Die drei grössten Irrtümer über Threat Hunting

Die Bedrohungssuche ist eine von Menschen geleitete und maschinell unterstützte Aufgabe. Dabei prüfen die «Jäger» Datensätze und Muster, um festzustellen, ob eine schadhafte Aktivität oder ein aktiver Angriff vorliegt. Dieser überaus komplizierte Prozess wird oftmals fehlinterpretiert. Sophos klärt über die drei häufigsten Missverständnisse auf.

Missverständnis Nummer 1:
Threat Hunting lässt sich automatisieren

Die Idee, dass sich die Suche nach Cyber-Bedrohungen automatisieren lässt, gehört zu den grössten Irrtümern. Denn während sich Teile des Prozesses tatsächlich automatisieren lassen, ist die menschliche Komponente essentiell für jede erfolgreiche Gefahrensuche. Durchgehend – also von der Identifizierung feindlicher Aktivitäten bis zur Reaktion darauf – lässt sich der gesamte Prozess (zumindest zum jetzigen Zeitpunkt) nicht automatisieren.

Trotzdem spielt Automatisierung eine wichtige Rolle beim Threat Hunting, und zwar beim Datensammeln und beim Aufspüren von Bekanntem. Bei einer automatisierten Suche kann eine Aktivität durch eine automatisierte Regel als verdächtig markiert werden. Sobald das passiert, bedarf es aber einer weiteren Instanz, die sich diesen Hinweis ansieht und eine strategische Analyse durchführt. Eine Maschine kann Abweichungen anzeigen, aber sie kann keine intelligente Entscheidung darüber treffen, ob eine Bewegung bös- oder gutartig ist. Es existiert ein grosser Graubereich, bei dem es auch für ein gut trainiertes Modell schwierig ist, zu einer korrekten Urteilsfindung zu kommen. Menschliche Expertise ist notwendig.

Ein Beispiel: Ist PsExec im Netzwerk aktiv (ein Telnet-Ersatz, um Prozesse auf anderen Systemen via LAN auszuführen), ist noch nicht notwendigerweise klar, ob diese Aktion schadhaft oder harmlos ist. Es ist zunächst einmal eine Administratorfunktion, die für legitime Zwecke gedacht ist. Sie wird allerdings oft auch von Malware verwendet und Angreifer versuchen darüber etwas Bösartiges umzusetzen. Wie aber erkennt der Nutzer, ob er hier auf etwas Schadhaftes oder Gutartiges stösst? Menschliche Expertise kann in diesem Fall den Kontext liefern. Beispielsweise hat ein Kollege im Hintergrund Zugriff womit dieser Prozess autorisiert ist – Situationen, die die Maschine nicht kennen kann. Erst mit diesen Mehrinformationen lässt sich ableiten, ob eine Aktion berechtigt oder möglicherweise schadhaft ist.

Missverständnis Nummer 2:
Mit Endpoint Detection and Response (EDR) betreibt man Threat Hunting

Bedrohungsjagd und EDR sind nicht das gleiche. Setzt der Nutzer ein EDR-Produkt ein, betreibt er damit nicht automatisch Threat Hunting. Im Grunde basiert EDR auf einem grossen Datensatz, der dazu dient, Informationen zu ermitteln oder abzufragen. Während EDR ein wichtiges Werkzeug bei der Gefahrensuche ist, ist es dennoch nur ein Teil des gesamten Prozesses. Es existieren zahlreiche weitere Informationsquellen, die überaus wertvoll sind, etwa der Netzwerkverkehr. Gefahrenjäger schauen über EDR-Daten hinaus, beispielsweise auf Netzwerkprotokolle, Firewalls und Einbruchsmeldungen sowie Präventionsprotokolle, um ein ganzheitliches Bild der Umgebung zu erhalten. Das Einbeziehen von Daten aus Drittquellen, wie Informationen von Microsofts Active Directory, Office 365 Daten oder Daten aus anderen Anwendungen, kann den Datensatz anreichern. Je grösser dieser ist, desto besser lassen sich komplexere Bedrohungen identifizieren.

Missverständnis Nummer 3:
Füttert man SIEM mit Daten, kann man auf Bedrohungsjagd gehen

SIEM (Security Information and Event Management) bietet einen nützlichen Service, da es eine Umgebung darstellt, in der man zahlreiche Informationen kumulieren und abfragen kann. SIEM birgt aber auch ein grosses Problem: es ist kaum möglich, die Daten konsistent zu halten. Und eine schlechte Datenqualität führt kaum zu guten Suchergebnissen.
Zwar ist die Definition von Qualitätsdaten oft subjektiv. Im Kern geht es aber darum, dass Daten aus unterschiedlichen Systemen genormt und dass Datenattribute (wo möglich) standardisiert sind.

Die Qualität der Daten ist aus folgenden Gründen entscheidend:
Sie erhöht die Produktivität einer Bedrohungssuche und erleichtert es dem Team, grosse Datenmengen abzufragen und konsistente Ergebnisse zu erhalten. Bei genormten Datenattributen wird vermieden, dass bei einer Suche unterschiedliche Datensätze zusammengeführt werden müssen. Gleichzeig erhält man dadurch einen reicheren Kontext zur Identifizierung komplexerer Bedrohungen. Ein gutes Verständnis über die Qualität der Daten ermöglicht es dem Team klare Zielvorgaben darüber zu haben, welche Daten sie analysieren können und was nicht analysierbar ist. Das hilft bei der Koordination und Priorisierung von Projekten.
Hochwertige Daten ermöglichen es Threat Huntern, komplexe Bedrohungen schneller und genauer zu identifizieren und damit effektiver und leistungsstärker zu sein.

Der Schlüssel für eine erfolgreiche Gefahrensuche

Daten sind nur der Beginn der Bedrohungssuche. Wichtiger ist, wie man die Daten anwendet, um den initialen Punkt der Gefahr zu erkennen. Daten nutzbar zu machen, so dass man mit ihnen arbeiten kann, lässt sich durch Maschinen nicht automatisieren. Denn wäre das möglich, würde MDR (Managed Detection and Response) gar nicht existieren.

Einschätzungen über Gefahren, eine Methode, gute Daten und ein kritischer Blick auf verdächtige Aktivitäten sind die Schlüsselkomponenten für eine erfolgreiche Bedrohungssuche. Tauchen verdächtige Aktivitäten in der Grauzone auf, können Threat Hunter mit strategischen Analysen die Absicht entschlüsseln. Erst danach wird entschieden ob eine Reaktion nötig ist oder nicht.

www.sophos.com