EDR: Kommissar Threat Hunter

22. März 2021
| Keine Kommentare
EDR: Kommissar Threat Hunter
Anzeige

Beitrag teilen

Menschen sind noch immer der wichtigste Faktor zur Prävention und Abwehr von Cyber-Attacken. Keine Cyber-Security kann jeden Angriff abwehren und jede Lücke schließen. Dabei setzen viele Organisationen auf immer ausgefeiltere Abwehrtechnologien.

Doch wie so häufig sind die Angreifer der IT-Sicherheit einen Schritt voraus – denn sie kennen die Abwehrtools selbst in- und auswendig und kennen somit jedes auch noch so kleine Schlupfloch. Technologie allein genügt also nicht. Umso wichtiger ist es, dass sich Unternehmen mit Hilfe von Experten proaktiv aufstellen, Risiken im Vorfeld erkennen und im Notfall Schäden so schnell wie möglich minimieren. Angesichts immer komplexerer Hackermethoden genügt Technologie dabei nicht. Solange es menschliche Hacker gibt, müssen ihnen menschliche Verteidiger gegenüberstehen. Die folgenden vier Thesen zeigen, worauf es bei intelligenter IT-Security ankommt und welche Rolle der Faktor Mensch spielt.

Anzeige

1. Zuerst analysieren, dann einkaufen

Die meisten IT-Sicherheitsteams beschäftigen sich mit Abwehrtechnologien und Werkzeugen, bevor sie wissen, was diese überhaupt leisten sollen. Das ist ein falscher Ansatz, denn es gibt kein Patentrezept für Cyber-Sicherheit. Jedes Unternehmen hat seine eigenen Risiken, Lücken und Angreifer- abhängig von der Branche, den Geschäftsprozessen, den eingesetzten Technologien und der Art der zu schützenden Daten. Wer IT-Sicherheit erwirbt, ohne seine spezifischen Risiken zu kennen, muss meistens später Software dazukaufen. Dadurch gestaltet sich die Abwehr immer komplexer.

Der umgekehrte Weg ist der bessere. Zunächst kommt es darauf an, den eigenen Status intelligent zu analysieren und dann das eigene Risikoprofil zu erstellen. Ein Unternehmen, welches zum Beispiel weiß, dass es Ziel für Spear-Phishing der APT-40-Gruppe ist, sollte fortschrittliche Authentifikations-Tools einsetzen und Anomalien erkennen können. Diese Werkzeuge können dann nicht nur den Identitätsdiebstahl verhindern. Unternehmen erfahren auch, wenn Angreifer kompromittierte Zugangsdaten verwenden.

Anzeige

Jetzt Newsletter abonnieren

Einmal im Monat die besten News von B2B CYBER SECURITY lesen



Mit Klick auf „Anmelden“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden. Weitere Informationen finde ich in unserer Datenschutzerklärung. Nach dem Anmelden erhalten Sie zuerst eine Bestätigungsmail, damit keine anderen Personen Ihnen etwas ungewolltes bestellen können.
Aufklappen für Details zu Ihrer Einwilligung
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung. Sie können jederzeit den Newsletter wieder abbestellen. Einen entsprechenden Link finden Sie im Newsletter. Nach einer Abmeldung werden Ihre Daten in kürzester Zeit gelöscht. Eine Wiederherstellung ist nicht möglich. Falls Sie den Newsletter erneut haben möchten, ordern sie diesen einfach neu. Verfahren Sie auch so, wenn Sie eine andere E-Mail-Adresse für Ihren Newsletter nutzen möchten. Wenn Sie den auf der Website angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse und mit dem Empfang des Newsletters einverstanden sind. Weitere Daten werden nicht bzw. nur auf freiwilliger Basis erhoben. Für die Abwicklung der Newsletter nutzen wir Newsletterdiensteanbieter, die nachfolgend beschrieben werden.

