Proaktive IT-Sicherheit – Was ist Hunting?

Durchschnittlich entdecken Unternehmen in der EMEA-Region erst nach 469 Tagen, dass ihr Netzwerk kompromittiert wurde. Ein hoher Wert, verglichen mit dem globalen Durchschnitt, der bei 146 Tagen liegt.

Dies gibt Eindringlingen genug Zeit, das Netzwerk zu kompromittieren und unternehmenskritische Daten zu exfiltrieren oder gar zu verändern. Um Angreifen möglichst wenig Zeit zu geben, Schaden anzurichten, müssen Unternehmen aus ihrer passiven Rolle ausbrechen und selbst aktiv werden.

Bei FireEye verstehen wir darunter den Prozess, Kenntnis über Angreifer und Malware auf originäre Daten anzuwenden, um Spuren eines Angreifers zu entdecken.

In diesem Blogpost erläutern wir, warum Hunting so wichtig ist und welche Vorteile es bringt, hochqualifizierte Analysten einzustellen oder einen externen Anbieter zu engagieren, der potentielle Angriffe „jagt“, bevor diese passieren.

Stufenmodell – Fähigkeit zum Hunting die höchste Auszeichnung

Die Reife der Entwicklung von Cyber Defense Einheiten kann anhand Ihrer Schlüsselfähigkeiten beurteilt werden:

1.     Die grundlegendste Schlüsselfähigkeit ist dabei „Detection“, also die Fähigkeit, Angreifer überhaupt erkennen zu können. Viele Organisationen befinden sich immer noch in einem Stadium, in dem sie aufgrund fehlender Technologie, Prozesse und Experten Angreifer nicht erkennen und somit auch keine Aussage machen können, ob ihr Unternehmen schon angegriffen wird oder ob sie gar schon kompromittiert worden sind.

2.     Die nächste Schlüsselfähigkeit ist „Response“. Das bedeutet, dass Organisationen Angriffe nicht  nur erkennen können, sondern auch das Know-how und die technologische Unterstützung haben, einen erkannten Angriff abzuwehren. Nur wenige Organisationen sind in der Lage, entdeckte Angriffe auch wirksam abzuwehren.

Die Entwicklung der Response-Fähigkeit ist absolut unabdingbar. Schließlich reicht es nicht aus, Probleme lediglich zu erkennen, sie müssen auch gelöst werden. Das bedeutet nicht, dass es für Unternehmen zwingend notwendig ist, diese Fähigkeit intern aufzubauen. Als Alternative bietet sich die Unterstützung durch einen externen Dienstleister an.

3.     Die letzte Schlüsselfähigkeit ist die des Huntings. Durch Hunting werden insbesondere völlig neue Angriffe erkannt. Hunting steigert die Fähigkeit, professionelle Angreifer aufzuspüren, die bezüglich Personal, Technik und Budget der Security-Einheit des Opfers in den meisten Fällen überlegen sind.

Unternehmen, die sich effektiv gegen professionelle Angreifer schützen möchten, müssen über Hunting-Fähigkeiten verfügen. Die meisten Firmen greifen für das Hunting auf externe Unterstützung zurück oder legen es vollständig in die Hände einer professionellen Sicherheitsfirma. Effektives Hunting erfordert exzellente und sehr erfahrene Analysten sowie ein umfassendes, grundsätzliches Wissen über die Taktiken, Techniken, Vorgehensweisen und Intentionen der Angreifer – sogenannte Intelligence. Diese Grundlage zu schaffen, ist mit einem enormen Zeit- und Geldaufwand verbunden, den sich viele Unternehmen vielleicht schlichtweg nicht leisten können.

Vier Stufen des Huntings

Sicherheitsunternehmen unterscheiden vier Stufen des Huntings:

Die erste Stufe nennt sich Innovation: Hier werden völlig neue  und bislang nicht erprobte Methoden und Ideen verfolgt. Dies kann nur von sehr erfahrenen Analysten durchgeführt werden. Innovation ist deswegen so wichtig, weil in dieser Stufe neue und effektive Techniken zur Entdeckung von Angriffen bei neuen Datenquellen oder -typen ermittelt werden.

Beim Broad Hunting wird in großen Metadatenmengen des Netzwerkes und der Client und Server heuristisch nach Anomalien gesucht. Diese fortgeschrittene Methode erfordert wiederum sehr erfahrene Analysten, die auf Basis ihres über viele Jahren erworbenen Wissens über Angreifer und Angriffstechniken in der Lage sind, die sprichwörtliche Nadel im Heuhaufen der großen Datenmengen zu erkennen.

Deliberate Hunting bezeichnet dann die Hunting-Technik, bei der Analysten erprobte Techniken auf neue Datenmengen und IT-Netzwerke ansetzen. Hier geht es vor allem darum, die vorhandenen Techniken dem Untersuchungsobjekt anzupassen.

Detection ist dann die Hunting-Technik, bei der bekannte und erprobte Techniken automatisiert werden. Es gibt umfangreiche und verlässliche Intelligence-Daten, um Analysen in standardisierten Code umzusetzen.   

 

Über die Autoren: Sven Schriewer ist Director FireEye-as-a-Service, Ariel Jungheit ist Incident Analyst bei FireEye-as-a-Service. Lesen Sie in einem späteren Beitrag, welche Kriterien für erfolgreiches Hunting erfüllt werden müssen.