Frühzeitige Erkennung und Reaktion durch frühzeitiges Aufspüren von Cyber-Bedrohungen
Top Business Tech erörtert die Jagd auf Cyber-Bedrohungen und die Bedeutung der Früherkennung und Reaktion.
Klicken Sie hier, um jetzt unseren Podcast „Threat Hunting“ anzuhören.
McAfee hat erklärt, dass Cyber Threat Hunting eine proaktive Sicherheitssuche durch Netzwerke, Endpunkte und Datensätze ist, um böswillige, verdächtige oder riskante Aktivitäten zu jagen, die der Erkennung durch vorhandene Tools entgangen sind. Daher gibt es einen Unterschied zwischen der Erkennung von Cyber-Bedrohungen und der Jagd auf Cyber-Bedrohungen. Die Bedrohungserkennung ist ein etwas passiver Ansatz zur Überwachung von Daten und Systemen auf potenzielle Sicherheitsprobleme, aber sie ist immer noch eine Notwendigkeit und kann einem Bedrohungsjäger helfen. Proaktive Taktiken zur Jagd auf Cyber-Bedrohungen wurden entwickelt, um neue Bedrohungsinformationen auf zuvor gesammelten Daten zu verwenden, um potenzielle Bedrohungen im Vorfeld eines Angriffs zu identifizieren und zu kategorisieren.
Cyberkriminelle greifen nicht immer an, sobald sie auf Ihr System zugreifen; Sie können manchmal monatelang in Ihrem System bleiben, Ihre Informationen durchsuchen und alle wertvollen Daten abrufen. Sobald die Cyberkriminellen eingedrungen sind, können sie sich über Ihre Systeme bewegen und frei auf die Informationen zugreifen, die sie benötigen, während sie gleichzeitig bereit sind, einen Angriff durchzuführen. Die aktuelle Verteidigungsstrategie eines Unternehmens kann oft nicht in der Lage sein, diese im Netzwerk verbleibenden Bedrohungen zu verfolgen und zu stoppen.
Bedrohungsjäger
Jedes Unternehmen muss Informationssicherheitsexperten hinzuziehen, um Bedrohungsjäger zu werden. Diese Bedrohungsjäger überwachen die täglichen Aktivitäten und den Datenverkehr in den Systemen des Unternehmens und untersuchen mögliche Bedrohungen. Die Bedrohungsjäger müssen auf verschiedene Bedrohungen zugreifen und sie in zwei Gruppen einteilen:
Gruppe eins besteht aus einfachen Bedrohungen, und ein Unternehmen kann sie durch regelmäßige Updates und Systemreinigungssitzungen entfernen.
Gruppe zwei wird für fortgeschrittenere Bedrohungen sein. Organisationen können diesen Bedrohungen häufig durch den Einsatz verschiedener Präventionstechniken begegnen. Die verbleibenden Bedrohungen, die die Systeme des Unternehmens nicht erkennen können, müssen jedoch von Bedrohungsjägern gefunden und beseitigt werden. Die Aufgabe des Threat Hunters besteht darin, Systeme nach Bedrohungen zu durchsuchen, die sich zwischen den Daten und Benutzern verstecken, und sie zu eliminieren, bevor sie ihren Angriff ausführen können. Sobald eine Bedrohung erkannt wurde, sammeln Threat Hunter so viele Informationen wie möglich über diese Bedrohung und analysieren, was getan werden kann, um die Systeme der Unternehmen in Zukunft zu schützen.
Die Phasen der Bedrohungserkennung
Scott Taschler hat kürzlich einen Artikel auf CrowdStrike veröffentlicht, in dem er die drei Phasen durchläuft, die ein Threat Hunter normalerweise durchläuft, wenn er Bedrohungen erkennt.
Der erste Schritt das Scott durchmacht, ist The Trigger. Ein Auslöser weist Bedrohungsjägern zur weiteren Untersuchung auf ein bestimmtes System oder einen bestimmten Bereich des Netzwerks hin, wenn fortschrittliche Erkennungstools ungewöhnliche Aktionen identifizieren, die auf böswillige Aktivitäten hinweisen können. Häufig kann eine Hypothese über eine neue Bedrohung der Auslöser für eine proaktive Jagd sein. Beispielsweise kann ein Sicherheitsteam nach fortschrittlichen Bedrohungen suchen, die Tools wie dateilose Malware verwenden, um bestehende Abwehrmaßnahmen zu umgehen.
Der zweite Schritt die Scott durchmacht, ist die Untersuchung. Während der Untersuchungsphase verwendet der Bedrohungsjäger EDR (Endpoint Detection and Response), um einen tiefen Einblick in die potenzielle böswillige Kompromittierung eines Systems zu erhalten. Die Untersuchung wird fortgesetzt, bis die Aktivität als harmlos eingestuft wird oder ein vollständiges Bild des böswilligen Verhaltens erstellt wurde.
Der letzte Schritt die ein Bedrohungsjäger durchlaufen muss, ist die Auflösung. Die Auflösungsphase umfasst die Übermittlung relevanter Informationen über bösartige Aktivitäten an Betriebs- und Sicherheitsteams auf den Vorfall reagieren und Bedrohungen abschwächen. Die Datenjäger sammeln bösartige und gutartige Aktivitäten und speisen sie in automatisierte Technologien ein, um ihre Effektivität ohne weiteres menschliches Eingreifen zu verbessern.
