Threat Hunting und Response

Bodyguards für IT-Landschaften

Von Christian Raum · 2021

Angriff und Verteidigung der Unternehmensnetzwerke und Datenbanken ist ein Kampf zwischen hochspezialisierten Sicherheitssachverständigen. Deshalb reicht das Wissen und die Ausstattung der Mitarbeiter:innen in den ITAbteilungen häufig nicht aus, um Angriffe zu erkennen oder Gegenmaßnahmen zu ergreifen. Die Unterstützung durch Sicherheitsanbieter und deren Monitoringsysteme ist dringend erforderlich.

Gesicht von einem Mann und davor ist ein Hologramm der Erde.
Sicherheitsexperten erkennen am Muster einer Attacke mögliche Angreifer. Foto: iStock / metamorworks

Der Gesetzgeber hat in den verschärften IT-Sicherheitsgesetzen-2.0 ausdrücklich festgelegt, dass in kritischen Infrastrukturen technische Methoden implementiert werden müssen, mit deren Unterstützung Angriffe frühzeitig zu erkennen sind. Für die meisten Unternehmen sind diese IT-Sicherheits-Monitoringsysteme zu groß, zu teuer, zu unhandlich, um sie im täglichen Einsatz zu betreiben, argumentieren die Anbieter dieser Lösungen für ihre Dienstleistungen. Außerdem, unterstreichen IT-Verantwortliche, wäre das technische Überwachen der Systeme nur ein Teil der notwendigen Maßnahmen. Darüber hinaus sei für das „Threat Hunting“ und damit verbunden die „Threat Response“ das Wissen und die Erfahrung von Spezialisten notwendig. Anders als viele Mitarbeiter:innen der IT-Abteilung, hätten diese das Wissen und die Erfahrung, um die sehr abstrakten Reports zu lesen, zu verstehen und daraus auch Maßnahmen ableiten zu können.

Wissen und Erfahrung entscheiden über Datensicherheit

So zeigen die Monitoringsysteme bestimmte Angriffsmuster, die typisch für verschiedene Hackergruppierungen sind. Die Analysten könnten aus diesen Mustern Ableitungen schaffen. Aus der eigenen Kenntnis heraus oder über die Anfragen bei Partnerfirmen stellen sie fest, ob ein laufender Angriff von einer bestimmten, vielleicht sogar namentlich bekannten Organisation ausgeführt wird. Oder sie vergleichen diese Ergebnisse mit der Sicherheitslage und erhalten Meldungen, die in Echtzeit über Sicherheitsvorfälle rund um den Globus berichten.

Systeme sperren, Daten schützen

So sind die Sicherheitsanalysten dazu ausgebildet, die Vorgänge in einem System im Kontext mit anderen Mustern und Angriffen zu sehen, die eventuell sogar gleichzeitig passieren. Werden beispielsweise in den USA die Cloudanwendungen eines großen Softwareanbieters angegriffen, kann es eine gute Entscheidung sein, die Systeme dieses Herstellers zu kapseln oder für eine gewisse Zeit für die Anwender zu sperren. Hierfür werden die Mitglieder des „Rapid Response Teams“ als Bodyguards der IT-Landschaften geschult: Bei erkannten Angriffen die sofortigen, richtigen Abwehrmaßnahmen zu ergreifen. Und im nächsten Schritt die Verantwortlichen in den Unternehmen über die Lage zu informieren und weitere Maßnahmen vorzuschlagen um die Systeme und Daten zu retten. 

Quellen:
Crowdstrike
infosec
Threat Hunting IT Security

Wussten Sie schon, dass ...

... im vergangenen Jahr erstmals Fälle bekannt wurden, bei denen KI-Algorithmen genutzt wurden, um Stimmen nachzunahmen? Ein besonders unangenehmes Beispiel: Die Buchhaltung erhält in einer fingierten Voicemail den Auftrag, einen bestimmten Betrag auf ein Konto zu überweisen. Nach der Überweisung ist das Geld verloren. Die zunehmende Beherrschung von Sprache und Semantik in der KI eröffnet Angreifern ganz neue Möglichkeiten, Sachverhalte vorzutäuschen. Auch Interaktionen mit Chatbots sollten deshalb kritisch im Blick behalten werden.

Weiterführende Artikel

Array
(
    [micrositeID] => 25
    [micro_portalID] => 25
    [micro_name] => IT-Sicherheit
    [micro_image] => 4600
    [micro_user] => 1
    [micro_created] => 1462280263
    [micro_last_edit_user] => 1
    [micro_last_edit_date] => 1567518648
    [micro_cID] => 823
    [micro_status] => 1
    [micro_cache] => 0
    [deleted] => 0
)