EDR: Kommissar Threat Hunter

EDR: Kommissar Threat Hunter

Beitrag teilen

Menschen sind noch immer der wichtigste Faktor zur Prävention und Abwehr von Cyber-Attacken. Keine Cyber-Security kann jeden Angriff abwehren und jede Lücke schließen. Dabei setzen viele Organisationen auf immer ausgefeiltere Abwehrtechnologien.

Doch wie so häufig sind die Angreifer der IT-Sicherheit einen Schritt voraus – denn sie kennen die Abwehrtools selbst in- und auswendig und kennen somit jedes auch noch so kleine Schlupfloch. Technologie allein genügt also nicht. Umso wichtiger ist es, dass sich Unternehmen mit Hilfe von Experten proaktiv aufstellen, Risiken im Vorfeld erkennen und im Notfall Schäden so schnell wie möglich minimieren. Angesichts immer komplexerer Hackermethoden genügt Technologie dabei nicht. Solange es menschliche Hacker gibt, müssen ihnen menschliche Verteidiger gegenüberstehen. Die folgenden vier Thesen zeigen, worauf es bei intelligenter IT-Security ankommt und welche Rolle der Faktor Mensch spielt.

Anzeige

1. Zuerst analysieren, dann einkaufen

Die meisten IT-Sicherheitsteams beschäftigen sich mit Abwehrtechnologien und Werkzeugen, bevor sie wissen, was diese überhaupt leisten sollen. Das ist ein falscher Ansatz, denn es gibt kein Patentrezept für Cyber-Sicherheit. Jedes Unternehmen hat seine eigenen Risiken, Lücken und Angreifer- abhängig von der Branche, den Geschäftsprozessen, den eingesetzten Technologien und der Art der zu schützenden Daten. Wer IT-Sicherheit erwirbt, ohne seine spezifischen Risiken zu kennen, muss meistens später Software dazukaufen. Dadurch gestaltet sich die Abwehr immer komplexer.

Der umgekehrte Weg ist der bessere. Zunächst kommt es darauf an, den eigenen Status intelligent zu analysieren und dann das eigene Risikoprofil zu erstellen. Ein Unternehmen, welches zum Beispiel weiß, dass es Ziel für Spear-Phishing der APT-40-Gruppe ist, sollte fortschrittliche Authentifikations-Tools einsetzen und Anomalien erkennen können. Diese Werkzeuge können dann nicht nur den Identitätsdiebstahl verhindern. Unternehmen erfahren auch, wenn Angreifer kompromittierte Zugangsdaten verwenden.

Aufgrund einer intelligenten Bestandsaufnahme sind IT-Sicherheitsteams in der Lage, die Funktionalitäten der Abwehr aufeinander abzustimmen, um Risiken zu verringern. Die Reihenfolge dafür ist folgende:

  • Intelligente Analyse;
  • Identifikation der Risiken;
  • Herunterbrechen von notwendigen Abwehrfunktionen in technische Anforderungen; sowie
  • Testen einer Technologie-Plattform unter diesen Vorgaben.

2. Proaktive und praktische Intelligenz

Daniel Clayton, VP of Global Support and Services bei Bitdefender

Daniel Clayton, VP of Global Support and Services bei Bitdefender

Chief Information Security Office (CISOs) können nicht mehr nur reagieren, sondern müssen im Vorfeld aktiv sein. Die meisten Entscheider kennen die hierbei entscheidende Rolle einer intelligenten Bedrohungsanalyse. Diese sollte aber operativ umsetzbare Erkenntnisse liefern, um Unternehmen im Wettkampf mit den Angreifern zu helfen.

Eine solche anwendbare Intelligenz liefert Unternehmen folgende Informationen.

  1. Rechtzeitige Informationen: Dann können die Verantwortlichen reagieren, bevor eine externe Aktion die Abläufe im Unternehmen behindert.
  2. Relevante Informationen: Sie betreffen solche Ereignisse, die Abläufe in Unternehmen behindern können. Ein Beispiel sind Hinweise zu branchenspezifischen Attacken, welche eine bestimmte technologische Plattform angreifen, die beim Kunden implementiert ist. In diesem Fall sind Gegenmaßnahmen notwendig und sollen praktisch umsetzbar sein.

Diese Intelligenz wirkt sowohl kurzfristig als auch auf lange Sicht

  1. Sie unterstützt die Cyber-Security von Unternehmen taktisch und operativ mit rechtzeitigen und umsetzbaren Informationen. Indexwerte drücken aus, wie stark Systeme kompromittiert sind und wo Angriffe unmittelbar bevorstehen.
  2. Sie unterstützt operativ mit Prognosen sowie mit Informationen zu Hackern und zu den möglichen Risiken der Zukunft.

Eine proaktive Abwehr bereitet Unternehmen auf aktuelle und zukünftige Ereignisse vor. Diese verteidigen zu können, verlangt Experten, geeignete Prozesse und Technologien. Das lässt sich nicht auf die Schnelle aufbauen. Eine gute Defensive wächst kontinuierlich und agiert langfristig. Sie versteht daher, wie sich die Gefahrenlage verändert und baut die notwendigen Fähigkeiten auf, um Effekte zu minimieren.

