IT-SicherheitVorteile von Threat Hunting

[10.05.2019] Der Threat-Hunting-Ansatz geht davon aus, dass Bedrohungen in IT-Systemen gefunden werden können, indem sie proaktiv aufgespürt werden. Entscheidend sind Tools, welche die gesamte Behörde im Blick haben.

In der heutigen Cyber-Welt ist es gefährlich anzunehmen, dass Behörden nur die richtigen Tools installieren müssten, um Angriffe auf ihre Systeme zu verhindern. Die Frage sollte eher lauten: Was tun, wenn Angreifer im Behördennetzwerk sind? Bundesbehörden haben es mit finanziell gut ausgestatteten Angreifern aus dem Ausland zu tun, die sich neuartiger Methoden und Technologien bedienen, denen die zu ihrer Abwehr eingesetzten Tools nur mit Mühe begegnen können. Diese Angriffe sind deutlich schwerer vorherzusagen, was die Fähigkeit einschränkt, den damit verbundenen Bedrohungen entgegenzuwirken.
An dieser Stelle kommt das Threat Hunting ins Spiel, eine Sicherheitsstrategie, in deren Mittelpunkt das proaktive Aufspüren von Bedrohungen steht und deren Grundlage die Kenntnisse der Organisation und das Wissen um deren Widersacher sind. Jede Threat-Hunting-Jagd beginnt mit einer Anomalie, auf die eine Hypothese folgt, die auf menschlicher Intelligenz beruht. Anschließend gilt es, auf Grundlage der vorhandenen Daten die richtigen Fragen zu stellen, um Beweise für die Theorie zu finden oder sie zu verwerfen.

Proaktiv suchen statt reaktiv alarmieren

Threat Hunting ist das Gegenteil von reaktivem Alarmieren. Natürlich sind Alarme sinnvoll, aber zuviele davon können dazu führen, das Sicherheitsteams Tag für Tag denselben Alarm sehen. Dies kann Frust verursachen, selbst wenn das Ereignis den Alarm rechtfertigt. Um von dieser Alarmkultur wegzukommen, ist ein profunder Einstellungswandel gefragt. Der Threat-Hunting-Ansatz geht davon aus, dass Bedrohungen in den Systemen existieren und dass man diese finden kann, indem man sie proaktiv aufspürt.
Das setzt voraus, dass Behörden in der Lage sind, ihre IT-Logs, Firewalls, Datenbanken, Intranets und Clouds zu durchsuchen. Die Notwendigkeit, Daten in einer Vielzahl unterschiedlicher Formate, strukturiert und unstrukturiert, in all diesen Orten zu sieben, macht das Durchsuchen komplex. Moderne Such-Tools sind jedoch in der Lage, die unterschiedlichen Datentypen zu knacken, damit sie indexiert, analysiert und so aufbereitet werden können, dass sie die Einblicke liefern, welche die IT-Verantwortlichen in den Behörden benötigen, um mit der Suche beginnen zu können.
Dank ihres Wissens über die verwundbaren Stellen ihrer Behörde, die wahrscheinlichen Gegner und deren mögliche Absichten können IT- und Sicherheitsteams Daten aus jeder Ecke ihrer Infrastruktur abfragen, Hypothesen prüfen und ungewöhnliche Aktivitäten identifizieren – und das innerhalb von Sekunden.

Geschwindigkeit ist alles

Die Jagd auf Cyber-Bedrohungen wird erfolgreicher, je mehr Daten vorliegen. Nicht jede Hypothese fördert eine Bedrohung zutage. Die meisten erweisen sich sogar als falsch. Deshalb braucht es Tools, die Hypothesen schnell prüfen und gegebenenfalls auch schnell verwerfen, damit sofort die nächste Hypothese auf den Prüfstand gestellt werden kann. Diese Anforderung bedingt in der Regel eine Modernisierung der Systeme.
Enterprise-Search-Tools haben ihren Ursprung in den Zeiten der Mainframes, aber die Suchanforderungen von Behörden sind heute deutlich komplexer. Moderne verteilte Systeme benötigen Suchfunktionen, die in Echtzeit tief in riesige Datenmengen eintauchen können und in der Lage sind, Indizes kontinuierlich zu aktualisieren, während immer mehr Daten hinzukommen. Suchen müssen so schnell Einblicke ermöglichen, dass Behörden ohne Verzögerung missionskritische Entscheidungen treffen können.

