Threat Hunting für MSPs: Überwindung von Hindernissen für eine erfolgreiche Implementierung
Die Einrichtung eines internen Threat-Hunting-Programms ist mit einigen Herausforderungen wie diesen verbunden:
- Fehlen von Fachleuten für das Threat Hunting
Entscheidungen darüber, was und wie Analysen zur proaktiven Erkennung und Steuerung von Daten und Fragen automatisiert werden sollen, können nur erfahrene Threat Hunter treffen. Diese Entscheidungen entwickeln sich ständig weiter, was bedeutet, dass Sie kontinuierliches Threat Hunting in Ihre täglichen Sicherheitsabläufe einbinden müssen. In vielen Unternehmen kommt dies zu den Aufgaben der ohnehin schon überlasteten Sicherheitsanalysten hinzu. Threat-Hunting-Aktivitäten werden daher nur dann durchgeführt, wenn es die Zeit erlaubt, und oft fehlt die erforderliche Struktur, um die Erkenntnisse und Beobachtungen zu definieren, auszuführen und anzuwenden.
WatchGuard's Threat-Hunting-Service liefert Top-Expertise und erweitert die bereits vorhandenen Fähigkeiten des Sicherheitsteams.
- Mangel an strukturierten Arbeitsabläufen zur Beschleunigung der Verarbeitung
Beständige, strukturierte Arbeitsabläufe sind der Schlüssel zum Erfolg bei der Bedrohungsjagd. Ein unstrukturierter Ansatz bei der Bedrohungsjagd verringert die Erfolgschancen gegenüber Bedrohungen, die gut organisiert und mit guten Ressourcen ausgerüstet sind.
Der Threat-Hunting-Prozess von WatchGuard basiert auf einer gut strukturierten Methode, die wertvolle und langfristige Telemetriedaten optimal nutzt. Der Prozess umfasst die Tools und Arbeitsabläufe, die nach Telemetrie unentdeckter Bedrohungen suchen. Gleichzeitig stellt er sicher, dass die beim Threat Hunting gemachten Entdeckungen genutzt werden, um die automatischen Erkennungsfähigkeiten zu verbessern und liefert unmittelbare Erkenntnisse, um Bedrohungen zu entschärfen und die Angriffsfläche zu reduzieren.
- Fehlende Transparenz
Ob für die Suche, Untersuchung oder Forensik, der langfristige Zugriff auf die Telemetrie ist unerlässlich. Daher ist Telemetrie über alle Endpoints hinweg für die Endpoint-Erkennung und -Reaktion unerlässlich. Schlanke Endpoint-Agenten sammeln robuste Telemetriedaten und gewährleisten hohe Transparenz, um eine schnellere und genauere Identifizierung, Untersuchung und Reaktion auf Vorfälle während des Lebenszyklus des Bedrohungsschutzes zu unterstützen.
Die Telemetriedaten müssen automatisch normalisiert, in großem Umfang gespeichert und für eine sofortige und konsistente Analyse zugänglich sein. Nach Angaben des Ponemon Institute dauerte es im Jahr 2021 durchschnittlich 212 Tage, bis eine Sicherheitsverletzung erkannt wurde, und weitere 75 Tage, um sie einzudämmen. Schwachstellenforscher müssen mindestens 300 Tage lang rückwirkende Untersuchungen durchführen, da sonst ihre Nachforschungen und Ermittlungen wirkungslos verpuffen könnten.
WatchGuard hält eine 365-tägige Speicherung für notwendig. Unsere Schwachstellenforscher nutzen die reichhaltigen Telemetriedaten in Echtzeit, sodass sie jederzeit für absolute Transparenz sorgen.
- Mangel an Technologien, Tools und minutenaktuellen Bedrohungsanalysen
Effektive EDR-Lösungen erfordern, dass die riesigen Mengen an Telemetriedaten, die von Endpoints gesammelt, mit Kontext angereichert und korreliert werden, damit sie auf Anzeichen von Angriffen untersucht werden können. Schnelle und einfache Suchwerkzeuge für die Telemetrie, sind für Spezialisten elementar, um Bedrohungen schneller zu erkennen, indem Einrichtungen, Ereignisse und Parameter schnell ausgewertet werden, um Angriffsmuster zu identifizieren und Geschehen an Endpoints zu untersuchen.
Erfolgreiche Threat-Hunting-Programme müssen auf Informationen beruhen. Die meisten Unternehmen, die heute internes Threat Hunting durchführen, arbeiten auf einer niedrigen Stufe, da ihre Aktivitäten häufig nur auf bekannten IoCs basieren und reaktiv sind. Echtes Threat Hunting hingegen ist eine proaktive Übung. Es geht um die Suche nach unbekanntem Verhalten mit dem Ziel, Bedrohungen aufzudecken und zu unterbrechen, bevor Schaden entsteht. Daher müssen die Spezialisten für erfolgreiches, kontinuierliches Threat Hunting qualitativ hochwertige, kontextbezogene Informationen in Echtzeit erhalten.
Die Unified Security Platform™ von WatchGuard bereichert die Telemetrie mit unserem einzigartigen Zero-Trust Application Service und einer riesigen Menge an minutenaktuellen, qualitativ hochwertigen und kontextualisierten Bedrohungsanalysen.
- Kostenintensiv und komplex
Unternehmen erkennen zunehmend die Notwendigkeit, nach sich ständig weiterentwickelnden Bedrohungen zu suchen. Diejenigen, die versucht haben, intern ein ausgereiftes Threat-Hunting-Programm einzurichten, haben jedoch schnell die inhärente Komplexität und die Kosten erkannt, die mit der erforderlichen Infrastruktur, Tools, Kenntnissen, Bedrohungsanalysen und Arbeitsabläufen verbunden sind.
Die konsequente Aufrechterhaltung der Praxis ohne externe Unterstützung kann selbst für die erfahrensten Sicherheitsteams praktisch unmöglich sein.
Lesen Sie unser neuestes E-Book „Your Threat Hunting Service Program Simplified With WatchGuard“, um mehr zu erfahren und steigen Sie in die Bereitstellung eines Threat Hunting Service mit WatchGuard Advanced Endpoint Security ein.