Was ist Threat Hunting?
Ob softwarebasiert oder menschlich – bösartige Bedrohungen machen ihre Präsenz nicht deutlich. Cybersicherheitstools müssen nach Malware, Eindringlingen und böswilligen Insidern suchen und es gibt eine Reihe von Techniken, die zu diesem Zweck eingesetzt werden können.
Jeder Anbieter von Sicherheitssoftware hat eine bevorzugte Technik und bleibt dabei, weil sie funktioniert. Obwohl es mehrere verschiedene gibt Bedrohungsjagd Es gibt keine Rangliste dieser Strategien – es gibt keine, die allgemein als besser angesehen wird als die anderen. Wir werden uns die wichtigsten Methoden zur Bedrohungserkennung ansehen und erklären, wie sie funktionieren.
Terminologie zur Bedrohungsjagd
Wie jede IT-Disziplin haben auch Cybersicherheit und Threat Hunting ihre eigene Terminologie. Hier sind einige wichtige Begriffe, die Sie kennen sollten, wenn Sie sich mit der Bedrohungssuche befassen:
- EDR – Endpunkterkennung und -reaktionÜberwacht Endpunkte (Desktops, Server, mobile Geräte, IoT-Gadgets) auf Bedrohungen und implementiert bei Erkennung automatisierte Reaktionen
- XDR – Erweiterte Erkennung und ReaktionEin Paket von Sicherheitstools, die zusammen eine Bedrohungserkennung und automatisierte Reaktion ermöglichen. Die Hauptelemente sollten per SaaS bereitgestellt werden.
- IDS – EinbruchmeldesystemHierbei handelt es sich um ein Threat-Hunting-Paket, das entweder mit Protokolldateien im Fall von hostbasierten IDS (HIDS) oder mit Live-Aktivitätsüberwachungsdaten im Fall von netzwerkbasierten IDS (NIDS) arbeitet.
- IPS – Intrusion-Prevention-SystemEin IDS mit automatisierten Antwortregeln.
- SIEM – Sicherheitsinformations- und EreignismanagementDurchsucht Protokolldateien und Netzwerküberwachungsdaten und löst bei erkannter Bedrohung eine Warnung aus. Hierbei handelt es sich um eine Kombination aus Security Information Management (SIM), einem HIDS, und Security Event Management (SEM), einem NIDS.
- SOAR – Sicherheitsorchestrierung und -reaktionDatenaustausch zwischen Sicherheitssoftware, die entweder Bedrohungsinformationen oder Reaktionsanweisungen ausgibt.
- SOC – Security Operations CenterEin Rechenzentrum, das die Überwachung und Verwaltung von Sicherheitssoftware bietet und zusätzlich eine spezialisierte menschliche Analyse bietet.
- C TI – Cyber-BedrohungsinformationenDaten über an anderer Stelle stattgefundene Angriffe und deren Ablauf. Es kann sich auch um eine Warnung vor einem Datenleck oder Geschwätz auf Hackerseiten handeln, die darauf hinweisen, dass ein bevorstehender Angriff auf ein Land, eine Branche, ein Unternehmen oder eine Einzelperson wahrscheinlich ist.
- IoA – AngriffsindikatorEin Zeichen dafür, dass ein Angriff im Gange ist. Dies wäre die Entdeckung einer Phishing-E-Mail oder eines infizierten E-Mail-Anhangs. Ein RDP-Verbindungsversuch oder viele fehlgeschlagene Anmeldeversuche für ein Konto sind weitere Anzeichen dafür, dass ein Angriff im Gange ist.
- IoC – Indikator für KompromisseEin Überbleibsel eines kürzlichen Angriffs. Diese können in einer Abfolge von Faktoren, Malware-Signaturen und Schadadressen zusammengefasst werden. Sie werden als Threat Intelligence kommuniziert. Allerdings können kleine Abweichungen in den Methoden die Erkennung vereiteln.
- TTP – Taktiken, Techniken und VerfahrenBedrohungsstrategien, die als Warnungen in Threat-Intelligence-Feeds kommuniziert werden. Sie beschreiben detailliert die kürzlich entdeckten Aktivitäten einer Hackergruppe, wie etwa den Gruppennamen und ihre Untersuchungsmethoden sowie den Eindringling.
- UBA – Analyse des NutzerverhaltensDie Verfolgung der Aktivität pro Euterkonto, die ein Muster für normales Verhalten festlegt. Dies stellt eine Grundlage für die Anomalieerkennung dar, die nach Abweichungen vom Standardverhalten des Benutzerkontos sucht.
