Proaktive IT-Sicherheit – Was ist Hunting? (Teil 2)

In einem vorangegangen Blogbeitrag wurde bereits beschrieben, was Hunting ist und unter welchen Grundvoraussetzungen Hunting überhaupt erst möglich wird. In diesem Beitrag erörtern wir, welche Anforderungen unserer Ansicht nach zur Aufstellung eines eigenen Hunting-Teams gegeben sein müssen.

Anforderungen an ein Hunting Team

Die Anforderungen an ein Hunting Team sind sehr anspruchsvoll. Es muss sich aus top erfahrenen Incident Analysten zusammensetzen. Nur auf Basis Ihrer Erfahrung sind Analysten in der Lage, wiederkehrende Muster und Anomalien zu erkennen und so Spuren eines Angriffes aus einem Meer an False Positives zu erkennen. Ausschließlich so entwickelt ein Analyst ein Gespür für Anomalien.

Wir achten beispielsweise darauf, dass Mitglieder des Hunting Teams “battle hardened” sind, d.h., sie haben mittels einfacherer Routine bereits vielfache Angriffsverfahren als Verteidiger kennengelernt.

Aus dies ist zu beachten: Ein hervorragender Penetration Tester ist nicht automatisch ein ausgezeichneter Analyst. Sicherlich sind dies schon die richtigen Voraussetzungen, um ein guter Analyst zu werden. Aber um Angriffe effizient und effektiv und vor allem schnell zu erkennen, bedarf es viel Erfahrung.

Eine gute Intelligence, d.h., eine umfassende, hinreichende Wissensdatenbank über Angreifer, erleichtert die Lernkurve hier ungemein.

Ein sehr gutes Mitglied eines Hunting Teams weiß auch, wenn es keine Spur gibt. Dies wird oft unterschätzt. Aber man muss auch wissen, wann ein System sauber ist und in der Lage sein, sich nur auf echte Spuren zu konzentrieren, aber nicht Zeit auf vermeintlich falsche Spuren (False Positives) zu vergeuden,

Technische Anforderungen an Hunting

Um Hunting durchzuführen, werden investigative Tools für den Netzwerkdatenverkehr sowie für die sogenannten Endpoints (Server und Clients) benötigt. Damit werden gezielt Ausschnitte des Netzwerkverkehrs aufgezeichnet und die Datenpakete auf Anomalien untersucht. Eine weitere erfolgversprechende Methode ist es, Triage-Pakete von Endpunkten zu erstellen und diese auszuwerten.

Wie entdeckt man Angreifer mittels Hunting?

Wir konzentrieren uns weniger auf die Technologie – also das “Was” - eines professionellen Angreifers (Advanced Persistent Threat actor (APT)), da dies durch unsere Detection-Technologie im Wesentlichen automatisch mittels erprobter Heuristiken, IOCs und Netzwerksignaturen und unserer virtuellen Umgebungen, erkannt wird.

Unserer Ansicht nach muss man sich beim Hunting auf das “Wie” konzentrieren. Hier schauen wir uns typische Angriffe an und lernen, wie ein Angreifer vorgeht. Vielfache Angriffstaktiken wiederholen sich je Industrie. So jagen wir vornehmlich nach den Spuren einer bestimmten Angriffstaktik.

Was passiert, wenn ein Angreifer eindeutig identifiziert wurde?

In Deutschland ist das Hacken von fremden Systemen nicht erlaubt. Die Realität ist allerdings, dass Angriffe in der Regel aus dem Ausland erfolgen. Damit ist in den meisten Fällen nicht mit einer effektiven Strafverfolgung zu rechnen.

Insofern ist der Aufbau des Eigenschutzes gegen Hacker sehr wichtig, denn man darf wohl kaum darauf hoffen, dass Hacker in ihren Ländern wirksam strafverfolgt werden und der Fluss aus Hackern schon irgendwann versiegt. Den Aufbau eines wirksamen Eigenschutzes kann man hingegen sehr wohl beeinflussen.

Und die Fähigkeit Hunting durchzuführen, ist ein wesentlicher Baustein einer jeden Cyber-Abwehr einer Firma.

Über die Autoren: Sven Schriewer ist Director FireEye-as-a-Service, Ariel Jungheit ist Incident Analyst bei FireEye-as-a-Service.