldungen sowie Präventionsprotokolle, um ein ganzheitliches Bild der Umgebung zu erhalten. Das Einbeziehen von Daten aus Drittquellen, wie Informationen von Microsofts Active Directory, Office 365 Daten oder Daten aus anderen Anwendungen, kann den Datensatz anreichern. Je größer dieser ist, desto besser lassen sich komplexere Bedrohungen identifizieren.

Irrtum Nummer 3: SIEM mit Daten für Bedrohungssuche füttern

Security Information and Event Management (SIEM) bietet einen nützlichen Service, da es eine Umgebung darstellt, in der man zahlreiche Informationen kumulieren und abfragen kann. SIEM birgt aber auch ein großes Problem: es ist kaum möglich, die Daten konsistent zu halten. Und eine schlechte Datenqualität führt kaum zu guten Suchergebnissen. Zwar ist die Definition von Qualitätsdaten oft subjektiv. Im Kern geht es aber darum, dass Daten aus unterschiedlichen Systemen genormt und dass Datenattribute (wo möglich) standardisiert sind.

Die Qualität der Daten ist aus folgenden Gründen entscheidend:

1. Sie erhöht die Produktivität einer Suche nach Sicherheitsbedrohungen und erleichtert es dem Team, große Datenmengen abzufragen und konsistente Ergebnisse zu erhalten.
2. Bei genormten Datenattributen wird vermieden, dass bei einer Suche unterschiedliche Datensätze zusammengeführt werden müssen. Gleichzeig erhält man dadurch einen reicheren Kontext zur Identifizierung komplexerer Bedrohungen.
3. Ein gutes Verständnis über die Qualität der Daten ermöglicht es dem Team klare Zielvorgaben darüber zu haben, welche Daten sie analysieren können und was nicht analysierbar ist. Das hilft bei der Koordination und Priorisierung von Projekten.

Hochwertige Daten ermöglichen es Jägern, komplexe Bedrohungen schneller und genauer zu identifizieren und damit effektiver und leistungsstärker darauf reagieren zu können.

Der Schlüssel für eine erfolgreiche Gefahrensuche

Daten sind nur der Beginn der Bedrohungssuche. Wichtiger ist, wie man die Daten anwendet, um den initialen Punkt der Gefahr zu erkennen. Daten nutzbar zu machen, so dass man mit ihnen arbeiten kann, lässt sich durch Maschinen nicht automatisieren. Denn wäre das möglich, würde MDR (Managed Detection and Response) gar nicht existieren.

Folgende Schlüsselkomponenten sind Bestandteil einer erfolgreichen Bedrohungssuche: Einschätzungen über Gefahren, eine passende Methode, gute Daten und ein kritischer Blick auf verdächtige Aktivitäten.Tauchen verdächtige Aktivitäten in der Grauzone auf, können Threat Hunter mit strategischen Analysen die Absicht entschlüsseln. Erst danach kann entschieden werden, ob eine Reaktion nötig ist oder nicht. (sg)

Lesen Sie zu Insider-Bedrohungen auch: Drei Tipps, wie sich Unternehmen davor schützen