Threat-Hunting-Reihe für MSPs: Wir helfen Ihnen, die Chance zu nutzen

Ohne die erforderlichen Daten, Technologien, Prozesse und das entsprechende Know-how können die Aktivitäten rund um Threat Hunting Unternehmen überfordern oder sogar unmöglich erscheinen.

Threat Hunting-Vorgänge lassen sich grob in drei Hauptgruppen einteilen:

• Der analytisch orientierte Ansatz. Beim Threat Hunting werden statistische Methoden angewendet, um Ausreißer zu untersuchen und systematische Analysen durchzuführen. So werden nie zuvor gesehene Aktivitäten oder Unregelmäßigkeiten erkannt, die nach den Basisdaten für die Umgebung bösartig sein könnten.
• Beim hypothesenbasierten Ansatz haben erstklassige Threat Hunter die Möglichkeit, kreativ zu werden und wie der Gegner zu denken. Es geht darum, Theorien darüber zu entwickeln und zu testen, wo und wie ein entschlossener Angreifer versuchen könnte, zu operieren, sich im Netzwerk zu bewegen und unbemerkt zu verweilen, bis er entscheidet, dass der beste Zeitpunkt für einen Angriff gekommen ist.
• Der informationsbasierte Ansatz schließlich ist die gängigste Vorgehensweise und beinhaltet die Verwendung aktueller Bedrohungsdaten, um historische Daten nach Signalen für Eindringversuche zu durchsuchen.

Der Einsatz von Bedrohungsdaten beim Threat Hunting sollte nicht auf IoCs (Indicators of Compromise) beschränkt sein. Wichtiger für Threat Hunter sind Bedrohungsanalysen, die als Tools, Techniken und Prozeduren (TTP) bezeichnet werden. TTP können definiert werden als „Muster von Aktivitäten oder Methoden, die mit einer bestimmten Bedrohung oder einer Gruppe von Bedrohungen verbunden sind“.

TTP sind für einen Angreifer im Vergleich zu IoCs viel schwieriger zu modifizieren. Angreifer verwenden ihre TTP bei allen Angriffen wieder, ändern aber die Binärdateien oder die „Command and Control“-(C&C)-Infrastruktur. Das Ändern einer C&C-IP-Adresse ist zum Beispiel banal. Das Ändern des verwendeten Kommunikationsprotokolls ist dagegen wesentlich schwieriger, da dafür ein hoher Programmieraufwand erforderlich ist. Das MITRE ATT&CK-Framework versucht, diese TTP in etwas Brauchbares zu verwandeln.

Der Threat Hunting Service von WatchGuard als Erweiterung Ihres Teams

Ein kooperativer und koordinierter Ansatz ist der Schlüssel zum Stoppen der heutigen Sicherheitsverletzungen. Sie können so Ihren Kunden ein Höchstmaß an verwalteter Sicherheit bieten.

Unser Threat Hunting Service, der in WatchGuard EDR und WatchGuard EPDR enthalten ist, stellt Ihnen ein leistungsstarkes Tool zur Verfügung, das eine frühere Erkennung gängiger LotL-Techniken (Living off the Land) ermöglicht, die Verweildauer verkürzt und den Schutz vor zukünftigen Angriffen verbessert.

Unsere Partner können ihre Dienste schnell erweitern, indem sie die Ergebnisse des Threat Hunting Service durch die Validierung der IoAs (Indicators of Attack) nutzen und auf den Angriff reagieren. 

WatchGuard EDR und WatchGuard EPDR können Partner sofort benachrichtigen, wenn ein neuer IoA auftaucht. Jeder IoA wird Partnern mit einer Liste empfohlener Maßnahmen zur Blockierung, Behebung und Vermeidung künftiger Angriffe mit denselben TTP als Ausgangspunkt zur Verfügung gestellt.

Darüber hinaus wird jeder IoA dem MITRE ATT&CK™ Framework (einer global zugreifbaren Wissensdatenbank mit Angriffstaktiken und -techniken basierend auf realen Beobachtungen) zugeordnet, um die Produktivität von Analysten bei der Validierung identifizierter IoAs in den Verwaltungskonsolen von WatchGuard EDR und WatchGuard EPDR zu steigern.

Möchten Sie mehr über diesen Threat Hunting Service erfahren? Laden Sie das E-Book „Your Threat Hunting Service Program Simplified With WatchGuard“ herunter und steigen Sie in die Bereitstellung eines Threat Hunting Service mit WatchGuard Advanced Endpoint Security ein.