EDR: Kommissar Threat Hunter

EDR: Kommissar Threat Hunter

Beitrag teilen

Menschen sind noch immer der wichtigste Faktor zur Prävention und Abwehr von Cyber-Attacken. Keine Cyber-Security kann jeden Angriff abwehren und jede Lücke schließen. Dabei setzen viele Organisationen auf immer ausgefeiltere Abwehrtechnologien.

Doch wie so häufig sind die Angreifer der IT-Sicherheit einen Schritt voraus – denn sie kennen die Abwehrtools selbst in- und auswendig und kennen somit jedes auch noch so kleine Schlupfloch. Technologie allein genügt also nicht. Umso wichtiger ist es, dass sich Unternehmen mit Hilfe von Experten proaktiv aufstellen, Risiken im Vorfeld erkennen und im Notfall Schäden so schnell wie möglich minimieren. Angesichts immer komplexerer Hackermethoden genügt Technologie dabei nicht. Solange es menschliche Hacker gibt, müssen ihnen menschliche Verteidiger gegenüberstehen. Die folgenden vier Thesen zeigen, worauf es bei intelligenter IT-Security ankommt und welche Rolle der Faktor Mensch spielt.

1. Zuerst analysieren, dann einkaufen

Die meisten IT-Sicherheitsteams beschäftigen sich mit Abwehrtechnologien und Werkzeugen, bevor sie wissen, was diese überhaupt leisten sollen. Das ist ein falscher Ansatz, denn es gibt kein Patentrezept für Cyber-Sicherheit. Jedes Unternehmen hat seine eigenen Risiken, Lücken und Angreifer- abhängig von der Branche, den Geschäftsprozessen, den eingesetzten Technologien und der Art der zu schützenden Daten. Wer IT-Sicherheit erwirbt, ohne seine spezifischen Risiken zu kennen, muss meistens später Software dazukaufen. Dadurch gestaltet sich die Abwehr immer komplexer.

Der umgekehrte Weg ist der bessere. Zunächst kommt es darauf an, den eigenen Status intelligent zu analysieren und dann das eigene Risikoprofil zu erstellen. Ein Unternehmen, welches zum Beispiel weiß, dass es Ziel für Spear-Phishing der APT-40-Gruppe ist, sollte fortschrittliche Authentifikations-Tools einsetzen und Anomalien erkennen können. Diese Werkzeuge können dann nicht nur den Identitätsdiebstahl verhindern. Unternehmen erfahren auch, wenn Angreifer kompromittierte Zugangsdaten verwenden.

Aufgrund einer intelligenten Bestandsaufnahme sind IT-Sicherheitsteams in der Lage, die Funktionalitäten der Abwehr aufeinander abzustimmen, um Risiken zu verringern. Die Reihenfolge dafür ist folgende:

  • Intelligente Analyse;
  • Identifikation der Risiken;
  • Herunterbrechen von notwendigen Abwehrfunktionen in technische Anforderungen; sowie
  • Testen einer Technologie-Plattform unter diesen Vorgaben.

2. Proaktive und praktische Intelligenz

Daniel Clayton, VP of Global Support and Services bei Bitdefender

Daniel Clayton, VP of Global Support and Services bei Bitdefender

Chief Information Security Office (CISOs) können nicht mehr nur reagieren, sondern müssen im Vorfeld aktiv sein. Die meisten Entscheider kennen die hierbei entscheidende Rolle einer intelligenten Bedrohungsanalyse. Diese sollte aber operativ umsetzbare Erkenntnisse liefern, um Unternehmen im Wettkampf mit den Angreifern zu helfen.

Eine solche anwendbare Intelligenz liefert Unternehmen folgende Informationen.

  1. Rechtzeitige Informationen: Dann können die Verantwortlichen reagieren, bevor eine externe Aktion die Abläufe im Unternehmen behindert.
  2. Relevante Informationen: Sie betreffen solche Ereignisse, die Abläufe in Unternehmen behindern können. Ein Beispiel sind Hinweise zu branchenspezifischen Attacken, welche eine bestimmte technologische Plattform angreifen, die beim Kunden implementiert ist. In diesem Fall sind Gegenmaßnahmen notwendig und sollen praktisch umsetzbar sein.

Diese Intelligenz wirkt sowohl kurzfristig als auch auf lange Sicht

  1. Sie unterstützt die Cyber-Security von Unternehmen taktisch und operativ mit rechtzeitigen und umsetzbaren Informationen. Indexwerte drücken aus, wie stark Systeme kompromittiert sind und wo Angriffe unmittelbar bevorstehen.
  2. Sie unterstützt operativ mit Prognosen sowie mit Informationen zu Hackern und zu den möglichen Risiken der Zukunft.

Eine proaktive Abwehr bereitet Unternehmen auf aktuelle und zukünftige Ereignisse vor. Diese verteidigen zu können, verlangt Experten, geeignete Prozesse und Technologien. Das lässt sich nicht auf die Schnelle aufbauen. Eine gute Defensive wächst kontinuierlich und agiert langfristig. Sie versteht daher, wie sich die Gefahrenlage verändert und baut die notwendigen Fähigkeiten auf, um Effekte zu minimieren.