- UEBA – Analyse des Benutzer- und EntitätsverhaltensDasselbe wie UBA, jedoch mit einer Aufzeichnung der Standardaktivitäten auf einem Gerät, bei dem es sich normalerweise um einen Endpunkt handelt.
Datenquellen zur Bedrohungssuche
Die Bedrohungsjagd kann auf zwei Ebenen stattfinden: auf der Unternehmen oder global . Globale Suchen basieren auf von Unternehmen hochgeladenen Daten.
Die großen Datenmengen solcher Systeme können durch die Installation deutlich reduziert werden Vorverarbeitung Module auf jedem beitragenden System. Diese Strategie könnte einige Informationen herausfiltern, die von der lokalen Analyse-Engine nicht als potenzieller Indikator identifiziert werden. Die Qualität dieser Quelldaten hängt also stark vom Algorithmus ab, den die Threat-Intelligence-Gruppe verwendet. Auch die Geschwindigkeit der Datensuche und die Kapazität der zentralen Sucheinheit beeinflussen die Menge Filterung von Datensammlern benötigt.
Die Bedrohungssuche für Unternehmen stützt sich auf drei Hauptquellen für Eingabedaten:
- Protokollnachrichten
- Systemüberwachung
- Beobachtbarkeit
Alle drei Arten von Daten müssen von jeder Komponente des Systems – sowohl Hardware als auch Software – gesammelt werden, um ein vollständiges Bild eines Angriffs zu erhalten.
Protokollnachrichten
Die Hauptdatenquelle für die Bedrohungssuche sind Protokollnachrichten. Jedes Betriebssystem und nahezu jede Anwendung generiert Protokollmeldungen, deren Sammlung eine reichhaltige Informationsquelle über Systemaktivitäten darstellt.
Systemüberwachung
So wie Protokollmeldungen in einem IT-System ständig im Umlauf sind, so zirkulieren auch Überwachungsdaten ständig. Auch hier muss es nur eingesammelt werden. Zu diesen Informationen gehören Live-Informationen zur Netzwerkleistung, die über verfügbar sind Einfaches Netzwerküberwachungsprotokoll (SNMP). Weitere Informationsquellen, die mit sehr geringem Aufwand leicht verfügbar sind, sind Prozessdaten aus dem Taskmanager in Windows oder dem PS Dienstprogramm unter Linux, Unix und macOS.
Beobachtbarkeit
Serverlose Systeme und dateilose Aktivitäten sind schwieriger zu verfolgen und erfordern eine aktive Datenerfassung Verteilte Ablaufverfolgung Telemetriesysteme. Die aus der Verfolgung laufender Prozesse gewonnenen Informationen können durch ergänzt werden Code-Profilierung wobei Aktivitäten durch Klartext-Codierungssprachen implementiert werden. Speicherauszüge und String-Scans können auch Hinweise auf einen Angriff durch das Vorhandensein von DLL-Funktionen aufdecken, die bekanntermaßen bei böswilligen Angriffen verwendet werden, wie z. B. Dienstprogramme zur Speicher- und Registermanipulation.
Datenflüsse für die Bedrohungssuche
Zwar gibt es einige verteilte Threat-Hunting-Systeme, die hauptsächlich dem Endpunktschutz dienen, diese Dienste sind jedoch in der Regel zentralisiert. A AV der nächsten Generation nutzt die Bedrohungssuche auf dem Gerät, aber alle anderen Systeme, einschließlich IDS-, EDR-, XDR- und SIEM-Tools, sammeln Daten von mehreren Geräten im System in einem zentralen Pool.
Software-as-a-Service Bedrohungsjäger können die für alle gehosteten Clients verwendeten Data Lakes in einem dienstweiten Bedrohungserkennungspaket vereinheitlichen. Dieser Datenfluss in eine Cloud-Sammlung ist auch die Hauptinformationsquelle Bedrohungsinformationen Einspeisungen.
In allen Fällen werden Daten aus verschiedenen Arten von Quellen, wie z. B. Protokolldateien oder Systemüberwachungsaufzeichnungen, gesammelt und in übersetzt ein gängiges Format sodass diese unterschiedlichen Datensatzlayouts in einer einheitlichen Liste mit denselben Datenfeldern am selben Ort zusammengefasst werden können. Die Bedrohungssuche wird als eine Reihe von Suchvorgängen sowie Datenfilterung und -gruppierung implementiert.