3. Denken wie ein Angreifer – Threat Hunting

Es gibt mehr als genug Belege, dass Sicherheitsplattformen viele Attacken abwehren, aber niemals alles verhindern können. Die Angreifer kennen die Abwehr-Tools genauso gut wie die IT-Security selbst. Hacker machen aus Social Engineering und Phishing fast schon eine Kunstform, um Zugangsdaten zu stehlen und Zugriff zu Systemen zu erlangen.

Umso wichtiger ist es daher, das menschliche Analysten Ausschau halten. Der Mensch ist und bleibt daher unersetzbar. Die aktuellen Aufgaben definieren aber ein besonderes Anforderungsprofil für die Defensivakteure und für ihr Threat-Hunting:

  • Analysten müssen wie die Angreifer denken.
  • Sie wissen dank ihrer Erfahrung und Intuition, wo sie nach ihren Aktionen suchen und wonach sie Ausschau halten.
  • Sie können in Echtzeit durchspielen, was der Angreifer als nächstes tun wird, und wie man das verhindern kann.
  • Trainierte und erfahrene Analysten nutzen dabei die Informationen der Telemetrie und sind immer auf dem neuesten Stand.
  • Sie denken und handeln eher wie ein Geheimagent, der sich in den Gegner hineinversetzt. Und nicht wie ein Sicherheitstechniker.

4. Menschen statt Automatismen

Viele Organisationen verfügen entweder nicht über die Technologie oder über Fachkräfte, um in ihrer IT ein solches Threat Hunting durchzuführen, proaktiv Eindringlinge abzuwehren und Vorkommnisse zu verhindern. Sie wenden sich daher an die Cyber-Security-Anbieter. Das ist ein richtiger Schritt. Einen Mehrwert schaffen aber nur Dienste, hinter denen Menschen stehen. Ein Threat Hunting kann nicht automatisiert stattfinden.

Denn bei einer tiefgehenden Analyse kommt es gerade auf den erfahrenen Menschen und seine Intuition an, und nicht nur auf die Technologie. Dabei geht es nicht um automatische Abläufe. Es kommt darauf an, bewusst proaktiv nach Gefahren zu suchen, gezielt hinzusehen, die nächsten Schritte überlegt zu entscheiden. Professionelle Teams in einem Security Operations Center können das bieten. Managed Detection and Response (MDR) bringt den Faktor Mensch ins Spiel, um gegen kunden- und industriespezifische komplexe Angriffe zu schützen.

 

Mehr dazu bei Bitdefender.com

 


Über Bitdefender

Bitdefender ist ein weltweit führender Anbieter von Cybersicherheitslösungen und Antivirensoftware und schützt über 500 Millionen Systeme in mehr als 150 Ländern. Seit der Gründung im Jahr 2001 sorgen Innovationen des Unternehmens regelmäßig für ausgezeichnete Sicherheitsprodukte und intelligenten Schutz für Geräte, Netzwerke und Cloud-Dienste von Privatkunden und Unternehmen. Als Zulieferer erster Wahl befindet sich Bitdefender-Technologie in 38 Prozent der weltweit eingesetzten Sicherheitslösungen und genießt Vertrauen und Anerkennung bei Branchenexperten, Herstellern und Kunden gleichermaßen. www.bitdefender.de


 

Passende Artikel zum Thema

Report: Vertrauenswürdige Windows Anwendungen missbraucht

In seinem neuen Active Adversary Report 2024 belegt Sophos den Wolf im Schafspelz: Cyberkriminelle setzten vermehrt auf vertrauenswürdige Windows-Anwendungen für ➡ Weiterlesen

XDR: Schutz von Daten in Atlassian-Cloud-Applikationen

Mit einer neuen XDR-Erweiterung kann Bitdefender nun auch Daten in Atlassian-Cloud-Applikationen schützen. Somit ist das Überwachen, Erkennen und eine Reaktion auf ➡ Weiterlesen

Ausblick 2025: Lösungen für veränderte Angriffsflächen durch KI, IoT & Co

Die Angriffsfläche von Unternehmen wird sich im Jahr 2025 unweigerlich weiter vergrößern. Die datengetriebene Beschleunigung, einschließlich der zunehmenden Integration von ➡ Weiterlesen

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen

Gefährliche Lücken: Studie zu ICS und OT Cybersecurity

Das SANS Institute hat die Ergebnisse seiner Studie 2024 State of ICS/OT Cybersecurity veröffentlicht. Sie zeigt erhebliche Fortschritte bei der ➡ Weiterlesen

Gemeinsamkeiten und Unterschiede von PIM und PAM

Nicht selten werden die Aufgaben und Ziele der beiden Prinzipien PIM und PAM für die sichere Identifikationen und deren Verwaltung ➡ Weiterlesen