3. Denken wie ein Angreifer – Threat Hunting

Es gibt mehr als genug Belege, dass Sicherheitsplattformen viele Attacken abwehren, aber niemals alles verhindern können. Die Angreifer kennen die Abwehr-Tools genauso gut wie die IT-Security selbst. Hacker machen aus Social Engineering und Phishing fast schon eine Kunstform, um Zugangsdaten zu stehlen und Zugriff zu Systemen zu erlangen.

Umso wichtiger ist es daher, das menschliche Analysten Ausschau halten. Der Mensch ist und bleibt daher unersetzbar. Die aktuellen Aufgaben definieren aber ein besonderes Anforderungsprofil für die Defensivakteure und für ihr Threat-Hunting:

  • Analysten müssen wie die Angreifer denken.
  • Sie wissen dank ihrer Erfahrung und Intuition, wo sie nach ihren Aktionen suchen und wonach sie Ausschau halten.
  • Sie können in Echtzeit durchspielen, was der Angreifer als nächstes tun wird, und wie man das verhindern kann.
  • Trainierte und erfahrene Analysten nutzen dabei die Informationen der Telemetrie und sind immer auf dem neuesten Stand.
  • Sie denken und handeln eher wie ein Geheimagent, der sich in den Gegner hineinversetzt. Und nicht wie ein Sicherheitstechniker.

4. Menschen statt Automatismen

Viele Organisationen verfügen entweder nicht über die Technologie oder über Fachkräfte, um in ihrer IT ein solches Threat Hunting durchzuführen, proaktiv Eindringlinge abzuwehren und Vorkommnisse zu verhindern. Sie wenden sich daher an die Cyber-Security-Anbieter. Das ist ein richtiger Schritt. Einen Mehrwert schaffen aber nur Dienste, hinter denen Menschen stehen. Ein Threat Hunting kann nicht automatisiert stattfinden.

Denn bei einer tiefgehenden Analyse kommt es gerade auf den erfahrenen Menschen und seine Intuition an, und nicht nur auf die Technologie. Dabei geht es nicht um automatische Abläufe. Es kommt darauf an, bewusst proaktiv nach Gefahren zu suchen, gezielt hinzusehen, die nächsten Schritte überlegt zu entscheiden. Professionelle Teams in einem Security Operations Center können das bieten. Managed Detection and Response (MDR) bringt den Faktor Mensch ins Spiel, um gegen kunden- und industriespezifische komplexe Angriffe zu schützen.

 

Mehr dazu bei Bitdefender.com

 


Über Bitdefender

Bitdefender ist ein weltweit führender Anbieter von Cybersicherheitslösungen und Antivirensoftware und schützt über 500 Millionen Systeme in mehr als 150 Ländern. Seit der Gründung im Jahr 2001 sorgen Innovationen des Unternehmens regelmäßig für ausgezeichnete Sicherheitsprodukte und intelligenten Schutz für Geräte, Netzwerke und Cloud-Dienste von Privatkunden und Unternehmen. Als Zulieferer erster Wahl befindet sich Bitdefender-Technologie in 38 Prozent der weltweit eingesetzten Sicherheitslösungen und genießt Vertrauen und Anerkennung bei Branchenexperten, Herstellern und Kunden gleichermaßen. www.bitdefender.de


 

Passende Artikel zum Thema

Datensicherheit & Backup – mehr als ein Fallschirm für Unternehmen

Unternehmen benötigen eine Lösung für Backup, Disaster-Recovery, Archivierung und auch für ihre kalten Daten. Sechs Fragen, sechs Antworten von Hannes ➡ Weiterlesen

85 Milliarden Bedrohungen blockiert – ein Plus von 30 Prozent

Über 85 Milliarden Bedrohungen wurden im ersten Halbjahr 2023 durch Trend Micro blockiert – rund ein Drittel mehr als im ➡ Weiterlesen

Kaspersky wirkt bei INTERPOL Operation mit

Im Rahmen der Operation „Africa Cyber Surge II“ unterstützte Kaspersky INTERPOL mit der Bereitstellung von Threat-Intelligence-Daten. Dadurch konnten die Ermittler, ➡ Weiterlesen

Microsoft: 38 TByte Daten versehentlich offengelegt

Der Security Anbieter Wiz hat beim stöbern im KI-GitHub-Repository von Microsoft 38 TByte an Daten gefunden samt 30.000 internen Teams-Nachrichten. ➡ Weiterlesen

Gastgewerbe: Angriffe auf Buchungsplattform

Cyberkriminelle stahlen die Kreditkartendaten, persönliche Daten und Passwörter der Kunden der Gaststätten-Buchungsplattform IRM-NG. Bitdefender hat aktuelle Forschungsergebnisse einer derzeit laufenden ➡ Weiterlesen

Daten vor Double Extortion Ransomware schützen

Double-Extortion-Angriffe nehmen zu: Bei der Attacke werden nicht nur die Daten verschlüsselt und ein Lösegeld erpresst, sondern auch noch Daten ➡ Weiterlesen

Mit generativer KI Schwachstellen schneller beheben

KI-gestützte Wiederherstellung hilft Security-Teams, Warnungen über Schwachstellen schneller zu verarbeiten und vereinfacht ihre Zusammenarbeit mit Entwicklungsteams. Aqua Security, der Pionier ➡ Weiterlesen

Ransomware: Noch erfolgreicher durch KI

Kriminelle nutzen mittlerweile KI, um ihre Ransomware-Angriffe noch effizienter zu machen. Betrachtet man die neuesten Entwicklungen, ist keine Entwarnung in ➡ Weiterlesen