Threat Hunting: Wann sollte damit angefangen werden und wer sollte die Aufgabe übernehmen?

Diese Einblicke von der RSA-Konferenz zeigen, wie Threat Hunting in Unternehmensinfrastrukturen in Angriff genommen werden sollte.

Eines der Top-Themen auf der RSA-Konferenz 2018 war das Threat Hunting (die Jagd nach Cyberbedrohungen). Experten sind sich einig, dass Threat Hunting eine notwendige Praxis ist, um modernen APT-Angriffen entgegenzuwirken. Bei den Praktiken die das Threat Hunting umfasst, gingen die Meinungen der Experten allerdings auseinander. Schlussendlich einigten sie sich auf die Definition, die dem Buch How to Hunt for Security Threats zu entnehmen ist. Demnach ist das Threat Hunting ein analysezentrierter Prozess ist, der es Unternehmen ermöglicht, verborgene, erweiterte Bedrohungen aufzudecken, die von automatisierten Präventions- und Erkennungskontrollen übersehen werden.

The main question here is whether a hunter should be an in-house specialist or an external expert.

Dieser Definition zufolge muss das Threat Hunting darüber hinaus von einem Cybersicherheitsexperten durchgeführt werden; Der Prozess kann nicht automatisiert werden. Nachdem Experten nach Anomalien gesucht haben, tragen ihre Ergebnisse allerdings zur Verbesserung von automatisierten Erkennungssystemen bei, die lernen, Angriffsszenarien zu erkennen, die einst ein menschliches Auge erforderlich machten.

Wann ist Threat Hunting sinnvoll?

Experten sind der Meinung, dass sich die Antwort auf die Frage, ob sich Gegenspieler im Netzwerk befinden, von selbst erübrigt. Deshalb sind sie der Meinung, dass Threat Hunting für Unternehmen nie eine schlechte Idee ist; besonders dann, wenn es sich um eine große verteilte Unternehmensinfrastruktur handelt.

Threat Hunting ist jedoch eine fortgeschrittene Sicherheitspraxis, die bestimmte Ressourcen und gewisse Sicherheitssysteme erfordert. Wenn Sie also zwischen der Organisation eines Threat-Hunting-Prozesses oder dem Einsatz eines ausgereiften Erkennungs- und Reaktionssystems entscheiden müssen, sollte Ihre Wahl auf jeden Fall auf Letzteres fallen.

Durch ausgereifte Erkennungs- und Reaktionssysteme lassen sich nicht nur kleinere Bedrohungen ausschließen, sondern zusätzlich können Experten viele nützlichere Informationen zur Verfügung gestellt werden.

Wer übernimmt die Aufgabe des Threat Huntings

Hier stellt sich die Frage, ob der Threat Hunter ein firmeninterner Spezialist oder ein externer Experte sein sollte. Beides hat seine Vor- und Nachteile. Ein interner Spezialist verfügt über ein einzigartiges Know-how der lokalen Netzwerkarchitektur, während ein externer Cybersicherheitsspezialist ein umfassendes Wissen über die Bedrohungslandschaft mitbringt, jedoch einige Zeit benötigt, um sich mit der lokalen Infrastruktur vertraut zu machen. Beide Aspekte sind wichtig. Im Idealfall rotieren Sie zwischen internen und externen Experten.

Die meisten Unternehmensnetzwerke ähneln sich in gewisser Weise. Natürlich gibt es Ausnahmen, die allerdings eher selten vorkommen. Ein externer Experte, der Threat Hunting auf regelmäßiger Basis für verschiedene Unternehmen durchführt, wird sich auch bei leichten Abweichungen, die von Unternehmen zu Unternehmen auftreten können, in anderen Firmen zurechtfinden.

Für einen Wechsel der Fachkräfte spricht zudem die Monotonie, die sich schnell mit der einseitigen Aufgabe des Threat Huntings einschleichen kann. Logs zu betrachten, um herauszufinden, wo sich ein kontradiktorischer Prozess verstecken könnte, ist ein monotoner Beruf, der selbst begeisterte IT-Profis mit der Zeit abnutzen wird. Daher ist es ratsam, Spezialisten von Zeit zu Zeit zu wechseln, anstatt einen Vollzeit-Threat-Hunter zu beschäftigen.

Was die persönlichen Eigenschaften des Kandidaten betrifft, sollten Sie jemanden suchen, der aufmerksam und geduldig ist und eine gewisse Erfahrung im Bereich der Cyberbedrohungen mit sich bringt.

Für die Funktion eines externen Experten können wir die Dienste unserer eigenen Threat-Hunting-Spezialisten vorschlagen. Diese können einen Blick auf Ihre Infrastruktur werfen, um vorhandene oder bereits veraltete Anzeichen von Kompromittierungen zu erkennen, oder eine Rund-um-die-Uhr-Überwachung sowie eine kontinuierliche Analyse Ihrer Cyberbedrohungsdaten veranlassen. Um mehr über die Dienste von Kaspersky Threat Hunting zu erfahren, besuchen Sie diese Webseite.

Tipps