Threat Hunting: proaktiv handeln statt (zu spät) reagieren

Gerade in der Anfangsphase eines Angriffs ist Malware immer weniger Mittel zum Zweck. Stattdessen schöpfen die Cyberkriminellen aus einem Fundus an weiteren Möglichkeiten, um Netzwerke zu infiltrieren und sich seitlich darin zu bewegen – meist geht es darum, legitime Anwendungen auf den Endgeräten für ihre Zwecke zu instrumentalisieren und einen „Living-off-the-land“-Angriff (LotL) durchzuführen.

Dieser Trend stellt die Sicherheitskonzepte auf Unternehmensseite vor große Herausforderungen. Effektiver Schutz lässt sich mittlerweile ohne die passgenaue Kombination von technologiebasierter Kontrolle und proaktivem Threat Hunting unter menschlicher Aufsicht kaum noch gewährleisten. Nur auf diese Weise sind Unternehmen in der Lage, aktuellen Bedrohungen den entscheidenden Schritt voraus zu bleiben.

Die Bedeutung von Threat Hunting

Threat Hunting wird in seiner Begrifflichkeit sowie Bedeutung oft missverstanden. Daher geht es zunächst um Klarheit, was damit gemeint ist und bezweckt werden soll:

• Threat Hunting kann als „analystenzentrierter“ Prozess definiert werden, der es Unternehmen ermöglicht, bisher unbekannte oder verborgene, hochentwickelte Bedrohungen aufzudecken, die im Rahmen technologiebasierter Kontrollen allein nicht identifizierbar sind. Threat Hunting geht somit über Threat Detection weit hinaus.
• Insofern sollten Unternehmen Threat Hunting nicht mehr als „nice-to-have“, sondern als „must-have“ betrachten. Es sollte fester Bestandteil jedes auf Ganzheitlichkeit ausgerichteten Sicherheitskonzepts sein und nicht nur punktuell stattfinden. Threat Hunting hat sich mittlerweile längst zum Eckpfeiler jeder Security-Strategie entwickelt.

Es überrascht also nicht, dass das Interesse an dieser vergleichsweise recht jungen Disziplin groß ist. Laut einer Pulse-Studie geben 32 Prozent der IT-Führungskräfte an, dass sie die Sicherheit ihrer Endgeräte verbessern wollen, indem sie Threat Hunting in ihre allgemeine Sicherheitsstrategie aufnehmen.

WatchGuard EDR und EPDR bieten in Kombination mit dem Threat Hunting Service und Patch Management bereits heute eine Lösung, die diesen Bedarf umfangreich abdeckt. Da nur der Einsatz eines einzigen kompakten Agents erforderlich ist und die Verwaltung über eine cloudbasierte Konsole erfolgen kann, steht einer einfachen Integration in bestehende Sicherheitsstrukturen eines jeden Unternehmens nichts im Weg.

Fazit:

Unternehmen, die derzeit überlegen, Threat Hunting in den eigenen Reihen zu verankern, sollten sich über Folgendes im Klaren sein:

• Die Bedrohungslandschaft unterliegt einem steten Wandel. Es darf nicht vergessen werden, wie schnell die Gegenseite operiert und sich weiterentwickelt.
• Kein Unternehmen ist vor einem Angriff gefeit. Unabhängig von Standort, Größe oder Branche stellt jedes Unternehmen ein Ziel dar.
• Threat Hunting ist ein Muss für jedes Unternehmen. In Anbetracht der Geschwindigkeit, mit der sich Bedrohungen entwickeln, stellt Threat Hunting nicht länger ein „nice-to-have“, sondern ein „must-have“ dar.
• Geschwindigkeit, Umfang und Planbarkeit sind entscheidend. Threat Hunting muss schnell und breitflächig durchgeführt werden können. Dies erfordert strukturierte, wiederholbare Prozesse, ausgereifte Technologien, langfristige Transparenz und Threat Hunter, die über fundiertes Fachwissen, Kenntnisse und aktuelle Daten zur Bedrohungslage verfügen.
• Das MITRE ATT&CK-Framework erleichtert ein strukturiertes Threat Hunting. Die Advanced Endpoint-Lösungen von WatchGuard sind daran ausgerichtet.
• Wenn all diese Anforderungen die internen Kapazitäten übersteigen, empfiehlt sich die Zusammenarbeit mit einem Partner, der diese wichtige Aufgabe übernimmt.

Im E-Book Threat Hunting – Proaktiver Umgang mit Ihrer Cybersicherheit werden die wichtigsten Fragen zu diesem Thema noch einmal detailliert aufgegriffen und beantwortet. Mit WatchGuard Advanced Endpoint Security steht einem effektiven Einstieg in die „Bedrohungsjagd“ nichts entgegen.