Jedes Unternehmen sieht sich heute gezwungen, Cyberrisiken anders als bisher zu begegnen. Allein, um überhaupt noch mit der Bedrohungsentwicklung Schritt zu halten oder ihr im Idealfall sogar einen Schritt voraus zu sein. Das sogenannte „Threat Hunting“ wird dabei immer wichtiger.
Der Begriff meint einen Prozess, bei dem man ein Netzwerk Schritt für Schritt auf Anzeichen einer potenziellen Bedrohung hin abklopft. Das besondere an der Methode ist, dass Mensch und Maschine dabei gemeinsam gegen Attacken und Bedrohungen vorgehen. Es handelt sich um ein proaktives Vorgehen, ohne dass man vorher von einer Bedrohung Kenntnis erlangt hat oder es spezifische Anzeichen gibt, nach denen man Ausschau halten kann.
Um ein Profil der Bedrohungsakteure zu erstellen nutzt man Samples aus unterschiedlichen Quellen. Diese Informationen verwenden Sicherheitsforscher um im Unternehmensnetz nach bisher noch unbekannten Bedrohungen zu suchen. Die Technologien führen alle Details zusammen und sind anhand der Analyse der ursprünglichen Quellen in der Lage auftretende Anomalien als solche zu erkennen. Die Erkenntnisse der Analyse dienen gleichzeitig dazu, Ausgangswerte für jedes einzelne Konto, jedes System und jeden Vermögenswert innerhalb des Unternehmens zu definieren. Hat man diese Informationen zusammengetragen, kann man anschließend mit der Analyse beginnen und so feststellen ob ein Angreifer es geschafft hat ins Netz vorzudringen.
Threat Hunting ruht im Wesentlichen auf drei Säulen: den Protokollen, den einzelnen Paketen und den Prozessen. Anhand der Protokolle lässt sich feststellen, welche Aktivitäten ein Angreifer in einem Netzwerk bereits unternommen hat, die Pakete erlauben einen Einblick in die Kommunikation und die Art und Weise wie diese Kommunikation im engeren Sinne abgelaufen ist. Die Prozesse spiegeln die Auswirkungen eines Angriffs im Unternehmensnetz wieder.
Threat Hunting klassifizieren: Passiv und aktiv
Man unterscheidet zwei unterschiedliche Arten von Threat Hunting: das sogenannte aktive und das passive Threat Hunting. Das passive Threat Hunting nutzt einen unstrukturierten Feed um die Protokolle und Pakete vor ihrer Normalisierung zu analysieren. Dazu benötigt man zwangsläufig eine ausgesprochen starke Hypothese, um spezielle Indikatoren für eine Datenschutzverletzung aus dem Feed herauszulesen. Passives Threat Hunting weist eine ganze Reihe von Begrenzungen auf. Es ist beispielsweise ziemlich schwierig Protokolle, die aus unterschiedlichen Quellen stammen, gleichzeitig zu analysieren. Man braucht also eine starke Bedrohungshypothese und die entsprechenden Annahmen. Und es bedarf einiger Anstrengungen, Anzeichen für eine potenzielle Kompromittierung (IOC=Indicator of Compromise) überhaupt zu finden. Darüber hinaus ist es sehr viel schwerer zu verstehen, welche Auswirkungen ein Angriff auf das Unternehmen hat. Die wenigsten Unternehmen verfügen über die nötige Transparenz um die gesamte Angriffsfläche zu übersehen.
Beim aktiven Threat Hunting werden Protokolle, Pakete und Prozesse analysiert, nachdem die unstrukturierten Daten bereits in ein strukturiertes Format konvertiert wurden, was man gemeinhin als normalisierte Daten bezeichnet. Dieser Prozess erleichtert es herauszufinden welchen Einfluss eine bestimmte Bedrohung auf ein Unternehmen hat. Das liegt daran, dass aktives Threat Hunting Korrelationen zwischen verschiedenen Protokoll-Sets aus unterschiedlichen Quellen herstellen kann. Das sind beispielsweise die IP-Adressen, die Benutzer und/oder die betreffenden Systeme.
Mit aktivem Threat Hunting kann man auch komplexe Szenarien aus unterschiedlichen Angriffen erkennen wie etwa Phishing, DNS Tunnelling, Advanced Persistent Threats, DoS-Angriffe, Intrusion Detection, aber auch die typischen Seitwärtsbewegungen von Hackern im Netzwerk ebenso wie das Übernehmen von Login-Sessions um nur einige zu nennen.