Quelldaten für die Bedrohungssuche fließen in einen zentralen Pool. Bedrohungsinformationen , das Informationen zur Bedrohungserkennung liefert, wandert in die andere Richtung – von einem zentralen Standort zu einzelnen Unternehmenskonten und dann weiter zu lokalen Datenverarbeitern, wie z. B. gerätebasierten AVs. Antwortanweisungen auch vom zentralen System zu lokalen Geräten übertragen.
Strategien zur Bedrohungsjagd
Alle Threat-Hunting-Systeme lassen sich in zwei Strategiekategorien einteilen: signaturbasiert Und Anomaliebasiert sucht.
Signaturbasierte Bedrohungssuche
Signaturbasierte Erkennungsmethoden sind die älteste Strategie für Cybersicherheitsprodukte. Die ursprünglichen Antivirensysteme nutzten diesen Ansatz, bei dem die Systeme auf das Vorhandensein bestimmter Dateien überprüft wurden, die normalerweise durch eine Hash-Signatur und nicht durch ihren Namen identifiziert werden.
Obwohl die signaturbasierte Bedrohungssuche eine alte Strategie ist, ist sie nicht veraltet – so funktionieren Systeme, die mit Threat-Intelligence-Feeds arbeiten. Der CTI Der Feed liefert eine Liste der zu suchenden Prozesse, Dateien oder Adressen (TTPs) und der Bedrohungsjäger durchsucht seinen Datensee nach deren Vorhandensein.
Die auf Bedrohungsinformationen basierende Bedrohungssuche wird auch als hypothesengesteuerte Untersuchung bezeichnet. Die signaturbasierte Bedrohungssuche erfolgt in Echtzeit , Scannen von Daten, sobald sie von verteilten Kollektoren eintreffen, und auch im Nachhinein , Durchsuchen von Speichern von Veranstaltungsaufzeichnungen. Bei jeder neuen Suche ist eine retrospektive Suche erforderlich TTP geliefert wird. Dies liegt daran, dass die bisherigen Erkenntnisse diese Angriffsstrategien nicht berücksichtigten und das Intrusion-Detection-System mithilfe der neu entdeckten Methoden herausfinden muss, ob das System bereits von Hackern kompromittiert wurde.
Josh Und IoCs , bereitgestellt vom Threat-Hunting-Systemanbieter, implementieren auch eine signaturbasierte Erkennung. Diese Informationsquellen werden zum Durchsuchen von Live- und historischen Daten verwendet.
Anomaliebasierte Bedrohungssuche
Anstatt nach der Existenz von etwas zu suchen, identifiziert die anomaliebasierte Bedrohungssuche Unregelmäßigkeiten. Konkret wird gesucht Änderungen im Aktivitätsmuster im System. Diese Art der Erkennung ist besonders wichtig zum Schutz vor Kontoübernahmen und Insider-Bedrohungen.
Bei Vorfällen wie Datendiebstahl müssen Hacker keine neue Software installieren – die Einrichtungen, die Sie bereits für autorisierte Benutzer zur Verfügung haben, sind gut genug, um Datendieben dabei zu helfen, an wertvolle Informationen zu gelangen. Analyse des Benutzerverhaltens (UBA) und Analyse des Benutzer- und Entitätsverhaltens (UEBA) zielen darauf ab, die unbefugte Nutzung autorisierter Anwendungen zu bekämpfen.
Bei der anomaliebasierten Erkennung muss zunächst das normale Verhalten ermittelt werden, bevor Abweichungen erkannt werden können. Daher werden UBA- und UEBA-Systeme verwendet maschinelles Lernen um eine Basislinie der regelmäßigen Aktivität für jeden Benutzer oder jedes Gerät zu registrieren. Maschinelles Lernen ist eine Disziplin von Künstliche Intelligenz (KI).
Automatisierte Erkennung vs. manuelle Bedrohungsanalyse
Die Suche nach Bedrohungen ist ein ständiger Prozess und erfordert das Durchsuchen große Datenmengen . Für diese Aufgabe sind Computer sehr gut geeignet. Für alle außer den kleinsten Unternehmen ist die Idee, manuell nach Bedrohungen zu suchen, ein Kinderspiel.
Manuelle Analyse Die Menge an Daten spielt bei der Bedrohungssuche eine Rolle als Ergänzung zur ständigen automatischen Erkennung. Die beste Kombination aus computergestützter und menschlicher Analyse besteht darin, das automatisierte System die Daten sortieren zu lassen und dann Grenzfälle für die menschliche Beurteilung zu kennzeichnen.
