Threat-Hunting zu deutsch „Bedrohungsjagd“ ist ein proaktiver Ansatz zur Erkennung von Cyberbedrohungen, bei dem gezielt nach Anzeichen für Kompromittierungen in den Systemen und Netzwerken einer Organisation gesucht wird, gleich ob es sich dabei um eine Behörde, eine NGO oder ein Unternehmen handelt. Im Gegensatz zu den traditionellen reaktiven Sicherheitsmaßnahmen, bei denen auf Alarme nach einem Vorfall gewartet wird, geht Threat-Hunting aktiv auf die Suche nach möglichen Angriffen, um diese frühzeitig zu erkennen und einzudämmen. Machine-Learning Tools und automatisierte Methoden dienen dabei als Hilfsmittel.
Im Fokus steht jedoch die manuelle Arbeit des Menschen. Hierbei spielt die Erfahrung und das Fachwissen des Threat-Hunters eine entscheidende Rolle. Mit seiner Expertise wird das Netzwerk und die IT-Systeme durchforstet und auf Grundlage von gewählten Hypothesen nach potenziellen Bedrohungen durchsucht. Diese folgen dem iterativen Ansatz, d.h. die Durchführung von Tests und deren Ergebnisse erweitern das Wissen und werden dann graduell erweitert.
Vorgehensweise
Grundsätzlich sind die Methoden des Threat-Huntings nicht klar definiert. Meistens bilden sich Hypothesen aus vorherigen Angriffen, kombiniert mit Wissen der zu schützenden Organisation. Dabei durchsucht der Threat-Hunter das System auf Anomalien, die auf eine Bedrohung hinweisen können. Eines der Werkzeuge ist dabei das Security Information and Event Management System (SIEM), welches Logs sammelt und mit Kontextdaten anreichert. So können potenzielle Bedrohungen anhand der Daten effektiver erkannt werden. Diese Indikatoren für Bedrohungen und Kompromittierungen werden dann vom Threat-Hunter genauer untersucht (Indicators of Compromise). Sobald ein umfassendes Lagebild besteht und (potenzielle) Bedrohungen gefunden wurden, folgt die Reaktion auf die Bedrohung. Das Sicherheitsteam wird informiert und anhand der Security-Guidelines des Unternehmens wird entsprechend auf die Gefahr reagiert. Die Methoden der Angreifer werden dokumentiert, um die Eindämmung zukünftiger Bedrohungen zu vereinfachen. Dabei werden auch die automatisierten Erkennungssysteme anhand der Ereignisse aktualisiert und konfiguriert. Damit ist die Arbeit aber nicht getan, denn die Suche nach Bedrohungen ist ein iterativer Prozess, bei dem Hypothesen durch wiederholte und verbesserte Untersuchungen bestätigt werden und kontinuierlich neue Bedrohungen erkannt werden können.
Herausforderungen und Chancen des Threat Huntings
Effektives Threat-Hunting wird hauptsächlich von Organisationen mit reifen Sicherheitsprogrammen verwendet. Neben Fachwissen und Erfahrung werden Ressourcen, wie Zeit und Geld benötigt. Außerdem ist für die Implementierung eines solchen Verfahrens ein gutes Dokumentenmanagement oder ein Ticketsystem notwendig. Ticketmeldungen können nämlich bereits erste Hinweise über Fehlfunktionen geben. Mit Hilfe der Methodik des Threat-Huntings können Angriffe vorzeitig erkannt werden und der Schaden und die verursachten Kosten minimiert werden. Dementsprechend sind die Folgen der Sicherheitsverletzungen und einhergehende Reputationsschäden geringer. Durch das iterative Verfahren werden dabei die bestehenden Sicherheitssysteme laufend optimiert. Unternehmen sehen mit der Verwendung dieser Methode, eine Verbesserung der eigenen Sicherheitslage, um bis zu 25 Prozent. Threat-Hunting ist von entscheidender Bedeutung für Unternehmen aller Branchen, die auf digitale Infrastrukturen und Informationstechnologie angewiesen sind. Insbesondere Unternehmen mit sensiblen Kundendaten, wie Banken, Finanzdienstleister, Einzelhändler und Unternehmen im Gesundheitswesen, sollten Threat-Hunting als wesentlichen Bestandteil ihrer Sicherheitsstrategie betrachten.
Für mehr Klarheit zögern Sie nicht, Ihren Datenschutzbeauftragten zu kontaktieren, um eine fundierte und präzise Auskunft zu erhalten.
Das könnte Sie auch interessieren:
- Hinweisgeberschutzgesetz: Was zu beachten gilt
- WhatsApp-Bußgeld: Irische Datenschutzbehörde soll Umgehung der DSGVO unterstützt haben
- Datenschutzfolgeabschätzung bei Videoüberwachung: Notwendigkeit und praktische Umsetzung