Bedrohungsbekämpfung ist eine Sicherheitsfunktion, die proaktive Methoden, innovative Technologie und Threat Intelligence kombiniert, um bösartige Aktivitäten zu erkennen und zu stoppen.

Für Unternehmen, die zu einem proaktiveren Cyber-Security-Ansatz bereit sind – dem Versuch, Angriffe vor ihrem tieferen Eindringen in das System zu stoppen – ist die Aufnahme der Bedrohungsbekämpfung in ihr Sicherheitsprogramm der nächste logische Schritt.

Nachdem Unternehmen ihre Strategien für Endpunktsicherheit und Reaktion auf Vorfälle gefestigt haben, um bekannte, heute unvermeidbare Malware-Angriffe abzuwehren, können sie in die Offensive gehen. Sie sind bereit, intensiv nachzuforschen und bisher unerkannt Gebliebenes aufzudecken. Genau das ist das Ziel von Bedrohungsbekämpfung.

Bei dieser aggressiven Taktik wird davon ausgegangen, dass bereits eine Sicherheitsverletzung stattgefunden hat und Angreifer sich innerhalb des Unternehmensnetzwerks befinden, es heimlich überwachen und sich darin bewegen. Dies mag weit hergeholt klingen, aber Angreifer können sich tatsächlich tage-, wochen- oder sogar monatelang in einem Netzwerk aufhalten und Angriffe wie Advanced Persistent Threats vorbereiten und ausführen, ohne dass eine automatisierte Abwehr ihre Anwesenheit erkennt. Bedrohungsbekämpfung stoppt diese Angriffe, indem sie nach verdeckten Indicators of Compromise (IOCs) sucht, damit Angriffe abgewehrt werden können, bevor sie ihr Ziel erreichen.

Das Ziel der Bedrohungsbekämpfung besteht darin, alltäglichen Aktivitäten und den Datenverkehr im Netzwerk zu überwachen und mögliche Anomalien zu untersuchen. Auf diese Weise sollen noch nicht entdeckte bösartige Aktivitäten aufgedeckt werden, um schwerwiegende Sicherheitsverletzungen zu vermeiden. Die Bedrohungsbekämpfung umfasst vier gleichermaßen wichtige Komponenten, um solche Aktivitäten frühzeitig zu erkennen:

Methodik: Für eine erfolgreiche Bedrohungsbekämpfung müssen Unternehmen einen proaktiven Ansatz verfolgen, der kontinuierlich in Vollzeit umgesetzt und ständig weiterentwickelt wird. Eine reaktive Ad-hoc-Perspektive nach dem Motto „wenn wir Zeit dazu haben“ ist kontraproduktiv und nur minimal erfolgreich.

Technologie: Die meisten Unternehmen verfügen bereits über umfassende Endpunktsicherheitslösungen mit automatisierter Erkennung. Bedrohungsbekämpfung ergänzt diese Lösungen und fügt fortschrittliche Technologien hinzu, um Anomalien, ungewöhnliche Muster und andere Spuren von Angreifern zu finden, die in Systemen und Dateien nicht vorkommen sollten. Neue cloudnative Plattformen für Endpunktschutz (Endpoint Protection Platform, EPP) nutzen Big Data-Analysen, um große Mengen ungefilterter Endpunktdaten zu erfassen und zu analysieren. Verhaltensanalysen und künstliche Intelligenz bieten darüber hinaus umfassende und äußerst schnelle Einblicke in bösartige Verhaltensweisen, die auf den ersten Blick normal erscheinen.

Hoch qualifizierte, engagierte Mitarbeiter: Threat Hunter und Cyber-Security-Threat-Analysten sind eine eigene Spezies. Diese Experten verfügen nicht nur über das Fachwissen, um die genannten Sicherheitstechnologien optimal zu nutzen. Sie verbinden auch ein unermüdliches Bestreben, Dinge in Angriff zu nehmen, mit intuitiven, problemlösenden forensischen Fähigkeiten, versteckte Bedrohungen aufzudecken und zu bekämpfen.

Threat Intelligence: Dank des Zugriffs auf evidenzbasierte globale Erkenntnisse von Experten aus aller Welt können bereits vorhandene IOCs noch besser und schneller gefunden werden. Informationen wie Angriffsklassifizierungen für Malware, Identifizierungen von Bedrohungsgruppen sowie Indikatoren für komplexe Bedrohungen tragen dazu bei, bösartige IOCs einzudämmen.

Untersuchungen aus dem Threat Hunting Report 2018 von Crowd Research Partners untermauern die Bedeutung dieser Funktionen zur Bedrohungsbekämpfung. Die Umfrage ergab folgende Rangfolge der wichtigsten Funktionen:

Für 69% gehörte Threat Intelligence zu den wichtigsten Funktionen.

57% nannten Verhaltensanalyse.

56% wählten automatische Erkennung auf die vorderen Ränge.

Für 54% waren maschinelles Lernen und automatische Analysefunktionen von vorrangiger Bedeutung.

Threat Hunter suchen nach Angreifern, die unbemerkt über dem Unternehmen bisher unbekannte Schwachstellen in das Netzwerk eindringen. Diese Angreifer verbringen viel Zeit mit der Planung und Erkundung. Sie handeln erst, wenn sie sich sicher sind, dass sie erfolgreich und unbemerkt in das Netzwerk eindringen können. Sie bauen sich eine permanente Basis für ihre Angriffe auf, indem sie bisher noch nicht erkannte Malware entwickeln und einschleusen oder Techniken nutzen, die ganz ohne Malware auskommen.

Mit welchen Mitteln kommen Threat Hunter selbst den cleversten Angreifern zuvor?

Cyber Threat Hunter sind unermüdlich und können sogar winzigste Spuren finden, die Cyberangreifer hinterlassen.

Sie konzentrieren sich mit ihren speziell entwickelten Fähigkeiten darauf, selbst kleinste Veränderungen zu erkennen, die Angreifer innerhalb eines Systems oder einer Datei verursachen.

Die besten Threat Hunter verlassen sich auf ihren Instinkt, um die bösartigsten, getarnten Angriffe aufzuspüren.