CleverReach

Diese Website nutzt CleverReach für den Versand von Newslettern. Anbieter ist die CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Deutschland (nachfolgend „CleverReach“). CleverReach ist ein Dienst, mit dem der Newsletterversand organisiert und analysiert werden kann. Die von Ihnen zwecks Newsletterbezug eingegebenen Daten (z. B. E-Mail-Adresse) werden auf den Servern von CleverReach in Deutschland bzw. Irland gespeichert. Unsere mit CleverReach versandten Newsletter ermöglichen uns die Analyse des Verhaltens der Newsletterempfänger. Hierbei kann u. a. analysiert werden, wie viele Empfänger die Newsletternachricht geöffnet haben und wie oft welcher Link im Newsletter angeklickt wurde. Mit Hilfe des sogenannten Conversion-Trackings kann außerdem analysiert werden, ob nach Anklicken des Links im Newsletter eine vorab definierte Aktion (z. B. Kauf eines Produkts auf dieser Website) erfolgt ist. Weitere Informationen zur Datenanalyse durch CleverReach-Newsletter erhalten Sie unter: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen, indem Sie den Newsletter abbestellen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Wenn Sie keine Analyse durch CleverReach wollen, müssen Sie den Newsletter abbestellen. Hierfür stellen wir in jeder Newsletternachricht einen entsprechenden Link zur Verfügung. Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter bei uns bzw. dem Newsletterdiensteanbieter gespeichert und nach der Abbestellung des Newsletters aus der Newsletterverteilerliste gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden, bleiben hiervon unberührt. Nach Ihrer Austragung aus der Newsletterverteilerliste wird Ihre E-Mail-Adresse bei uns bzw. dem Newsletterdiensteanbieter ggf. in einer Blacklist gespeichert, sofern dies zur Verhinderung künftiger Mailings erforderlich ist. Die Daten aus der Blacklist werden nur für diesen Zweck verwendet und nicht mit anderen Daten zusammengeführt. Dies dient sowohl Ihrem Interesse als auch unserem Interesse an der Einhaltung der gesetzlichen Vorgaben beim Versand von Newslettern (berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung in der Blacklist ist zeitlich nicht befristet. Sie können der Speicherung widersprechen, sofern Ihre Interessen unser berechtigtes Interesse überwiegen. Näheres entnehmen Sie den Datenschutzbestimmungen von CleverReach unter: https://www.cleverreach.com/de/datenschutz/.

Auftragsverarbeitung

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

Aufgrund einer intelligenten Bestandsaufnahme sind IT-Sicherheitsteams in der Lage, die Funktionalitäten der Abwehr aufeinander abzustimmen, um Risiken zu verringern. Die Reihenfolge dafür ist folgende:

  • Intelligente Analyse;
  • Identifikation der Risiken;
  • Herunterbrechen von notwendigen Abwehrfunktionen in technische Anforderungen; sowie
  • Testen einer Technologie-Plattform unter diesen Vorgaben.

2. Proaktive und praktische Intelligenz

Daniel Clayton, VP of Global Support and Services bei Bitdefender

Daniel Clayton, VP of Global Support and Services bei Bitdefender

Chief Information Security Office (CISOs) können nicht mehr nur reagieren, sondern müssen im Vorfeld aktiv sein. Die meisten Entscheider kennen die hierbei entscheidende Rolle einer intelligenten Bedrohungsanalyse. Diese sollte aber operativ umsetzbare Erkenntnisse liefern, um Unternehmen im Wettkampf mit den Angreifern zu helfen.

Eine solche anwendbare Intelligenz liefert Unternehmen folgende Informationen.

  1. Rechtzeitige Informationen: Dann können die Verantwortlichen reagieren, bevor eine externe Aktion die Abläufe im Unternehmen behindert.
  2. Relevante Informationen: Sie betreffen solche Ereignisse, die Abläufe in Unternehmen behindern können. Ein Beispiel sind Hinweise zu branchenspezifischen Attacken, welche eine bestimmte technologische Plattform angreifen, die beim Kunden implementiert ist. In diesem Fall sind Gegenmaßnahmen notwendig und sollen praktisch umsetzbar sein.

Diese Intelligenz wirkt sowohl kurzfristig als auch auf lange Sicht

  1. Sie unterstützt die Cyber-Security von Unternehmen taktisch und operativ mit rechtzeitigen und umsetzbaren Informationen. Indexwerte drücken aus, wie stark Systeme kompromittiert sind und wo Angriffe unmittelbar bevorstehen.
  2. Sie unterstützt operativ mit Prognosen sowie mit Informationen zu Hackern und zu den möglichen Risiken der Zukunft.

Eine proaktive Abwehr bereitet Unternehmen auf aktuelle und zukünftige Ereignisse vor. Diese verteidigen zu können, verlangt Experten, geeignete Prozesse und Technologien. Das lässt sich nicht auf die Schnelle aufbauen. Eine gute Defensive wächst kontinuierlich und agiert langfristig. Sie versteht daher, wie sich die Gefahrenlage verändert und baut die notwendigen Fähigkeiten auf, um Effekte zu minimieren.

3. Denken wie ein Angreifer – Threat Hunting

Es gibt mehr als genug Belege, dass Sicherheitsplattformen viele Attacken abwehren, aber niemals alles verhindern können. Die Angreifer kennen die Abwehr-Tools genauso gut wie die IT-Security selbst. Hacker machen aus Social Engineering und Phishing fast schon eine Kunstform, um Zugangsdaten zu stehlen und Zugriff zu Systemen zu erlangen.