Keine Jagd in Silos

Einige Bundesbehörden in den USA nutzen bereits Threat Hunting, allerdings häufig in Silos. IT- und Sicherheitsverantwortliche, die mit Firewalls, Erkennungsplattformen, Endpunkt-Agents und anderen Diensten zu tun haben, können Hypothesen nur innerhalb bestimmter Systeme prüfen. So gibt es beispielsweise Punktlösungen, mit denen sich hervorragend Endpunktdaten evaluieren lassen, aber nichts anderes. Das ist besser als ohne Threat Hunting zu agieren, für ein echtes Threat Hunting braucht es jedoch Tools, welche die gesamte Behörde im Blick haben – nur so können Anomalien entdeckt werden, die Grenzen und Silos durchbrechen.
Hinzu kommt, dass eine Beschränkung der Suche nach Bedrohungen auf Einzelsysteme den Weg für neue Angriffsvektoren freimachen könnte. Angreifer, welche die Untersuchungstaktiken einer Behörde auswerten, haben die Möglichkeit, ihre Strategien flexibel anzupassen und sich auf die Bereiche zu konzentrieren, die gerade nicht im Fokus stehen.

Stark in Gemeinschaft

Mittlerweile gibt es in der Sicherheits-Community eine Reihe von Zusammenschlüssen, deren Ziel es ist, Best Practices auszutauschen, sich vor neuen Bedrohungen zu warnen und gemeinsam an Lösungen zu arbeiten. Um ein umfassendes Bild der Cyber-Anforderungen und -Strategien zu erhalten, ist es sehr wichtig, dass in diesen Communities Experten von Regierung, Vertragsunternehmen und Herstellern von Sicherheitslösungen vertreten sind.
Der Mensch ist nicht nur das schwächste Glied in der Sicherheitsstrategie von Unternehmen und Behörden, sondern auch der wichtigste Faktor, wenn es um die Entwicklung und erfolgreiche Umsetzung einer Threat-Hunting-Strategie geht.

Kevin Keeney ist Cyber Security Advocate bei Elastic.




Weitere Meldungen und Beiträge aus dem Bereich: IT-Sicherheit

SEP: Schutz vor Datenverlust

[16.05.2024] Die Back-up- und Recovery-Software SEP sesam sichert geschäftskritische Daten und erfüllt Compliance-Anforderungen. Mit speziellen Lösungen für Behörden bietet SEP ein umfassendes, plattformunabhängiges und DSGVO-konformes Back-up-System. mehr...

Das Bild zeigt das innere eines Cockpits, zu sehen ist auch das Electronic Knee Board.

Bundeswehr: Electronic Knee Boards für Piloten

[15.05.2024] Die Luftwaffe ersetzt herkömmliche Pilotenhandbücher durch Electronic Knee Boards, die vertrauliche Daten mit der sicheren Container-Lösung SecurePIM von Materna Virtual Solution schützen. mehr...

Das Bild zeigt Ministerialdirektor Elmar Steinbacher, Leitende Oberstaatsanwältin Tomke Beddies und Ministerin der Justiz und für Migration Marion Gentges

Baden-Württemberg: Chefin für Cybercrime-Zentrum

[14.05.2024] Die baden-württembergische Justizministerin Marion Gentges hat Ministerialrätin Tomke Beddies zur Leiterin des neuen Cybercrime-Zentrums Baden-Württemberg ernannt. mehr...

Das Bild zeigt das Titelblatt des Bundeslagebilds Cyber-Kriminalität 2023.

Cyber-Kriminalität: Bedrohungslage bleibt hoch

[14.05.2024] Die Bundesregierung und die Sicherheitsbehörden präsentieren das Bundeslagebild Cybercrime für das Jahr 2023. Die Zahlen zeigen einen besorgniserregenden Anstieg der Internet-Kriminalität in Deutschland. mehr...

Das Bild zeigt Bundesinnenministerin Nancy Faeser.

Cyber-Sicherheit: Umsetzung der NIS2-Richtlinie

[08.05.2024] Bundesinnenministerin Nancy Faeser hat einen neuen Gesetzentwurf vorgelegt, mit dem das deutsche IT-Sicherheitsrecht umfassend modernisiert werden soll. Das Gesetz, das auf der EU-Richtlinie NIS2 basiert, sieht strengere Sicherheitsanforderungen und Meldepflichten für ein breiteres Spektrum von Unternehmen vor. mehr...

Porträt von Dagmar Hartge

Brandenburg: Tätigkeitsbericht zum Datenschutz

[08.05.2024] Der Tätigkeitsbericht der brandenburgischen Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht liegt vor. Zu den Schwerpunktthemen gehören unter anderem Künstliche Intelligenz, die datenschutzrechtliche Bewertung von Facebook-Fanpages sowie die Aufarbeitung des Cyber-Angriffs auf die Stadt Potsdam im Dezember 2022. mehr...

Symbolbild: hochgereckte Roboterhand vor dunkelblauem Hintergrund, auf dem eine Konstellation verbundener leuchtender Punkte erkennbar ist.

