Threat Hunter: Security-Bedrohungen beruflich aufspüren

Wer sich im Bereich IT Security nach einer spannenden Herausforderung umsieht, trifft auf mannigfaltige Job-Beschreibungen. Das sehr abwechslungsreiche Betätigungsfeld gewinnt in allen Unternehmen an Bedeutung. Und dies mit gutem Grund: Die Bedrohungslandschaft für Unternehmen im Bereich IT Security verändert sich sehr dynamisch.

Umso wichtiger ist es, dass neue Bedrohungen rechtzeitig erkannt werden. Abseits aller technischen Ansätze und Lösungen spielt dabei der menschliche Faktor eine unersetzliche Rolle.

Und hier ist das Berufsbild des Threat Hunters besonders interessant. Noch ist das Konzept des Threat Hunting für viele Unternehmen relativ neu. Aber wie eine aktuelle Studie des SANS Institute zeigt, planen durchaus viele Unternehmen in diesem Bereich Aktivitäten. Schließlich müssen Organisationen den Bedrohungen, denen sie ausgesetzt sind, entsprechend sachkundig begegnen können.

Welchen Herausforderungen sich ein Threat Hunter stellen muss und welche Anforderungen an diese Tätigkeit gestellt werden, erklärt Mathias Fuchs im Gespräch mit ComputerWeekly.de. Mathias Fuchs ist Head of Investigation und Intelligence bei InfoGuard und SANS Certified Instructor.

Was sind genau die Aufgaben eines Threat Hunters? Wie sehen typische Aufgabenstellungen aus?

Mathias Fuchs: Im Grunde genommen geht es darum Hypothesen aufzustellen und dann mit verschiedenen Methoden des Threat Huntings zu überprüfen. Zu den Aufgaben gehört weiterhin, dass verschiedene Threat-Intelligence-Informationen über neue Cyberbedrohungen und Bedrohungsakteure regelmäßig konsultiert werden.

Ein Beispiel für eine Hypothese ist: Die Winnti-Gruppe ist in unserem Netzwerk unterwegs. Nun muss ein Threat Hunter wissen, wie geht die Gruppe vor, welche Methoden verwenden sie, welche Schadsoftware setzen sie ein.

Ein eher klassisches Beispiel ist die Maze-Malware. Sie wird von vielen verschiedenen Gruppierungen von Cyberkriminellen genutzt. Cobalt-Strike, ein Metaspolit-Fork ist ein weiteres Beispiel für Hacker-Tools, die von vielen Gruppen genutzt wird. Weitere Tools sind Batch-Skripte, sie werden genutzt, um alte wie neue Sicherheits-Tools auszuschalten.

In welchen Bereichen kommen Threat Hunter zum Einsatz?

Fuchs: In der Regel ist das Threat Hunting eine eigenständige Einheit von Incident Respondern und Threat-Intelligence-Experten. Wenn es bei den Unternehmen ein SOC (Security Operation Center) gibt, dann sollten die Hunter möglichst losgelöst vom SOC agieren.

SOC-Mitarbeiter verfügen selten über die nötige Erfahrung für das Bilden und überprüfen stichhaltiger Hypothesen. Letztlich führt ein Threat Hunter proaktive Tätigkeiten aus. Hypothesenbasiertes Hunting darf was SOC Use Cases nicht dürfen – es darf auch mal eine große Anzahl an False Positives aufwerfen. Dabei ist dann der Hunter gefragt dynamisch zu beurteilen ob diese stark feuernden IOCs (Indicator of Compromise) zur Überprüfung der aktuellen Hypothese noch zielführend sind und muss gegebenenfalls seinen Ansatz anpassen.

In der Regel gibt es sowohl interne als auch externe Threat Hunter. Mit anderen Worten, es sind einige festangestellt, andere kommen von Beraterfirmen oder spezialisierten Service-Providern.

Bei welcher Art von Unternehmen werden Threat Hunter beschäftigt?

Fuchs: Es ist keine Frage der Unternehmensgröße. Jedes Unternehmen kann Threat Hunter von Fall zu Fall gebrauchen. Beispielsweise hat ein Unternehmen mit lediglich 20 Mitarbeitern einen solchen Service extern angefragt. In der aktuellen Studie „Is Your Threat Hunting Effective?“ des SANS Institutes gaben 8,6 Prozent der befragten Experten, dass in ihren Unternehmen weniger als 100 Mitarbeiter arbeiten.

„Im Grunde genommen geht es darum, Hypothesen aufzustellen und dann mit verschiedenen Methoden des Threat Huntings zu überprüfen.“ 

Mathias Fuchs, Infoguard

Welche Fähigkeiten und Eigenschaften sollte ein Threat Hunter mitbringen?

Fuchs: Er oder sie sollte Erfahrung als Incident Responder und/oder Threat-Intel-Spezialist verfügen und vor allem neugierig sein.

Welche Tools und Ausrüstung verwenden Threat Hunter?

Fuchs: Eine ganze Reihe. Allerdings ist es viel wichtiger, dass die Threat Hunter Einsicht in alle wichtigen Bereiche der IT-Infrastruktur erhalten. Oftmals ist nämlich die Überprüfung einer Hypothese nicht möglich, weil die Visibilität über kritische Bereiche der Infrastruktur fehlt.

Es geht daher bei der Arbeit oftmals zunächst darum, Visibility-Gaps zu schließen. Denn nur, wenn alle Bereiche betrachtet werden können, kann eine Hypothese bestätigt oder widerlegt werden. Denn wenn die Security-Abteilung bereits Probleme dabei hat, mit Threat Intelligence in alle Geräte, Netzwerke oder Datenströme hereinzuschauen, die von der IT-Abteilung betrieben und verwaltet werden, dann wird es sowohl für interne als auch für externe Threat Hunter schwer. Kurz zusammengefasst kann professionell durchgeführtes Threat Hunting zu einer Visibilitätserhöhung auch für das SOC führen.