Threat Hunting 101 - Acht Arten der Bedrohungsjagd, die Sie mit Ihren vorhandenen Ressourcen durchführen können
Ein Jäger, der seiner Familie etwas Essbares nach Hause bringen möchte, muss als Erstes wissen, was für ein Tier er erlegen will. Jede Beute erfordert andere, spezielle Vorgehensweisen. Der Jäger muss entscheiden, wann er aufbricht, wohin er gehen will, welche Waffe er braucht und vieles mehr.
In der Welt der Cybersicherheit ist das nicht anders. Man geht nicht einfach mal eben auf „Bedrohungsjagd". Vielmehr muss man sich ein Ziel setzen, an den richtigen Stellen suchen und die richtigen Waffen einsetzen.
In diesem Whitepaper wird erläutert, welche Tools und Daten Sie mindestens brauchen, um als Bedrohungsjäger erfolgreich zu sein. Dabei wird berücksichtigt, dass die meisten Leser wahrscheinlich nur begrenzte Zeit und Ressourcen für das Threat Hunting aufwenden können. Die gute Nachricht ist, dass Threat Hunting flexibel und für jeden durchführbar ist – gleich, ob man nur ein paar Stunden pro Woche dafür aufbringen kann oder den Großteil seiner Arbeitszeit.
Threat Hunting ist der Prozess der proaktiven Suche nach Malware oder Angreifern, die sich in Ihrem Netzwerk befinden. Die allgemein anerkannte Methode besteht dabei im Einsatz einer SIEM (Security Information and Event Management)-Lösung, die zentral Protokolldaten aus unterschiedlichen Quellen sammelt, wie etwa Endpunkten, Servern, Firewalls, Sicherheitslösungen und Antivirenprogrammen. Mithilfe dieser Daten macht die SIEM-Lösung Netzwerk-, Endpunkt- und Anwendungsaktivitäten sichtbar, die auf einen Angriff hinweisen könnten.
Die Herausforderung beim Threat Hunting besteht darin zu wissen, wonach man suchen muss. Deshalb beschreibt dieses Whitepaper acht Arten von Bedrohungsjagden, mit denen Sie verdächtige Anomalien aufspüren können, die ein Früh- oder aktiver Indikator für Bedrohungsaktivitäten sein können.