BSI: KI verändert Cyber-Bedrohungen

[03.05.2024] Künstliche Intelligenz ist keine weit entfernte Zukunftsvision mehr. Mit ihren verschiedenen Ansätzen und Lösungen ist die Technologie inzwischen im (IT-)Alltag angekommen – auch bei Kriminellen. Das BSI will herausfinden, wie sich Cyber-Angriffe dadurch verändern. mehr...

Brustbild von Roman Poseck in dunklem Anzugjackett und violettem Schlips.

Hessen/Bund: Cyber-Abwehr neu strukturieren?

[02.05.2024] Das Hessische CyberCompetenceCenter – Hessen3C – besteht seit fünf Jahren. Aus diesem Anlass stattete Innenminister Roman Poseck dem ihm unterstellten Kompetenzzentrum einen Besuch ab. Dabei äußerte er sich auch über eine mögliche Neuaufstellung der bundesweiten Cyber-Abwehr. mehr...

Außenansicht der SLUB, ein quadratisches, mehrstöckiges Flachdachgebäude mit ein paar, unregelmäßig angebrachten quadratischen Fenstern. Davor Wiese und der Anschnitt eines flachen Brunnens, der ebenfalls als Rechteck angelegt ist.

Sachsen: Schutz digitaler Bibliotheksbestände

[29.04.2024] Mit einer neuen, bedrohungsorientierten Firewall schützt die Sächsische Landesbibliothek – Staats- und Universitätsbibliothek Dresden (SLUB) ihre digitalen Sammlungen vor Cyber-Angriffen. Auch ein VPN Client wurde installiert, der die Arbeitsumgebung der Mitarbeiterinnen und Mitarbeiter im Homeoffice schützt. mehr...

Das Bild zeigt eine Hand mit einem digital verfremdeten Vorhängeschloss.

Datenschutzgesetz: Kritik der Datenschutzkonferenz

[23.04.2024] Die Datenschutzkonferenz der Länder kritisiert in einer aktuellen Stellungnahme den Entwurf zur Änderung des Bundesdatenschutzgesetzes. Sie fordert klarere Regelungen zum Schutz von Betriebsgeheimnissen, strengere Regeln für das Scoring und eine stärkere Kontrolle bei länderübergreifenden Datenverarbeitungen. mehr...

Bayern: Zero Trust im Behördennetz

[12.04.2024] Einen Fahrplan für die sukzessive Einführung einer Zero-Trust-Architektur im Bayerischen Behördennetz hat das Landesamt für Sicherheit in der Informationstechnik (LSI) gemeinsam mit dem Fraunhofer-Institut AISEC aufgestellt. mehr...

Porträtfoto des bayerischen Finanz- und Heimatministers Albert Füracker.

Cyber-Sicherheit: Dezentrale IT-Sicherheit als Schlüssel

[08.04.2024] Die deutschen Bundesländer sollen im Kampf gegen Cyber-Bedrohungen stärker zusammenarbeiten. Die dezentrale Struktur und die schnelle Kommunikation seien entscheidend für den Schutz Kritischer Infrastrukturen und staatlicher IT-Systeme, so Bayerns Finanz- und Heimatminister Albert Füracker. mehr...

Das Bild zeigt ein stilisiertes Vorhängeschloss mit Code-Zeilen im Hintergrund.

BSI: Schwachstellen im Exchange Server

[29.03.2024] Eine Untersuchung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeigt, dass in Deutschland mindestens 17.000 Microsoft Exchange Server durch kritische Sicherheitslücken gefährdet sind. Das BSI ruft zur sofortigen Aktualisierung und sicheren Konfiguration der Systeme auf. mehr...

Das Bild zeigt Dr. Christian Schumer, CEO & Senior Vice President Sales von Materna Virtual Solution.
interview

Interview: Ultramobiles Arbeiten mit BSI-Siegel

[27.03.2024] Mit dem indigo-Konzept von Apple können auch Behörden iPhones und iPads sicher nutzen. Materna Virtual Solution unterstützt seine Kunden dabei mit einem eigenen Kompetenz-Center und speziell entwickelten Lösungen. move-online sprach darüber mit Christian Schumer, CEO & Senior Vice President Sales von Materna Virtual Solution. mehr...

BSI: Neuer Mindeststandard für Browser

[21.03.2024] Das BSI hat den Mindeststandard für Webbrowser aktualisiert, die in der Bundesverwaltung, aber auch in Ländern und Kommunen zum Einsatz kommen. In seiner aktuellen Fassung berücksichtigt der Mindeststandard nun auch Anforderungen für Browser, die mobil eingesetzt werden. mehr...