Threat-Hunting-Reihe für MSPs: Eine Top-Priorität für Ihre Kunden
Dieser Beitrag ist der erste einer vierteiligen Reihe von Beiträgen, die Ihnen den Weg zu Threat Hunting Services erleichtern sollen.
Die Bedrohungsakteure von heute sind gut organisiert, hoch qualifiziert, motiviert und auf ihre Ziele fokussiert. Diese Angreifer könnten in Ihrem Netzwerk lauern oder damit drohen, in Ihr Netzwerk einzudringen, und immer stärker ausgefeilte Methoden anwenden, um ihr Ziel zu erreichen. Einfach ausgedrückt besteht für Angreifer oft keine Notwendigkeit, in den frühen Phasen eines Angriffs Malware zu installieren. Sie besitzen in der Regel alle notwendigen Werkzeuge, um in das Netzwerk einzudringen, sich dort ungehindert zu bewegen und die legitimen Anwendungen an den Endpoints zu instrumentalisieren.
Darüber hinaus können Angriffe von vielen verschiedenen Bedrohungsoberflächen ausgehen. So sollen Schwachstellen ausgenutzt werden, die im Netzwerk, an den Endpoints und bei den Mitarbeitern eines Unternehmens vorhanden sein können. Das Schlimmste dabei ist, dass Unternehmen nicht wissen, von wem, wann, wo oder wie ein gut geplanter Angriff erfolgen wird. Selbst fortschrittliche Erkennungsmechanismen können heute nur schwer vorhersehen, wie sich die Angriffsvektoren zukünftig entwickeln werden.
Dieser Trend stellt die Sicherheitsprogramme von Unternehmen vor immense Herausforderungen. Er macht deutlich, wie wichtig eine Kombination aus technologiebasierter Kontrolle und einem von Menschen geleiteten, proaktiven Threat-Hunting-Service ist, um sicherzustellen, dass Unternehmen schneller reagieren, als Bedrohungen auftreten, und gut geschützt und widerstandsfähig bleiben.
Als „Living-off-the-land“-(LotL)-Angriff bezeichnet man einen Cyberangriff, bei dem Hacker legitime Software und Funktionen des Systems für böswillige Machenschaften nutzen.
Angreifer, die LotL verwenden, suchen auf den Zielsystemen nach Werkzeugen, wie z. B. Betriebssystemkomponenten, Fehlkonfigurationen oder installierter Software, die sie zur Erreichung ihrer Ziele nutzen können. LotL-Angriffe werden als dateilose Malware eingestuft, da sie keine Artefakte hinterlassen.
Die Threat-Hunting-Funktion
Threat Hunting ist eine Nischenfunktion, die häufig falsch verstanden wird. Daher ist es wichtig zu klären, was wir mit dem Begriff Threat Hunting meinen.
Es kann als analystenzentrierter Prozess definiert werden, mit dem Unternehmen verborgene, komplexe Bedrohungen ans Licht bringen können, die von automatisierten, vorbeugenden und aufdeckenden Kontrollmechanismen übersehen werden. Einfach ausgedrückt: Threat Hunting soll unbekannte Bedrohungen enttarnen, die in der Lage sind, technologiebasierte Kontrollen zu umgehen.
Beim Threat Hunting geht es um das letzte 1 % unbekannter Verhaltensweisen. Es geht nicht darum, Malware zu finden und abnormale Aktivitäten zu identifizieren. Technologie stellt die notwendige Ausgangsbasis dar, um Bedrohungen in der Cyber-Kill-Chain proaktiv zu erkennen und zu unterbinden, bevor der Schaden entsteht. Obwohl es beim Threat Hunting nicht darum geht, Malware zu finden, funktioniert das in WatchGuard Advanced Endpoint Security-Lösungen enthaltene Threat Hunting mit dem Zero-Trust Application Service. Es sorgt für das Blockieren aller Angriffe beim Versuch einer bösartigen Anwendung, ausgeführt zu werden, selbst wenn das anormale Verhalten nicht gestoppt wird.
Threat Hunting ist eine Disziplin, die Unternehmen nicht mehr als ein optionales Extra, sondern eher als unverzichtbar betrachten sollten. Es sollte sich um eine kontinuierliche Funktion handeln, wie sie für jedes robuste Cybersicherheitsprogramm unerlässlich ist, und nicht um eine punktuell aktivierte Funktion.
Threat Hunting ist eine der wichtigsten Sicherheitsinitiativen
Tatsächlich besteht, auch wenn Threat Hunting noch eine junge Disziplin ist, ein großes Interesse daran. Laut Pulse geben 32 Prozent der IT-Führungskräfte an, dass sie planen, die Sicherheit ihrer Endpoints zu verbessern, indem sie ein Threat Hunting-Programm in ihre allgemeine Sicherheitsstrategie aufnehmen.
WatchGuard EDR und EPDR bieten Ihnen in Kombination mit dem Threat Hunting Service und Patch Management eine einzige Lösung, die Sie zu Ihrem Mix an Managed Security Services hinzufügen können. Sie decken damit alle in den nächsten 12 Monaten geplanten zusätzlichen Funktionen ab.
Mit nur einem einzigen, schlanken Agenten, der über eine einzige cloudbasierte Konsole bereitgestellt und verwaltet wird, stellen sie eine natürliche Erweiterung Ihres aktuellen Serviceangebots dar.
Erfahren Sie von unseren führenden Schwachstellenforschern alles Wissenswerte über das Threat Hunting in unserem neuesten eBook Your threat hunting service program simplified with WatchGuard. Machen Sie außerdem erste Erfahrungen mit dem Threat Hunting Service mit WatchGuard Advanced Endpoint Security.