Jäger von Cyber-Bedrohungen sammeln während dieses Prozesses so viele Informationen wie möglich über die Aktionen, Methoden und Ziele eines Angreifers. Sie analysieren auch gesammelte Daten, um Trends in der Sicherheitsumgebung eines Unternehmens zu ermitteln, aktuelle Schwachstellen zu beseitigen und Vorhersagen zur Verbesserung der Sicherheit in der Zukunft zu treffen.
Unterstützende Werkzeuge
Wenn ein Bedrohungsjäger nach verschiedenen Bedrohungen sucht, hat er Zugriff auf verschiedene Software und Tools, die ihm helfen, unregelmäßige Aktivitäten und potenzielle Bedrohungen zu identifizieren. Chris Bach schrieb einen Artikel über Digital Guardian, der einige der gängigsten Tools und Techniken enthielt, die Bedrohungsjäger verwenden würden.
Brook erwähnt zunächst den Einsatz von Security Monitoring Tools. Cyber-Bedrohungsjäger arbeiten mit allen Arten von Sicherheitsüberwachungslösungen wie Firewalls, Antivirensoftware, Netzwerksicherheitsüberwachung, Verhinderung von Datenverlust, Erkennung von Netzwerkangriffen, Erkennung von Insider-Bedrohungen und anderen Sicherheitstools. Neben der Überwachung des Netzwerks auf Organisationsebene untersuchen sie auch Endpunktdaten. Darüber hinaus sammeln sie Ereignisprotokolle von so vielen Orten wie möglich, da ihre Arbeit ausreichende Sicherheitsdaten erfordert.
Als nächstes erwähnte Brook die Verwendung von Security Information and Event Management Solutions. Diese Tools sammeln interne strukturierte Daten innerhalb der Umgebung und bieten eine Echtzeitanalyse von Sicherheitswarnungen innerhalb des Netzwerks. Im Wesentlichen verwandeln sie rohe Sicherheitsdaten in aussagekräftige Analysen. Folglich helfen SIEM-Tools bei der Verwaltung der riesigen Menge an Datenprotokollen, mit denen Jäger arbeiten, und ermöglichen es, Korrelationen zu finden, die versteckte Sicherheitsbedrohungen aufdecken können.
Schließlich erwähnt Brook die Verwendung von Analytics-Tools. Jäger von Cyber-Bedrohungen arbeiten mit zwei Arten von Analysetools: Software für statistische und nachrichtendienstliche Analysen. Statistische Analysetools wie SAS-Programme verwenden mathematische Muster anstelle vordefinierter Regeln, um ungewöhnliches Verhalten und Anomalien in den Daten zu finden. Intelligence-Analytics-Software visualisiert relationale Daten und stellt Sicherheitsexperten interaktive Grafiken, Diagramme und andere Datenillustrationen zur Verfügung. Sie ermöglichen es, verborgene Verbindungen und Korrelationen zwischen verschiedenen Entitäten und Eigenschaften in der Umgebung zu entdecken.
Implementieren eines effektiven Reaktionsplans
Wenn ein Bedrohungsjäger über alle zuvor erwähnten Schritte, Tools und Techniken verfügt, wird er Bedrohungen frühzeitig und erfolgreich erkennen. Dann können sie einen effektiven Reaktionsplan implementieren, um die Bedrohung und alle anderen Bedrohungen, die auf die gleiche Weise auftreten können, zu beseitigen.
Aufgrund einer Talentlücke in der Cybersicherheitsbranche hat nicht jedes Unternehmen Zugang zu Bedrohungsjägern. Leider gibt es nicht genügend Sicherheitsspezialisten mit der Qualifikation und Erfahrung, um Bedrohungsjäger zu werden. Wenn kein Spezialist verfügbar ist, sollten Unternehmen ein externes Unternehmen an Bord holen, um bei der Suche nach Bedrohungen zu helfen.
WEITERLESEN:
- Können wir Langzeit-Heimarbeiter wirklich bitten, gegenüber Cyber-Bedrohungen wachsam zu bleiben?
- Proofpoint: Warum E-Mail die größte Cybersicherheitsbedrohung im Jahr 2021 ist
- Netacea: Prognosen zu Cybersicherheitsbedrohungen für 2020
- Bekämpfung der Bedrohung durch Cyberkriminalität im Gesundheitswesen
Wenn Sie oder jemand, den Sie kennen, in der Cybersicherheitsbranche tätig ist, empfehle ich, ein Bedrohungsjäger zu werden, da auf dem Markt ein wachsender Bedarf besteht. Um ein Threat Hunter zu werden, benötigen Sie die folgenden Fähigkeiten: Erfahrung in der Cybersicherheit, ein Verständnis der Cybersicherheitslandschaft, Kenntnisse von Betriebssystemen und Netzwerkprotokollen, Programmierkenntnisse, technische Schreib- und Berichterstattungsfähigkeiten und Soft Skills.
Klicken Sie hier, um weitere Podcasts von TBT on Air zu entdecken!