Umso wichtiger ist es daher, das menschliche Analysten Ausschau halten. Der Mensch ist und bleibt daher unersetzbar. Die aktuellen Aufgaben definieren aber ein besonderes Anforderungsprofil für die Defensivakteure und für ihr Threat-Hunting:

  • Analysten müssen wie die Angreifer denken.
  • Sie wissen dank ihrer Erfahrung und Intuition, wo sie nach ihren Aktionen suchen und wonach sie Ausschau halten.
  • Sie können in Echtzeit durchspielen, was der Angreifer als nächstes tun wird, und wie man das verhindern kann.
  • Trainierte und erfahrene Analysten nutzen dabei die Informationen der Telemetrie und sind immer auf dem neuesten Stand.
  • Sie denken und handeln eher wie ein Geheimagent, der sich in den Gegner hineinversetzt. Und nicht wie ein Sicherheitstechniker.

4. Menschen statt Automatismen

Viele Organisationen verfügen entweder nicht über die Technologie oder über Fachkräfte, um in ihrer IT ein solches Threat Hunting durchzuführen, proaktiv Eindringlinge abzuwehren und Vorkommnisse zu verhindern. Sie wenden sich daher an die Cyber-Security-Anbieter. Das ist ein richtiger Schritt. Einen Mehrwert schaffen aber nur Dienste, hinter denen Menschen stehen. Ein Threat Hunting kann nicht automatisiert stattfinden.

Denn bei einer tiefgehenden Analyse kommt es gerade auf den erfahrenen Menschen und seine Intuition an, und nicht nur auf die Technologie. Dabei geht es nicht um automatische Abläufe. Es kommt darauf an, bewusst proaktiv nach Gefahren zu suchen, gezielt hinzusehen, die nächsten Schritte überlegt zu entscheiden. Professionelle Teams in einem Security Operations Center können das bieten. Managed Detection and Response (MDR) bringt den Faktor Mensch ins Spiel, um gegen kunden- und industriespezifische komplexe Angriffe zu schützen.

 

Mehr dazu bei Bitdefender.com

 

Über Bitdefender

Bitdefender ist ein weltweit führender Anbieter von Cybersicherheitslösungen und Antivirensoftware und schützt über 500 Millionen Systeme in mehr als 150 Ländern. Seit der Gründung im Jahr 2001 sorgen Innovationen des Unternehmens regelmäßig für ausgezeichnete Sicherheitsprodukte und intelligenten Schutz für Geräte, Netzwerke und Cloud-Dienste von Privatkunden und Unternehmen. Als Zulieferer erster Wahl befindet sich Bitdefender-Technologie in 38 Prozent der weltweit eingesetzten Sicherheitslösungen und genießt Vertrauen und Anerkennung bei Branchenexperten, Herstellern und Kunden gleichermaßen. www.bitdefender.de

 

Passende Artikel zum Thema

Report: IT-Führungskräfte halten XDR für notwendig

Eine neue Studie unterstreicht die Unsicherheit bei XDR-Definition, Implementierung und benötigte Ressourcen. Der Report von ExtraHop zeigt, dass 78 Prozent ➡ Weiterlesen

Gefahrenlage ganzheitlich unter Kontrolle

Zentralisiertes Monitoring und automatisierte Gefahrenabwehr über alle Netzwerksicherheits- und Endpoint-Security-Produkte hinweg: Mit ThreatSync bietet WatchGuard ab sofort eine umfassende XDR-Lösung als ➡ Weiterlesen

Password-Management zum Schutz von Enterprise-Nutzern

Neue und erweiterte Funktionen für Workforce Password Management: Die Cloud-basierte Enterprise-Lösung für das Passwort-Management erlaubt es Mitarbeitern, ihre Passwörter und ➡ Weiterlesen

Proaktives Incident Response für SaaS

Mit der Einführung von Proactive Incident Response verbessert Varonis die Datensicherheit seiner Kunden. Im Rahmen des SaaS-Angebots überwacht ein Team ➡ Weiterlesen

Spray-and-Pray-Angriffe gegen ManageEngine-IT-Tools

Mit einer opportunistischen Attacke greifen Cyberkriminelle seit Januar 2023 weltweit Implementierungen der ManageEngine-Softwarelösungen der Zoho Corporation an. Durch automatisierte Scans ➡ Weiterlesen

Emotet übernimmt Microsoft OneNote-Anhänge

Emotet geht wieder neue Wege und infiziert Microsoft OneNote-Dokumente. Das in Unternehmen beliebte digitale Notizbuch ist für viele Anwender somit ➡ Weiterlesen

Phishing-Attacken erreichen Allzeithoch

Mehr als 30 Prozent der Unternehmen und Privatanwender waren in jedem Quartal von 2022 mobilen Phishing-Angriffen ausgesetzt. Stark regulierte Branchen ➡ Weiterlesen

High-End-Plattformen gegen DDoS 

Radware stellt unter der Bezeichnung DefensePro X eine leistungsstarke neue Serie von sechs -Abwehrplattformen gegen Cyberangriffe und DDoS vor. Ebenfalls ➡ Weiterlesen

Bitdefender, PR-Meldungen
, , , ,