Ein großes Problem bei regelbasierten Bedrohungserkennungssystemen, die Folgendes umfassen: automatisierte Antworten besteht darin, dass sie normales Verhalten falsch zuordnen und legitime Benutzer aussperren können. UBA und UEBA wurden bei der Bedrohungssuche eingesetzt, um dies einzudämmen Falsch-positive Berichterstattung . Unabhängig davon, wie fein abgestimmt ein Erkennungssystem ist, besteht immer die Möglichkeit, dass ein Benutzer plötzlich eine Aktion ausführt, die Teil seiner regulären Arbeitsroutine ist.
Die akzeptable Anomalie könnte eine seltene Aufgabe sein, die der Benutzer ausführen soll, die das maschinelle Lernsystem jedoch noch nicht gesehen hat, weil sie noch nicht lange genug läuft.
Die Art des manuellen Eingriffs in ein Threat-Hunting-System hängt vom Unternehmen ab Sicherheitspolitik . Beispielsweise könnte ein ungewöhnliches und selten auftretendes Ereignis durch die Ausgabe einer Warnung als einzige Reaktion als Mensch bezeichnet werden. Alternativ könnten die Einstellungen eines IPS eine Sicherheitsstrategie vorschreiben, die Konten blockiert, die an anormalem Verhalten beteiligt sind, und dann die Bewertung der Aktivität und möglicher Aktivitäten überlässt Umkehrung der Antwortaktion an einen Administrator.
Die Rolle von Sicherheitsanalyst ist kein Job, der zufällig einem Techniker im Support-Team zugewiesen werden kann. Dies ist eine hochspezialisierte Fähigkeit und qualifizierte Analysten sind schwer zu finden. Wenn sie gefunden werden können, sind sie sehr teuer. Dies ist ein Grund, warum sich der Kauf automatisierter Cybersicherheitstools lohnt.
Eine Lösung für den Bedarf an menschlichem Fachwissen im Bereich Cybersicherheit besteht darin, einen Vertrag abzuschließen Managed Threat Hunting Service. Dazu gehört ein SaaS-basiertes Paket der Sicherheitssoftware und des Servers, auf dem sie ausgeführt wird. Hinzu kommt ein Team von Sicherheitsexperten, die ungewöhnliche Anomalien analysieren, die das Computersystem nicht kategorisieren kann.
Bedrohungssuche in Cybersicherheitstools
Unsere Empfehlungen zu Systemen zur Bedrohungssuche können Sie im lesen Die besten Tools zur Bedrohungssuche . Um zu veranschaulichen, wie verschiedene Tools die Bedrohungssuche einzeln und als Teil einer Reihe von Diensten durchführen können, können wir uns die von angebotenen Pakete ansehen CrowdStrike .
Die Cybersicherheitstools von CrowdStrike werden von einer SaaS-Plattform namens Falcon angeboten. Einer ihrer Dienste ist ein Antivirendienst der nächsten Generation und dies ist die einzige Anwendung der Falcon-Suite, die auf Endpunkten statt auf der Falcon-Cloud-Plattform ausgeführt wird.
So passen die Tools zusammen:
- CrowdStrike Falcon Prevent - auf dem GeländeFührt die Bedrohungssuche lokal durch und fungiert auch als Datenerfassungsagent für cloudbasierte Falcon-Systeme.
- CrowdStrike Falcon Insight – cloudbasiertEin EDR, der die Aktivitäten aller Falcon Prevent-Instanzen für ein Unternehmen koordiniert und hochgeladene Daten nach Art eines SIEM durchsucht.
- CrowdStrike Falcon XDR – cloudbasiertFunktioniert auf die gleiche Weise wie Falcon Insight, bezieht aber zusätzlich Aktivitätsdaten von Drittanbieter-Tools und kann automatisierte Reaktionen an Falcon Discover oder andere lokale Sicherheitssysteme übermitteln.
- CrowdStrike Falcon Intelligence – cloudbasiertVon CrowdStrike zusammengestellte Bedrohungsinformationen aus allen für Kunden betriebenen EDR- und XDR-Systemen sowie Anwendungserfahrungen von Drittanbietern.
- CrowdStrike Falcon Overwatch – cloudbasiertEin verwalteter Dienst, der das Falcon Insight-System zusammen mit Technikern und Analysten bereitstellt, um das System zu betreiben und eine manuelle Datenauswertung durchzuführen.