Vier Unterschiede zwischen Threat Hunting und Threat Detection
„Threat Detection“-Funktionalitäten werden für Unternehmen im Hinblick auf den Schutz ihrer Daten und Netzwerke zunehmend wichtiger. Der besondere Mehrwert liegt vor allem in der frühzeitigen Identifikation fortschrittlicher Bedrohungen. Diese lassen sich mithilfe von Threat Hunting aufspüren und bannen, bevor von ihnen besondere Gefahr ausgeht. Es muss also nicht immer erst das Kind in den Brunnen fallen, bevor Betroffene aktiv werden.
Der seit dem Frühjahr 2020 zu beobachtende Wandel hin zu dezentralen Arbeitsszenarios hat zweifelsohne gezeigt, dass im Zuge von IT-Sicherheit mittlerweile ganz neue Anforderungen gelten. Es kommt schon lange nicht mehr nur darauf an, auf bekannte Bedrohungen zu reagieren und Angriffe abzuwehren. Vielmehr geht es darum, neue Taktiken, mit denen Cyberkriminelle es auf Unternehmen abgesehen haben, mittels umfangreicher Analysen proaktiv aufzuspüren, um ihnen von Anfang an jeglichen Nährboden zu entziehen. Genau an dieser Stelle kommt der Begriff des „Threat Huntings“ als wichtiger Trend im Umfeld professioneller IT-Security ins Spiel.
In der SANS 2020 Threat Hunting Survey gaben 65 Prozent der befragten Unternehmen an, bereits irgendeine Form des Threat Huntings einzusetzen, weitere 29 Prozent hatten eine entsprechende Einführung im Jahr 2021 auf dem Plan. In vielen Branchen ist die Notwendigkeit eines vorausschauenden Umgangs mit möglichen Risiken offensichtlich. Dies gilt vor allem im Finanzbereich, im Hightech-Sektor, im militärischen Umfeld, bei Behörden oder auch im Telekommunikationsmarkt. Natürlich ist effektive Vorbeugung hier immer der Idealfall, aber auch die frühzeitige Erkennung von Angriffen und eine schnelle Reaktion sind entscheidend für die Verringerung der Anzahl potenziell erfolgreicher Cyberangriffe.
Wodurch sich Threat Hunting auszeichnet
Um verdächtige Aktivitäten und moderne Cyberangriffe frühzeitig zu erkennen, führen die Sicherheitsanalysten von WatchGuard und Panda spezifische Threat Hunting Services durch. Auf Basis der Erfahrungen und Informationen aus insgesamt 30 Jahren Branchenzugehörigkeit suchen die „Jäger“ proaktiv nach neuen Bedrohungen. Um Verdachtsmomenten auf die Spur zu kommen, werden Hypothesen regelmäßig mit den Daten abgeglichen, die auf Basis aller Produkte des EDR-Lösungsportfolios (WatchGuard EDR, WatchGuard EPDR, Panda Adaptive Defense, Panda Adaptive Defense 360) gesammelt werden. Sobald sich eine neue Erkennungsmethodik nachweislich als relevant herauskristallisiert hat, wird diese im Rahmen von Threat Detection für die Zukunft übernommen. Wenn der vollständige Beleg der Legitimität fehlt, sich kompromittierte Gerate aber dennoch mit hoher Wahrscheinlichkeit identifizieren lassen, wird ein entsprechender Angriffsindikator (Indicator of Attack, IoA) festgelegt. In dem Fall sollte schnell reagiert und genauer geprüft werden, um mögliche neue Gefahren so schnell wie möglich eindämmen und beheben zu können.
Durch passende, dem automatisierten Threat Hunting Service von WatchGuard zugrundeliegende Angriffsindikatoren (IoA) lassen sich beispielsweise folgende Aktivitäten frühzeitig verfolgen:
- Brute-Force-Angriffe auf RDP
- kompromittierte Anmeldeinformationen nach Brute-Force-Angriff auf RDP
- Ausführung von cmd.exe mit verschleierter Befehlszeile
- Ausführung von In-Memory-Skripten über PowerShell
- Dateidownload über Svchost.exe-Prozess
- In-Memory-Ausführung von Remote Scripting
- Ausnutzung der Sicherheitslücke im Office Equation Editor
- Installation von Remote-Dateien über umbenannte msiexec.exe
- Persistenz- und Rechteerweiterung über Accessibility Features
- Dumping von LSASS-Anmeldeinformationen mit PowerShell oder Procdump
Dem in WatchGuard EDR und WatchGuard EPDR integrierten Threat Hunting Service werden konsequent weitere Angriffsindikatoren hinzugefügt, sobald die Experten neue Verdachtsmomente verfolgen. In dem Zusammenhang können sich Anwender der WatchGuard-Lösungen per dedizierter E-Mail in Echtzeit über entsprechende Ergänzungen informieren lassen – für noch mehr Reaktionsfähigkeit im Fall der Fälle.
Unterschiede zwischen Threat Hunting und Threat Detection
Da es immer wieder zu Verwechslungen hinsichtlich der Begrifflichkeiten „Threat Hunting“ und „Threat Detection“ kommt, hier die wichtigsten Differenzierungsmerkmale im Überblick:
- Threat Hunting wird proaktiv durchgeführt. Die sogenannten „Threat Hunter“ warten nicht auf eine Warnung zu einem bekannten Muster, sondern versuchen, Hinweise zu finden, bevor es zu einer Sicherheitslücke kommt oder eine unbekannte oder bösartige Binärdatei auf den Endpunkten entdeckt wird.
- Threat Hunting wird durch Verdachtsmomente und die Formulierung neuer Hypothesen „inspiriert“. Bei der Jagd geht es darum, Hinweisen und Ideen zu folgen, und nicht darum, bekannte Regeln zu verifizieren.
- Threat Hunting wird von Analysten durchgeführt, die auf die Suche nach Angriffsmustern in dieser bestimmten Art von Daten spezialisiert sind. Sie stützen sich dabei auf ihr Wissen, ihre Erfahrung und Denkweisen, durch die sich auch Hacker auszeichnen. Eine Kompromittierung am Endgerät ist ihnen zu jedem Zeitpunkt bekannt. Ihre Konzentration liegt darauf, jeden Hinweis zu finden, der es ermöglicht, den Angreifer im Netzwerk zu identifizieren – auch ohne dass eine explizite Warnung hinsichtlich eines neu entdeckten Musters oder bösartigen Binärprogramms erfolgt.
- Im Gegensatz dazu beschreibt „Threat Detection“ die – meist automatisch – initiierte Bedrohungserkennung, die auf bereits bekannte Bedrohungen ausgerichtet ist. Threat Hunting als „Jagd auf den Hacker“ ist ein weitaus kreativerer Prozess mit flexibler Methodik.
Dank der Kombination von Threat Hunting und Threat Detection profitieren Anwender der WatchGuard-Lösungen für Endpoint Security von deutlich mehr Transparenz und Kontrolle. WatchGuard-Partner sind dadurch in der Lage, ihren Kunden zusätzlichen Schutz und Service zu bieten.
Wer mehr erfahren möchte: Viele weitere Informationen über den Threat Hunting Service von WatchGuard gibt’s hier.