Der Begriff „Cyber Threat Hunting“ beschreibt die Suche nach einem laufenden Cyberangriff, der jedoch aktuell noch keine spürbaren Auswirkungen verursacht hat.
Warum sollte man nach einem Hacker suchen, wenn keine Auswirkungen festgestellt werden?
Diese Frage kann durch eine Statistik beantwortet werden: Viele Unternehmen bemerken den Angriff erst nach 30 Tagen, während andere es erst nach 200 Tagen tun. Meine Erfahrung zeigt, dass Angreifer mindestens 7 Tage im Unternehmensnetzwerk aktiv sind, bevor sie die komplette IT-Infrastruktur lahmlegen.
Bedeutet das, dass ich möglicherweise bereits gehackt wurde und es einfach nicht bemerke?
Klare Antwort: VIELEICHT 😉
Daher hat sich das Cyber Threat Hunting in den letzten Jahren verstärkt darauf konzentriert, Cyberangriffe zu identifizieren, bevor sie Schaden anrichten können.
Wie kann man einen laufenden Angriff in diesem Stadium entdecken?
Der Angreifer muss, ähnlich wie ein Einbrecher, einige Vorarbeiten leisten und dabei besonders leise vorgehen.
SCHRITT 1
Als Analogie könnte man hier das Aufhebeln einer Terrassentür nehmen. Wenn man das sehr gut kann, sind nur leise Geräusche zu hören und es wird lediglich ein kleiner Schaden an der Tür festgestellt.
Das ist ähnlich wie bei einer Phishing-Mail. Diese gelangt durch die Firewall und den Anti-Spam-Filter direkt in ein Postfach, und jemand klickt auf den gefälschten Link.
SCHRITT 2
Der Einbrecher schaut sich im Haus um und entscheidet, ob es sich lohnt, seine Komplizen zu holen. Da er vermutet, dass lohnenswerte Beute vorhanden ist, ruft er seine Komplizen an, um den Einbruch schneller abzuschließen.
Genau in dem Moment, in dem der Einbrecher seine Komplizen informiert, beispielsweise per SMS, kann Cyber Threat Hunting auch einen Cyberangriff identifizieren. Das bedeutet, dass jeder Schadcode (Virus) nach der Ausführung mit seinem Hacker oder der Steuerungseinheit, der sogenannten Command and Control Infrastruktur, kommunizieren muss. Der Schadcode führt dies regelmäßig durch (sog. Beaconing), von einmal in der Stunde bis hin zu einmal am Tag. Hierdurch merkt der Hacker, das der initiale Einstieg ins Unternehmensnetzwerk und der Kommunikationskanal funktioniert.
Genau das sind Hinweise im Netzwerk auf einen laufenden Cyberangriff, der noch keinen Schaden verursacht hat.
Diese initialen Hinweise, ohne die kein Hacker in ein Unternehmensnetzwerk gelangen kann, sollen durch Cyber Threat Hunting identifiziert werden.
Wie gut funktioniert das Ganze nun in der Praxis?
Das hier beschriebene Cyber Threat Hunting wird auf Basis der Auswertung des Netzwerkdatenverkehrs unabhängig von Einschränkungen auf Protokollen durchgeführt. Was ein absoluter Vorteil dieser Technik ist, da man jede Kommunikation finden kann, egal in welchem Protokoll diese sich versteckt!
Das bedeutet aber auch, dass der gesamte Datenverkehr der Firma von intern nach extern überwacht und analysiert werden muss. Das sind natürlich immense Datenmengen, und die Herausforderung besteht darin, den bösartigen Datenverkehr zu identifizieren.
Daher ist ein effektives Safelisting entscheidend. Je besser ich meine vertrauenswürdigen Dienste und Server benennen kann, desto weniger Daten muss ich analysieren.
Genau in diesem Verfahren liegt auch eine Schwäche der netzwerkbasierten Suche. Alle Dienste, wie zum Beispiel vertrauenswürdige Cloud-Provider, die einmal auf der Safelist stehen, werden nicht mehr analysiert. Das bedeutet, wenn ein Hacker seine Steuerungseinheit (C2-Server) bspw. bei Microsoft hostet und Microsoft auf der Safelist steht, werden wir das nicht entdecken.
Es gibt natürlich auch andere Methoden, Cyber Threat Hunting zu betreiben oder diese Methode zu ergänzen.
Dazu zählen unter anderem:
- Benutzerverhalten: Warum ist ein Benutzer gleichzeitig aus zwei Ländern per VPN verbunden?
- Techniken und Tools: Warum synchronisiert ein Benutzer Passwörter des Active Directories?
Kannst Du bewerten, ob deine aktuell eingesetzten Detektionsmethoden sinnvoll sind?
Nein? Dann sollten wir über darüber sprechen und deine Infrastruktur optimal gegen erfolgreiche Cyberangriffe absichern.
Weitere Infos zu Härtung eurer IT-Infrastruktur findest Du hier: 3 WICHTIGE SECURITY MASSNAHMEN MIT BORDMITTELN UMSETZEN