beebright - stock.adobe.com

Das Zusammenspiel von Threat Intelligence und Threat Hunting

Das Zusammenspiel von Bedrohungsdaten und die gemeinsame Bedrohungsjagd bieten Unternehmen eine umfassende Sicherheitsstrategie. Das richtige Zusammenwirken ist entscheidend.

Sowohl Threat Intelligence als auch Threat Hunting nutzen proaktive Maßnahmen und Datenerfassung, um neu auftretende Cyberbedrohungen und -trends zu bekämpfen. Obwohl sie unterschiedliche Ansätze zur Bewältigung von Sicherheitsbedrohungen verfolgen, kann die Integration der beiden einen besseren Schutz vor Bedrohungen gewährleisten.

Im Folgenden werden Möglichkeiten aufgezeigt, wie Organisationen Bedrohungsdaten (Threat Intelligence) und die Jagd nach Bedrohungen (Threat Hunting) gemeinsam nutzen können, um ihre Sicherheitslage zu optimieren.

Was ist Threat Intelligence?

Bedrohungsdaten beziehen sich auf das Sammeln, Analysieren und Verwenden von Daten aus einer Reihe von Quellen, um potenzielle oder aktuelle Cyberbedrohungen zu verhindern und abzuschwächen. Das Ziel von Bedrohungsdaten ist es, umsetzbare Erkenntnisse zu liefern, die Sicherheitsteams dabei helfen können, die Taktiken, Techniken und Verfahren (TTPs, Tactics, Techniques and Procedures) von Angreifern besser zu verstehen.

Schlüsselkomponenten der Threat Intelligence

Mehrere Schlüsselaspekte der Bedrohungsinformationen werden genutzt, um Daten und Erkenntnisse über Cybersicherheitstrends zu sammeln. Die folgenden Komponenten dienen als Leitfaden, um sicherzustellen, dass die gesammelten Informationen für eine Organisation und die aufkommenden Bedrohungen, denen sie ausgesetzt ist, aussagekräftig und relevant sind:

  • Datenerfassung. Die Recherche und Erfassung von Rohdaten aus verschiedenen Quellen ist der erste Schritt bei der Bedrohungsanalyse. Zu den Quellen können Open-Source-Informationen gehören, wie beispielsweise öffentliche Websuchen, Onlineforen, soziale Medien, öffentliche Onlinedatensätze und vieles mehr, sowie umfassendere Quellen, wie Dark-Web-Marktplätze, Threat-Intelligence-Feeds und die Überprüfung aktueller CVEs, Sicherheitsvorfälle und interner Systemprotokolle. Bei der Datenerfassung für die Bedrohungsanalyse besteht das Ziel darin, relevante Informationen zu sammeln, um Angriffsmuster, Angriffsmethoden und andere Bedrohungen zu identifizieren.
  • Datenanalyse. Nachdem die Rohdaten gesammelt wurden, müssen sie überprüft und analysiert werden. Das Ziel dieses Schritts besteht darin, Medienrauschen über aufkommende Bedrohungen herauszufiltern, unnötige Informationen zu entfernen und Erkenntnisse über aktive Bedrohungen und entdeckte Schwachstellen, einschließlich Zero-Day-Bedrohungen, zu gewinnen. KI hat dazu beigetragen, diesen Prozess zu automatisieren, indem große Datensätze durchsucht werden, um fragwürdige Aktivitäten und Verhaltensweisen schneller und effektiver zu erkennen.
  • Kontextualisierung. Die gesammelten Bedrohungsdaten sind nur dann wertvoll, wenn sie für die jeweilige Organisation relevant sind. Das Ziel der Kontextualisierung besteht darin, potenzielle Bedrohungen für die digitale Infrastruktur und die Vermögenswerte einer Organisation zu ermitteln. Dies geschieht, indem man versteht, welche Art von Bedrohungen und welche Bedrohungen speziell auf bestimmte Systeme abzielen und welche Auswirkungen sie haben.
  • Umsetzbare Erkenntnisse. Sobald die Daten gesammelt, analysiert und in einen Kontext gesetzt wurden, sollten sie Erkenntnisse über proaktive Maßnahmen liefern, die Sicherheitsteams ergreifen können. Diese Erkenntnisse könnten es den Teams beispielsweise ermöglichen, Schwachstellen zu beheben, Firewall-Regeln zu ändern und neu zu konfigurieren, Verfahren und Pläne zur Reaktion auf Vorfälle anzupassen und die Schulungen zur Sensibilisierung der Mitarbeiter für Sicherheitsfragen auf der Grundlage spezifischer Angriffsmethoden, mit denen die Organisation konfrontiert ist, zu aktualisieren.

