BLOG: Die wichtigsten Fakten zur Jagd nach Cyberbedrohungen

11.01.2019

Kürzlich haben wir unsere aktuellen Umfrageergebnisse im Bericht „2018 State of Threat Detection“ veröffentlicht und einige interessante Entwicklungen im Bereich der Jagd nach Cyberbedrohungen festgestellt. Aber was genau ist die Jagd nach Bedrohungen? Wer macht das? ...

Kürzlich haben wir unsere aktuellen Umfrageergebnisse im Bericht 2018 State of Threat Detection“ veröffentlicht und einige interessante Entwicklungen im Bereich der Jagd nach Cyberbedrohungen festgestellt. Aber was genau ist die Jagd nach Bedrohungen? Wer macht das? Und können Sie das auch tun? Hier finden Sie die Antworten:

Was ist die Jagd nach Cyberbedrohungen?
Die Jagd nach Cyberbedrohungen ist ein Schlagwort, das oft falsch genutzt oder auch missverstanden wird. Obgleich Unternehmen die Jagd nach Cyberbedrohungen unterschiedlich definieren, ist dies letztlich eine proaktive Methode, um fortschrittliche Bedrohungen, die die traditionellen präventiven Abwehrmechanismen umgehen, automatisiert zu erkennen und aufzudecken. Betrachten Sie „Threat Hunting“ als letzte Verteidigungslinie vor einer Daten-Exfiltration. Cyberkriminelle möchten das, was Sie haben: Ihre personenbezogenen Daten und Ihr geistiges Eigentum. Und Sie können sicher sein, dass sie alles tun werden, um an diese Informationen zu gelangen. Die Jagd nach Cyberbedrohungen unterscheidet sich vom Monitoring, da sie von Analysten ausgeführt wird, obwohl auch diese sich größtenteils auf automatisierte Lösungen und Rechnerunterstützung verlassen müssen. Das eigentliche Ziel des Analysten besteht darin, die ursprüngliche Bedrohung oder einen ersten Indikator für schadhafte Aktivitäten in der IT-Umgebung zu suchen und zu finden.

Wer geht auf die Jagd nach Cyberbedrohungen?
Für unseren kürzlich veröffentlichten Bericht „State of Threat Detection“ haben wir mehr als 580 Sicherheitsexperten aus aller Welt befragt und festgestellt, dass 63 Prozent aller Befragten angaben, nicht aktiv auf die Jagd nach Cyberbedrohungen zu gehen oder nicht zu wissen, ob sie dies tun. Wir wissen, dass in den vergangenen Jahren immer mehr Unternehmen auf die Jagd nach Bedrohungen gehen – aber dennoch stehen wir erst am Anfang. Es ist auch überraschend, dass die Umsetzung dieses Ansatzes auch in sehr großen Organisationen nicht höher ist: Nur knapp über die Hälfte (51 Prozent) der Unternehmen mit mehr als 5.000 Mitarbeitern gaben an, dass sie auf die Jagd nach Cyberbedrohungen gehen.

Warum setzen so wenige Unternehmen auf „Threat Hunting“?
Die Gründe, die Unternehmen daran hindern, diese proaktive Maßnahme zu ergreifen, sind wenig überraschend: Nahezu die Hälfte der an der Studie teilnehmenden Fachkräfte gab an, dass sie keine Zeit dafür hatten. Ein Drittel der Teilnehmer verwies auf mangelndes Know-how als Hindernis. Jedoch sind fast alle – 88 Prozent – davon überzeugt, dass die Bedrohungsjagd eine Notwendigkeit ist. Dies bedeutet, dass zwar nahezu alle wissen, dass die Jagd nach Cyberbedrohungen von essenzieller Bedeutung für eine sichere IT-Infrastruktur ist, die Sicherheitsteams jedoch mit Ressourcenengpässen kämpfen – sowohl hinsichtlich des Know-hows als auch hinsichtlich der personellen Kapazitäten. Und diese Unternehmen scheinen kein Licht am Ende des Tunnels zu sehen, da 53 Prozent angaben, dass sie auch im nächsten Jahr nicht auf die Jagd nach Cyberbedrohungen gehen werden.

Wie können Unternehmen diese Aufgabe bewältigen?
Um diese Einschränkungen zu überwinden, sollten Unternehmen Lösungen und Services in Betracht ziehen, die die erforderlichen Daten bereitstellen und automatisierte Workflows bieten, um die Erkennungs- und Reaktionsprozesse zu beschleunigen und die Suche nach Bedrohungen zu erleichtern.

