KW 27 / 2022
Security-Spezialisten unter Resellern rüsten auf
Threat Hunting als die neue Wunderwaffe
Bedrohungen für die IT Security ihrer Kunden besser abwehren und damit mehr Business-Möglichkeiten umsetzen – diese Chancen sollten Reseller unbedingt nutzen. Doch dazu müssen sie die neue Wunderwaffe gegen Malware, dass „Threat Hunting“ einsetzen können. Doch wie sehen die Grundlagen dieser Technik aus und wie lässt sich damit mehr Umsatz generieren?
Die ChannelAcademy hilft Resellern das Geschäftsmodell um Threat Hunting Services zu erweitern.
Mehr Angriffe auf IT-Infrastrukturen und ein gestiegenes Risiko für die Infrastruktur des eigenen Unternehmens – mit diesen Herausforderungen sehen sich die IT-Verantwortlichen in den Unternehmen konfrontiert. Deswegen würden die meisten gerne zusätzliche Manpower im Bereich der IT Security einstellen – doch derartige Fachleute sind schwer zu bekommen.
Daher ergibt sich für Reseller im IT-Bereich eine gute Möglichkeit, ihre Kompetenz in Sachen IT-Sicherheit in Form eines externen Dienstleisters, der eine Vielzahl von Security-Technologien beherrscht, bei den Anwenderunternehmen zu etablieren. Doch dazu braucht es in der Regel auch passende Eintrittswege – wie es zum Beispiel das aktuelle Schlagwort „Threat Hunting“ darstellt.
Dahinter verbirgt sich ein neuartiger Ansatz, um Cyber-Bedrohungen aufzudecken. Ähnlich wie es eine Polizeistreife macht, wird nicht erst bei einem Vorfall die Ermittlung aufgenommen, sondern es wird im „Zuständigkeitsgebiet“ patrouilliert und dazu bestimmte Kenngrößen ermittelt. Diese Analogie macht es deutlich: Heutzutage geht es im Bereich der Cyber-Sicherheit nicht mehr allein darum, auf den Alarm eines Tools zu warten, sondern man muss kontinuierlich nach Angriffsspuren Ausschau halten. Damit kommt eine weitere Situation ins Spiel, die sich vor dem Hintergrund der „dünnen Expertenlage“ bei den Anwenderunternehmen als Eintrittskarte für IT-Reseller eignet.
Denn speziell bei Angreifern, die mit Hilfe von Advanced Persistent Threats (APTs) in Unternehmensnetzwerke eindringen, liegt die Priorität darauf, möglichst lange unentdeckt zu bleiben. Derartige Angreifer umgehen die bekannten Abwehrmechanismen, infiltrieren danach das Netzwerk und greifen möglichst lange unerkannt Wissen und Daten ab. Dabei bewegen sie sich von System zu System im Verbund und so gelingt es ihnen, sich immer mehr Zugriff auf interessante Informationen zu verschaffen.
Vorbereitung für erfolgreiches Threat Hunting
Entscheidend für ein erfolgreiches Threat Hunting sind die Grundlagen. Dazu sollten die Security-Experten eines IT-Dienstleisters bei den Anwenderunternehmen wichtige Vorkehrungen treffen. In erster Linie gilt es, den Reifegrad der aktuellen Cyber-Sicherheitsabläufe im Anwenderunternehmen zu ermitteln.
Dabei geht es um die Zuordnung aller Prozesse zu einem umfassenden Cyber-Security-Modell, das den Grad der Entwicklung und Fortschrittlichkeit anzeigt. Dies erweist sich in der Praxis als eine gute Methode, um die Leistungsfähigkeit für ein erfolgreiches Threat Hunting zu beurteilen – wünschenswerter Nebeneffekt: Dabei wird auch die bestehende Security-Infrastruktur und deren Anfälligkeit gegen Bedrohungen geprüft.
Danach geht es darum, eine Taktik für das Threat Hunting zu definieren. Dazu sind die meisten kleinen und mittleren Unternehmen nicht in der Lage – daher kann hier ein Reseller mit entsprechender Expertise punkten: Nach der Beurteilung des Reifegrads kann die Bedrohungssuche durchgeführt werden – am besten übernommen vom spezialisierten IT-Dienstleister.
Nicht jede IT-Umgebung ist bereits optimal abgesichert, vielfach fehlen noch wesentliche Komponenten. Daher sollte man im Vorfeld des Threat Huntings feststellen, welche technologischen Lücken beim jeweiligen Anwenderunternehmen bestehen. Durch das Prüfen und Beurteilen der vorhandenen Tools lässt sich gut ableiten, welche zusätzlichen Komponenten für eine effektive Bedrohungssuche nötig sind. Dabei sollten Security-Experten des Resellers beim Anwenderunternehmen vor allem zwei Fragen stellen: Wie effektiv ist die bestehende Präventionstechnologie? Verfügt diese bereits über unterstützende Threat-Hunting-Funktionen?
Ein weiterer Aspekt, den es zu beachten gilt, ist die Qualifikation der IT-Mitarbeiter beim Anwenderunternehmen. Erhebt ein Reseller hier die Informationen über den aktuellen Wissensstand beim Anwenderunternehmen, wird sich in den meisten Fällen herausstellen, dass ein relativ hoher Qualifikationsbedarf besteht. Das verbessert die Chance für Security-Dienstleister erneut, um seine Spezialisten ins Spiel zu bringen und seine Fähigkeiten für die Bedrohungsjagd einzusetzen.
