Threat Hunting ist der Prozess, bei dem spezialisierte Sicherheitsanalysten proaktiv nach dem Verhalten von Bedrohungsakteuren 并试图保护您的网络免受真正的损害。. “专业化”一词对于理解成功的猎杀威胁战略的先决条件至关重要。. Denn diese Fähigkeit ist zeitaufwendig zu erlernen und außerdem sehr gefragt.
根据SANS研究所2017年的一项调查,只有31%的公司拥有员工。, die sich mit Threat Hunting beschäftigten. Vier Jahre später ergab die gleiche Umfrage, dass diese Zahl auf 93% der befragten Unternehmen anstieg. 在过去的五年中,对猎杀威胁专家的需求急剧增加——这是有充分理由的。. Die Flut von Angriffen auf Unternehmen nimmt in einem alarmierenden Tempo zu. 因此,仅仅等待攻击后才作出反应是不够的。.
In der Tat hat sich herausgestellt, 威胁跟踪的增加也发现了威胁分析的一般能力的许多SANS, 随着威胁跟踪的增加,安全团队变得更有能力, kontinuierlich zu überwachen, und dass weniger Fehlalarme auftreten.
Modelle für das Threat Hunting sind nicht einfach umzusetzen. Zudem gibt es verschiedene Methoden. Daher ist es wichtig, das Ziel einer bestimmten Bedrohungsjagd zu definieren. 然后,一个团队可以确定成功狩猎所需的技术。.
Was genau sind die spezifischen Funktionen bei einer Bedrohungsjagd? 如前所述,每次狩猎的目标都是不同的。. Dementsprechend gilt das auch für die detaillierten Aspekte jeder Jagd.
Werfen wir einen Blick auf einige der häufigsten Elemente, 经验丰富的网络安全专业人士可以指望他们的新狩猎.
Datenerfassung und Verarbeitung:根据要测试的假设或总体目标,数据收集将来自不同类型的网络协议(DNS)。, Firewall, Proxy), verschiedenen Telemetriequellen zur Bedrohungserkennung außerhalb des Perimeters und/oder spezifischen Endpunktdaten stammen.
Zusammenarbeit und Kommunikation:各种工具,如Slack和Microsoft Teams,可以自动集成到工作流程中,以跟踪威胁。, um neue Service-Tickets auszulösen, neue Jagden und Untersuchungen anzustoßen und, wenn nötig, einzelne Endpunkt- oder Netzwerkbenutzer zu befragen.
Dokumentation und Reporting: Es ist wichtig, die Ergebnisse einer Threat Hunt zu dokumentieren, unabhängig davon, ob sie als erfolgreich angesehen wird oder nicht. 无论最终结果如何,这一参考可以作为具有类似目标的未来行动的基线,并有助于实现这一目标。, einen potenziellen Wiederholungstäter zu identifizieren.
Menschen und Technologie:尽管在寻找威胁时使用了高度自动化, sind es die Mitarbeiter einer Sicherheitsorganisation, die diese Automatisierungen kalibrieren. Von der Endpunkt-Telemetrie über Warnmeldungen bis hin zur Network Traffic Analysis – die Technologie unterstützt die Analysten dabei, schneller Erkenntnisse zu gewinnen und Bedrohungen gezielter abzuwehren.
Um eine erfolgreiche Bedrohungsjagd durchzuführen, ist es – wie oben erläutert – wichtig, das Ziel der Jagd zu kennen. 根据设定的目标,狩猎的类型通常分为两种形式之一。, die im Folgenden erläutert werden.
这种寻找威胁的过程通常由网络安全团队的成员发起。, 随着时间的推移,越来越频繁地观察到异常事件. 在这一点上,研究小组可以开始构建一个假设。, 会发生什么,以及这个假设是否真的可以验证。. Dies wird dazu beitragen, 确认(或不确认)恶意活动的存在.
Werfen wir nun einen Blick auf einige der spezifischen Tools und Prozesse, mit denen ein Threat Hunter eine Hypothese testen und feststellen kann, ob eine Bedrohung tatsächlich real ist.
Eine SIEM -Plattform kann Sicherheitsprobleme erkennen, indem sie Daten in einem Netzwerk zentralisiert, korreliert und analysiert. Zu den Kernfunktionen des SIEM gehören die Logs-Verwaltung und -zentralisierung, 安全事件检测、报告和搜索功能.
分析将端点数据与复杂的用户分析和威胁信息关联起来, um verdächtige Endpunktaktivitäten zu erkennen und festzustellen, 特定用户是否知道其系统上的活动.
Diese Tools überwachen die Netzwerkverfügbarkeit und -aktivität, um Anomalien zu erkennen, einschließlich Sicherheits- und Betriebsproblemen. Sie ermöglichen es Jägern, 收集网络事件的实时和历史记录.
通过洞察实时威胁源,威胁猎人熟悉潜在的威胁。, die für ihre Umgebung am wichtigsten sind, und wissen daher, wie sie sich besser gegen diese Bedrohungen schützen können.
理想情况下,威胁猎人使用云安全工具来监控多云和混合云环境。, die besonders anfällig für Risiken sind. Durch die Erfassung von Daten wie Nutzeraktivitäten, Logs und Endpunkten sollten Analysten in der Lage sein, 清晰地了解公司的IT环境和可疑活动.
分析用户行为的过程包括对网络事件的洞察。, die Nutzer täglich generieren. 一旦这些事件被捕获和分析,它们就可以被用来跟踪事件。 die Verwendung kompromittierter Zugangsdaten, laterale Bewegungen und andere bösartige Verhaltensweisen zu erkennen.
Welche konkreten Schritte müssen Sie bei der Bedrohungsjagd unternehmen, 当你使用正确的工具来测试一个表述良好的具体假设时?
Die richtigen Daten sammeln: Es ist von entscheidender Bedeutung, die Daten, die zum Handeln führen, zu identifizieren und letztendlich zu automatisieren. Wenn ein Sicherheitsteam bösartige Aktivitäten vermutet, möchte es forensische Artefakte aus dem gesamten Netzwerk sammeln und untersuchen. Ein Teil dieses Prozesses besteht darin, forensische Beweise effizient zu ordnen und zu analysieren, um schnell die Ursache des Vorfalls zu ermitteln.
Abfragen und Regeln anpassen:多个托管服务提供商或解决方案将具有集成的查询和规则, 根据定义的标准自动生成警报消息. 这是为了帮助威胁分析人员快速发现广泛的漏洞和/或威胁参与者。. Es ist jedoch hilfreich, einem Sicherheitsteam die Möglichkeit zu geben, diese Abfragen so anzupassen, dass es die Fragen stellt, die am besten zur vereinbarten Hypothese passen.
Über Taktiken, Techniken und Verfahren auf dem Laufenden bleiben:应根据威胁行为者目前使用的ttp不断发展猎杀威胁的技术。. Auch wenn es nicht immer einfach ist, feindliches Verhalten aufzudecken, sorgt die kontinuierliche Erforschung gegnerischer Verhaltensweisen dafür, dass die Verteidiger proaktiv, scharfsinnig und einsatzbereit bleiben.
Natürlich ist es eine große Herausforderung, 保持最新的TTP研究和其他信息来源. Hier kann ein Managed Threat Hunting-Partner dazu beitragen, 加快进程,并可能提高威胁情报项目的成功率.