Wenn es in der Cyber-Sicherheit um Threat Hunting geht, gleiten die Gespräche oft in eine Welle von Fachbegriffen ab, wie IoA – Indicator of Attack, IoC – Indicators of Compromise oder TTP – Tactics, Techniques and Procedures. Die Begriffe sind natürlich wichtig, aber sie sagen wenig über das Konzept aus, welches hinter Threat Hunting steht und was diese Technik ausmacht.
Wer sind die Threat Hunter?
Nicht alle Threat Hunter haben die gleichen Aufgaben bei der Suche nach neuen Angriffswellen oder der Auswertung von Codes, Skripten sowie klassischen Daten- und Datenbank-Analysen. Grob eingeteilt ergeben sich vier Gruppen, wobei die ersten drei mehr Daten liefern, die auch Threat Hunter in Unternehmen als Thread Intelligence nutzen:
- Evangelisten: Diese Fachleute sind zwar keine direkten Threat Hunter, haben aber teils seit Jahrzehnten einen hervorragenden Überblick über die jeweils aktuelle IT-Bedrohungslandschaft und wissen, wie sie bereits ausgewertete Daten interpretieren müssen. Sie liefern wichtiges Datenmaterial, das zu Thread Intelligence-Daten wird. Ein Beispiel dafür ist der Computersicherheits-Experte und Threat Hunter Mikko Hyppönen. Er jagte schon in Netz die Angreifer und wertete ihre Daten aus, als all diese Begrifflichkeiten noch nicht definiert waren. Es lohnt sich, seine Auftritte und Vorträge zu verfolgen. Seine Vorhersagen, auch für viele Jahre in die Zukunft, bewahrheiten sich leider nur zu oft, wie etwa sein frühes Zitat zu IoT: „if it’s smart, it’s vulnerable“.
- Forscher: An vielen Universitäten forschen Expertenteams und betreiben Threat Hunting, indem sie untersuchen, was alles mit neuen Techniken möglich ist und welche Wege Angreifer aktuell nutzen und in Zukunft nutzen werden. Ganz vorne dabei sind hier etwa das amerikanische MIT CSAIL oder auch das Fraunhofer Institut SIT.
- Heads: Einige Spezialisten wollen offiziell gar nicht bekannt sein, sondern stehen ausschließlich untereinander in Kontakt und tauschen sich aus. Etwas bekannter ist das Check Point Research-Team, welches in seinem Blog beschreibt, wie es erst Threat Hunting betreibt und danach den genauen Ablauf eines Malware-Angriffs in allen Schritten analysiert. Etwa, wie ein Angriff auf ein Mobile Device Management-System – MDM – ablief. Zuerst stellte das Team die Taktik vor und dann jagte es dem Angriff Schritt für Schritt hinterher. Die Dokumentation zeigt dabei die Skripte, Codes, verwendete Ports und Tools. Aber auch Institute, wie etwa das AV-TEST-Institut, betreiben aktives Threat Hunting. AV-TEST nutzt dazu eigene Analyse-Maschinen und produziert durch deren Datenstrom und Voranalysen viele Informationen als „Threat Intelligence“ (TI) – die Grundlage für Threat Hunting.
- SecOps-Experten: Diese größte Gruppe ist die eigentliche Säule des täglichen Threat Huntings. Sie profitieren von den Analysen der Evangelisten, Forscher und Heads. Diese Experten arbeiten in vielen SecOps-Abteilungen von Security-Herstellern und Dienstleistern, die Managed SOC als Service anbieten. Viele Detection-Systeme produzieren Datenströmen mit Anomalien, die zuerst mit Machine Learning (ML) oder KI ausgewertet werden. Der wichtige Rest, die eigentliche Threat Intelligence, dient dann zur Untersuchung und zum Threat Hunting. Durch die permanente Auswertung erkennen die Spezialisten Teams Anfälligkeiten und geben diese als Erkennungsdaten weiter. Diese sorgen für die passende Abwehr von Exploits, klassifizieren Schwachstellen oder leiten Gegenmaßnahmen zu Angriffskampagnen ein.
Threat Intelligence – TI – die Quelle der Threat Hunter
Einfach übersetzt ist Threat Intelligence die Sammlung aller Informationen, die Threat Hunter zur Untersuchung von Anomalien nutzen. Fragt man den CTO und Threat Hunter Maik Morgenstern von AV-TEST, so ist klar „ohne gute Threat Intelligence aus verschiedenen Quellen und IT-Security-Tools kann Threat Hunting nicht funktionieren“.
