Threat Hunting: Fünf Schritte für die erfolgreiche JagdEffektiver Notfallplan gehört dazu

10. Mai 2022

Das Stilmittel des Threat Hunting und ein effektiver Notfallplan erhöhen die Security für Unternehmen. Damit reduzieren sich die Auswirkungen von Cyber-Attacken maßgeblich.

Die Ausgangslage ist klar umrissen: Im neuesten State of Ransomware 2022 Report stellten während des letzten Jahres 59 Prozent der befragten Unternehmen eine Zunahme der Komplexität von Cyberangriffen fest. Weit über die Hälfte sind sich also darüber bewusst, dass Cyber-Kriminelle gerissener denn je agieren und zunehmend verdeckte, von Menschen gesteuerte Techniken bei ihren Angriffen einsetzen. Infolgedessen wenden sich Sicherheitsteams vermehrt der proaktiven Cyber-Jagd zu, um diese fortschrittlichen Bedrohungen zu stoppen.

Speziell für dieses Thema wurde der Leitfaden „Getting Started With Threat Hunting“ erstellt. Darin beschreiben die Security-Experten praxisnah, was genau Threat Hunting ist und weshalb es heute zu einer ganzheitlichen Sicherheitsstrategie gehört. Darüber hinaus wird erklärt, welche Tools und Frameworks Sicherheitsteams einsetzen können, um den neuesten Bedrohungen einen Schritt voraus zu sein und um schnell auf potenzielle Angriffe reagieren zu können.

Fünf elementare Schritte zur Vorbereitung auf die Bedrohungsjagd

Entscheidend für das Threat Hunting sind die geeigneten Grundlagen. Mit nur fünf Schritten können sich IT- und Security-Teams für eine erfolgreiche Jagd rüsten:

  • Reifegrad der aktuellen Cyber-Sicherheitsabläufe bestimmen: Die Zuordnung aller Prozesse zu einem Cyber-Security-Modell, das den Grad der Entwicklung und Fortschrittlichkeit anzeigt (beispielsweise mit dem CMMC), ist eine gute Methode, um die potenzielle Leistungsfähigkeit für ein erfolgreiches Threat Hunting zu beurteilen. Nebenbei wird dabei auch die bestehende Security-Infrastruktur und deren Anfälligkeit gegen Bedrohungen geprüft.
  • Taktik für das Threat Hunting: Nach der Beurteilung des Reifegrads kann die Bedrohungssuche durchgeführt werden – intern, ausgelagert an einen spezialisierten IT-Dienstleister oder in Form einer Mischung aus beidem Varianten.
    Identifikation technologischer Lücken: Durch das Prüfen und Beurteilen vorhandener Tools kann ermittelt werden, was für eine Bedrohungssuche zusätzlich benötigt wird. Die beiden Kernfragen sollten dabei wie folgt lauten: Wie effektiv ist die Präventionstechnologie? Verfügt diese über unterstützende Threat-Hunting-Funktionen?
  • Qualifikationsdefizite ermitteln: Die Bedrohungsjagd erfordert spezielle Fähigkeiten. Wenn ein IT- oder Security-Team nicht über die nötige Erfahrung verfügt, sollten diese für das Threat Hunting geschult und trainiert werden. Alternativ kann ein externer Spezialist die Wissenslücken schließen.
  • Der Notfallplan: Eine Reaktion auf einen Cyber-Notfall kann nur so gut sein wie sein Plan und die darin definierten Prozessketten und Verantwortlichkeiten. Er ist unerlässlich für die Sicherstellung schneller, angemessener und kontrollierter Aktionen und um die Auswirkungen eines Angriffs auf ein Minimum zu reduzieren. (rhh)

Sophos

Lesen Sie auch