Was ist Threat Hunting?

Unter „Threat Hunting“ versteht man die aktive Suche nach Anzeichen für eine Kompromittierung, verdächtiges Verhalten oder Schwachstellen. Es handelt sich um eine Mischung aus manuellen und automatisierten Techniken, die nicht auf herkömmlichen passiven Warn- und Abwehrmaßnahmen wie Firewalls basieren, da sie sich auf nicht erkennbare Bedrohungen konzentrieren.

Hauptmerkmale des Threat Hunting

Mehrere Schlüsselmerkmale der Bedrohungsjagd helfen Sicherheitsteams, mehr Einblick in neu auftretende Bedrohungen zu erhalten und diese erfolgreich zu entschärfen. Die folgenden Schritte konzentrieren sich auf proaktive Maßnahmen, die darauf abzielen, tiefer in die unsichtbaren Bedrohungen für die Organisation einzutauchen:

  • Hypothesengesteuert. Die Bedrohungsjagd beginnt mit einer Hypothese, die aus nachrichtendienstlichen Erkenntnissen, beobachteten Anomalien und anderen Bedrohungsanalysen abgeleitet wird. Dadurch können Bedrohungsjäger gezieltere Untersuchungen durchführen. Beispielsweise könnten Jäger ungewöhnlichen oder übermäßigen Netzwerkverkehr untersuchen, der auf einen Cyberangriff hindeuten könnte. Dieser Schritt umfasst auch die Überwachung des Benutzerverhaltens auf mögliche Anzeichen für eine Gefährdung.
  • Qualifizierte Analyse. Ähnlich wie bei der Bedrohungsanalyse müssen Bedrohungsjäger über ein tiefes Verständnis der TTPs verfügen, um die spezifischen Arten von Angriffen zu verstehen, denen die Organisation ausgesetzt ist. Bedrohungsjäger verwenden eine Vielzahl von Tools und Maßnahmen, die auf qualifizierten menschlichen Analysen und der Erkennung ungewöhnlichen Benutzerverhaltens beruhen.
  • Datenanalyse-Tools. Viele Bedrohungsjäger verwenden eine Mischung aus manuellen und automatisierten Tools und Taktiken, um Muster und Zusammenhänge neu auftretender Bedrohungen zu erkennen. Dazu gehören die Analyse von System-, Netzwerk- und Benutzerprotokollen sowie der Einsatz von SIEM-Tools zur Untersuchung von Anomalien.
  • Fokus auf fortgeschrittene Bedrohungen. Die Bedrohungsjagd zielt darauf ab, fortgeschrittene persistente Bedrohungen (APT, Advanced Persistant Threat), komplexe Cyberangriffe und einzigartige Malware aufzuspüren, die herkömmliche Sicherheitskontrollen und -maßnahmen übersehen könnten. Durch die Konzentration auf fortgeschrittenere Bedrohungen können Sicherheitsteams tiefer in die Tarnungstaktiken eintauchen, die böswillige Angreifer anwenden, um einer Entdeckung zu entgehen.
Die Kombination aus Bedrohungsjagd und Threat Intelligence ermöglicht es Organisationen, eine reaktionsschnelle und proaktive Sicherheitsstrategie zu verfolgen.