Ein solcher Datenstrom kann sich aus vielen Teilen zusammensetzen. Arbeiten Threat Hunter zum Beispiel im SecOps eines Unternehmens, so nutzen sie alle Daten, die ihnen die lokalen Security-Tools zur Verfügung stellen. Das sind neben Netzwerkprotokollen und Strukturdaten zur IT-Infrastruktur besonders Daten einer EDR-, XDR- (mit NDR) oder SIEM-Lösung. Die Tools kennen die IT-Struktur und zeichnen alle Datenbewegungen im Netz auf, erkennen Abhängigkeiten von Software und deren Kommunikation im Netzwerk, vom Client-PC bis hin zur Cloud-Anwendung.
Meist prüfen Threat Hunter auffällige Vorgänge, Anomalien oder recherchieren nach Schwachstellen aufgrund von Hinweisen oder bereits veröffentlichten Schwachstellen. Bestenfalls sind diese bereits als CVE (Common Vulnerabilities and Exposures) in einer öffentlichen Datenbank beschrieben. Experte Maik Morgenstern von AV-TEST kennt hierzu ein praktisches Beispiel: „Ist etwa bekannt, dass eine aktuelle Malware-Kampagne nach einer Infizierung den Port 777 zur Kommunikation nutzt, so kann ein Threat Hunter auch Checks durchführen, ob sein Unternehmen vielleicht betroffen ist und den Angriff so verfolgen. Er kann aber auch Schaden abwenden, indem er dem Port intensiver überwachen lässt oder sogar präventiv sperrt.“
Erst Threat Hunter, dann Forensiker
Threat Hunter suchen unablässig im eigenen Netzwerk nach Anomalien oder anderen Auffälligkeiten. Dazu nutzen sie Threat Intelligence, das Wissen aus aktuellen Vorfällen, die woanders abgelaufen sind. Finden sie die gesuchten Vorgänge, ausgeführte Dateien und Zugänge, übergeben sie diese wichtigen Informationen meist an das Incident Response-Team, welches den Angriff stoppt. Dabei helfen wieder EDR-, XDR- (mit NDR) oder SIEM-Lösungen, da sich über diese schnell umfassende Netzwerkregeln und weitere Aktionen ausrollen lassen und die weitere Überwachung sicherstellen lässt. Erst wenn der Angriff und alle Zugriffe eingedämmt sind, kommen Forensiker zum Zug, da sie die besseren Analysten für gefährliche Skripte, Codes oder zum Angriff genutzte Malware sind.
Warum für CISOs und CTOs Threat Hunting wichtig ist
- Threat Hunting gibt es einen besseren Überblick über die aktuelle Bedrohungslage im eignen Netzwerk. Wird eine Gefahr oder ein Angriff ermittelt, geht es weiter mit dem Incident Response-Team und abschließender Forensik.
- Threat Hunter nutzen nicht nur vorhandene IT-Security-Analyse-Systeme, wie EDR-, XDR- (mit NDR) oder SIEM-Lösungen, die mit Endpoint-Security zusammenarbeiten. Sie können darüber hinaus Systeme trainieren, Regeln implementieren und so Angriffsvektoren verkleinern.
- Threat Hunter sind meist gut vernetzt und haben so auch tiefe Einblicke in Foren, die potentielle Angreifer nutzen, um sich auszutauschen. Threat Hunter durchsuchen das Darknet, in dem oft gestohlene Zugänge oder andere Unternehmensdaten von Kriminellen gehandelt werden. Eine solche Recherche kann auch einen Datenverlust oder einen digitalen Einbruch ans Licht bringen, den bislang noch niemand bemerkt hat.
- Jeder CISO und CTO sollte selbst einmal zehn Minuten lang Threat Hunting betreiben, etwa über einen Blick in Shodan.io, eine Suchmaschine für per Internet verbundene Geräte mit IP-Adresse. Sucht man dort etwa nach „VMware vCenter“-Server, welche ohne Patch via Port 443 angreifbar sind, präsentiert Shodan im Test über 1.700 angreifbare Server. Ist auch ihr Unternehmen in der Liste mit dabei?