Nutzen Sie einen Service-Provider für Managed Detection & Response
Der Fachkräftemangel wirkt sich negativ auf die proaktive Erkennung und die Suche nach Bedrohungen aus. Die Jagd auf Cyberbedrohungen erfordert erfahrene Analytiker, die über sehr spezifische Fähigkeiten verfügen müssen. Es ist schwierig, diese Profis zu finden, geschweige denn die finanziellen Mittel für sie freizusetzen. Eigentlich ist es ein Luxus, einen Analysten mit diesen Fähigkeiten zu beschäftigen, den sich im Allgemeinen nur Sicherheitsbehörden oder die Fortune-500-Unternehmen leisten können. Dies bedeutet jedoch nicht, dass alle anderen die Jagd nach Cyberbedrohungen aufgeben müssen. Sie können Managed Detection & Response auslagern. Ob Sie über ein bestehendes SOC verfügen und dieses für die Jagd nach Cyberbedrohungen technisch ausstatten möchten oder diese Aufgabe vollständig auslagern und auf das Know-how eines technologisch versierten Anbieters zurückgreifen möchten, bleibt Ihnen überlassen. Der Vorteil eines externen Spezialisten ist jedoch, dass dieser die erforderlichen Feinabstimmungen „im Schlaf“ vornehmen kann, Spitzentechnologien einsetzt und ein Monitoring rund um die Uhr bietet.

Setzen Sie die richtige Technologie ein, um „Threat Hunting“ weniger zeitintensiv zu gestalten
Die Jagd nach Cyberbedrohungen erfordert Zeit. Das ist Fakt. Bei manchen Lösungen kann die Suche nach Bedrohungen Stunden, wenn nicht gar Tage dauern – und wir werden hier nicht einmal Open-Source-Technologien erwähnen, das steht auf einem anderen Blatt. Wenn Sie Lösungen einsetzen, die die Arbeitsabläufe beschleunigen, können Sie die Bedrohungssuche für Ihr Team praktikabler gestalten. Technologische Lösungen sollten folgende Funktionen und Leistungen bieten:

  • Kontext: Eine Lösung, die zusammengehörige Alerts, die im Laufe der Zeit für denselben Endpunkt oder dieselbe IP-Adresse auftreten, bündelt und die Inhalte analysiert, um Kontext bereitstellen zu können, kann die Entwicklung realistischer Indikatoren für eine Kompromittierung (IOCs) erheblich beschleunigen.
  • Schnelle Suche: Lösungen, die umfassende, indizierbare Metadaten verwenden, erzielen Suchgeschwindigkeiten, die weit kürzer sind als die anderer Lösungen – wir sprechen hier von Sekunden und Minuten, nicht von Stunden oder Tagen.
  • Metadaten: Wenn eine Lösung Sessions in Metadaten unterteilt, können Sie viel umfassendere Fragen stellen und Ihre Hypothesen viel schneller belegen oder widerlegen.
  • Belege: Wenn Sie Pech haben und sich Ihre Hypothese eines sicherheitsrelevanten Vorfalls als korrekt herausstellt, müssen Sie schnell und zielgerichtet handeln. Eine Lösung, mit der Sie unmittelbar zwischen Netzwerk und Endpunkt wechseln können, um eine Maschine zu isolieren, ist von unschätzbarem Wert. Ganz zu schweigen von den Beweisen. Sie benötigen Belege auf Knopfdruck, um Sie fundierte Entscheidungen treffen zu können. Stellen Sie sicher, dass Sie mit Ihrer Lösung Dateien und Artefakte unmittelbar abrufen können.

Kurz gesagt: Um Ihr Unternehmen vor den „glorreichen Halunken“ schützen zu können, sollten Sie proaktive Methoden für die Bedrohungserkennung wie etwa die Jagd nach Cyberbedrohungen in Betracht ziehen. Der Mangel an personellen Ressourcen und Know-how ist natürlich ein stichhaltiges Gegenargument, das sich jedoch entkräften lässt – und Managed Detection & Response ist ein ausgezeichneter Ausgangspunkt.

Den vollständigen Bericht „State of Threat Detection“ finden Sie hier: https://www.fidelissecurity.com/resources/report/threat-detection-2018