Wie Bedrohungsdaten und Bedrohungsjagd zusammen wirken

Sowohl Bedrohungsdaten als auch die Jagd nach Cyberkriminellen nutzen proaktive Maßnahmen und Datenerfassung, um neu auftretende Cyberbedrohungen und -trends zu bekämpfen. Obwohl sie unterschiedliche Ansätze zur Bewältigung von Sicherheitsbedrohungen verfolgen, kann die Integration der beiden einen besseren Schutz vor Bedrohungen gewährleisten.

Im Folgenden werden Möglichkeiten aufgezeigt, wie Organisationen Bedrohungsdaten und die Jagd nach Bedrohungen gemeinsam nutzen können, um ihre Sicherheitslage zu optimieren.

Bedrohungsdaten nutzen, um datengestützte Erkenntnisse zu gewinnen und Hypothesen aufzustellen

Das Ziel der Informationsbeschaffung besteht darin, Bedrohungen, Trends und Schwachstellen zu erforschen, um besser zu verstehen, mit welchen Gegnern die Organisation konfrontiert ist. Dies wiederum hilft den Sicherheitsteams, ihre Hypothesen zur Bedrohungsjagd besser zu planen und zu priorisieren.

Bedrohungsinformationen in proaktive Bedrohungsjagd und Maßnahmen umsetzen

Daten aus der Bedrohungsanalyse helfen Sicherheitsteams bei der Suche nach spezifischen Bedrohungen in Systemen und Netzwerken. Beispielsweise können Bedrohungsjäger mithilfe von Daten, die durch die Analyse gewonnen wurden, Maßnahmen wie Data Mining und Querverweise nutzen, um Anomalien zu untersuchen.

Aufklärung verbessert die Echtzeitaktualisierung bei der Bedrohungssuche

Die Kombination aus Bedrohungsjagd und Informationsbeschaffung ermöglicht es Organisationen, eine reaktionsschnelle und proaktive Sicherheitsstrategie zu verfolgen. Wenn neue Bedrohungen auftauchen, hilft diese Informationsbeschaffung den Bedrohungsjägern, sich auf die dringendsten Cyberbedrohungen zu konzentrieren. Wenn beispielsweise Echtzeitinformationen einen Anstieg von Phishing-Kampagnen gegen die Branche einer Organisation erkennen, sollten Bedrohungsjäger nach möglichen Anzeichen für eine Kompromittierung suchen, um diese zu bekämpfen, bevor ein erfolgreicher Angriff stattfinden kann.

Überprüfung von Bedrohungsdaten durch Bedrohungsjagd

Die Entwicklung einer wechselseitigen Beziehung zwischen Bedrohungsinformationen und der Jagd führt zu positiven Ergebnissen und ermöglicht es Bedrohungsjägern, Informationen zu generieren, indem sie unbekannte Bedrohungen aufdecken. Wenn Bedrohungsjäger beispielsweise eine neue Bedrohung entdecken, sollten sie die Ergebnisse dokumentieren und an das Aufklärungsteam weiterleiten. So können die Teams die Auswirkungen neu auftretender Cyberbedrohungen besser abwehren und minimieren.

Förderung der teamübergreifenden Zusammenarbeit und Kommunikation

Damit Organisationen Bedrohungsjagd und -aufklärung erfolgreich durchführen können, sollte die Integration stark auf Zusammenarbeit basieren. Die Teams für Bedrohungsaufklärung und -jagd müssen eng zusammenarbeiten, um Entdeckungen auszutauschen, Daten zu überprüfen und Ressourcen kontinuierlich zu aktualisieren. Wenn Organisationen eine Feedback-Kultur etablieren, in der Erkenntnisse aus der Bedrohungsjagd kontinuierlich in die Bedrohungsaufklärung einfließen, können beide Prozesse Sicherheitsbedrohungen effektiver bekämpfen.

Erfahren Sie mehr über Bedrohungen