Threat Hunting-Modelle
Wie effektiv Threat Hunting-Modelle tatsächlich sind, hängt ganz entscheidend davon ab wie stark die ihnen zugrunde liegende Hypothese ist. Man unterscheidet vier grundlegende Modelle des Threat Huntings:
- Ereignisbasiertes Threat Hunting (Eventbased)
- Threat Hunting auf der Basis von IOCs (IOCbased)
- Threat Hunting auf Basis der betreffenden Einheit (entitybased)
- und schließlich hybrides Threat Hunting, bei dem verschiedene Modelle in unterschiedlichen Stadien der Untersuchung benutzt werden.
Ereignisbasiertes Threat Hunting
Diese Form des Threat Huntings konzentriert sich auf Events. Sie werden analysiert um zu verstehen, ob tatsächlich eine Datenschutzverletzung stattgefunden hat. Dazu sehen Fachleute sich die entsprechenden Ereignisse im Einzelnen an: wann und wie genau sie stattgefunden haben und wer für die Aktivität verantwortlich ist. Danach analysiert man die gewonnenen Daten um festzustellen, ob es sich um eine schädliche Aktivität handelt.
Threat Hunting auf der Basis von IOCs
Einer der einfachsten Wege bestimmte Bedrohungen zu erkennen ist Threat Hunting auf Basis von IOCs. Sie funktionieren als eine Art Fingerabdruck einer Bedrohung. Die Daten findet man in Transaktionen der Systemprotokolle oder in Dateien, die eine bösartige Aktivität erkennen lassen. IOCs werden oft nach der Pyramid of Pain kategorisiert. Die „Pyramid of Pain“ stellt links die möglichen Daten und rechts den Schwierigkeitsgrad dar. Vereinfacht gesprochen visualisiert das Schema was ein IOC den Hacker im übertragenen Sinne „kostet“, wenn es gelingt den Zugriff zu stoppen.
Threat Hunting auf Basis der betreffenden Einheit
Bei dieser Form des Threat Hunting konzentriert man sich auf die Benutzer mit einem besonders hohen Risiko (HRU=High Risk Users) und unternehmerisch besonders hoch angesiedelte Werte und Systeme (HVA=High Value Assets). Bei dieser Methode muss der Threat Hunter zwangsläufig Nutzer und Werte priorisieren unabhängig davon, welche Ressourcen er dafür zur Verfügung hat. Gleichzeitig muss ein Unternehmen spezielle Bereiche priorisieren, die verwundbarer sind als andere oder bei denen es wahrscheinlicher ist, dass sie ins Visier eines Angreifers geraten. Das heißt, man konzentriert sich auf die Server in der DMZ (demilitarisierte Zone), auf die LAN-Segmente mit Applikationsservern und die Systeme von leitenden Angestellten und Führungskräften. Allesamt bevorzugte Ziele von Angreifern. Entweder, weil Angreifer sich in den Besitz vertraulicher Daten bringen wollen oder/und um sich von dort aus im Netz seitwärts weiterzubewegen.
Hybrides Threat Hunting
Und schließlich kann man die verschiedenen Threat Hunting-Modelle auch kombinieren. Eine Methode, die einiges an Expertise voraussetzt und sich insbesondere dann eignet, wenn man nicht genau weiß, wie weit ein Angreifer das Netzwerk schon infiltriert hat.
Fazit
Welche Daten letzten Endes zur Verfügung stehen und welche Informationen zu potenziellen Akteuren man besitzt, sind die ausschlaggebenden Faktoren, wenn man sich für eine bestimmte Vorgehensweise und ein bestimmtes Threat Hunting-Modell entscheidet.
Im Idealfall entwickeln Threat Hunter eine 360-Grad Ansicht der Attacke, verstehen die von den Angreifern benutzten Technologien und wie diese Technologien im konkreten Angriffsfall eingesetzt wurden und schließlich wie die Angreifer ihre Strategien im Bedarfsfall anpassen und modifizieren. Alle Unternehmen, die über ausgereifte Security Operation Center (SOC) verfügen, sollten Threat Hunting-Prozesse implementieren. Gerade angesichts einer Bedrohungslandschaft die sich weiterhin rasant verändert.
Ralph Kreter, securonix, Sales Director DACH
www.securonix.com