Denn falls ein IT- oder Security-Team beim Anwenderunternehmen nicht über die nötige Erfahrung verfügt, müssen diese für das Threat Hunting geschult und trainiert werden – am besten gleich direkt im Produktivsystem. Diese Aufgabe können nur externe Spezialisten übernehmen, gilt es doch, praxisbasiert – also im Produktivsystem – die Wissenslücken zu schließen.
Auch wenn mit Hilfe des Threat Huntings die Wahrscheinlichkeit deutlich steigt, dass man Angriffen proaktiv begegnen kann, so darf man doch eines nicht vergessen: den Notfallplan. Denn eine Reaktion auf einen Cyber-Notfall kann nur so gut sein wie sein Plan und die darin definierten Prozessketten und Verantwortlichkeiten. Er ist unerlässlich für die Sicherstellung schneller, angemessener und kontrollierter Aktionen und um die Auswirkungen eines Angriffs auf ein Minimum zu reduzieren. Daher sollten Reseller darauf achten, dass die von ihnen betreuten Anwenderunternehmen eine ganzheitliche Datensicherheitsstrategie verfolgen.
Das Threat Hunting im Detail
Die Daten stammen typischerweise von Werkzeugen wie UEBA (user and entity behavior analytics) oder die MITRE ATT&CK Matrix. Sie unterstützen die Jäger, damit sie die möglichen Varianten im Blick behalten. Bereits bekannte Gruppierungen von Angreifern werden dazu mit Eigennamen versehen und kategorisiert. Dabei helfen Unternehmen, wie etwa Entwickler von Antiviren-Software, und stellen das Wissen weltweit öffentlich zur Verfügung. So kann zum Beispiel die MITRE ATT&CK Matrix dazu genutzt werden, Hypothesen auf verschiedene Taktiken für die unterschiedlichen Phasen des Angriffs einzugrenzen.
Eine Hypothese könnte beispielsweise lauten, dass sich ein schadhaftes Programm als „offizielle Windows-Systemdatei“ — wie etwa vchost.exe – tarnt. Als ein Beweis für diese Hypothese könnte gelten, dass die Datei in einem ungewöhnlichen Ordner liegt.
Ein anderer Verdacht kann Anomalien in einem Netzbereich nahelegen – etwa, dass sich ein Client neuerdings zu ungewöhnlichen Zeiten anmeldet oder dass Login-Versuche aus Regionen erfolgen, aus denen es bislang keinerlei Anmeldeversuche gegeben hat. Generell formuliert suchen die Jäger nicht nach Indikatoren für eine Gefährdung (die „Indicators of Compromise“, IOC), sondern nach Indikatoren für einen Angriff („Indicators of Attacks“, IOA).
Hat man sich auf eine Hypothese geeinigt, wird weiter nach den zu erwartenden Beweisen gesucht und dann diese Hypothese entweder validiert, nachgeschärft und weiterentwickelt oder eben auch widerlegt. Dabei kommen die Schwachstellen der Sicherheitsinfrastruktur zum Vorschein. Das sind Lücken in der Protokollierung (die Log-Gaps) oder technologische Lücken (die Tech-Gaps). Die Sicherheitsexperten erkennen dann auch, ob die Erkennungsmechanismen gut genug sind oder wo die Grenzen des aktuellen Endgeräteschutzes (die Endpoint Protection) liegen.Üblicherweise erstellt der Sicherheitsexperte beim Threat Hunting zuerst eine Hypothese und leitet dann daraus ab, welche Belege es für sie gibt. Es gibt also keinen konkreten Vorfall, vielmehr startet man in der Regel in gewisser Weise „frei“ – genauer ausgedrückt: Auf der Basis der vorhandenen Daten zum Stand der IT-Security wird nach Taktiken, Techniken und Verfahren der potenziellen Angreifer gesucht.
Threat Hunting bietet Chancen für IT-Sicherheitsdienstleister
Ein kooperativer und koordinierter Ansatz gilt in Expertenkreisen als der Schlüssel zum Stoppen der heutigen Sicherheitsverletzungen. IT-Sicherheitsdienstleister können damit ihren Kunden ein Höchstmaß an verwalteter Sicherheit bieten.
Dazu sollten Reseller im Security-Bereich ihre Dienste erweitern, und dafür sorgen, dass sie die Ergebnisse des Essential Threat Hunting durch die Validierung der „Indicators of Attacks“ (IoA) nutzen und auf den Angriff reagieren. Die passenden Werkzeuge können einen dann sofort informieren, wenn ein neuer IoA auftaucht.
Darum sollen Security-Reseller Services im Umfeld des Threat Huntings in ihr Angebot aufnehmen:
• Zusätzliches Geschäftsvolumen
Der Bedarf bei Anwenderunternehmen wird wegen der steigenden Bedrohungslage deutlich zunehmen.
• Zusätzliche Tools werden nötig
Um die Daten für das Erstellen und Überprüfen der Hypothesen zu liefern, brauchen Anwenderunternehmen entsprechende Tools, die sie kaufen oder mieten müssen.
• Demonstration der Kompetenz
Anwenderunternehmen erwarten das künftig von „ihrem“ Security Dienstleister.
• Marktlage
Die Hersteller alleine können den Bedarf nicht decken und zudem nicht herstellerübergreifende Lösungen optimal unterstützen.
© ROUTMAIL Redaktion
Author Rainer Huttenloher
Linksammlung zum Fokusthema Threat Hunting
- BSI, Bundesamt für Sicherheit in der Informationstechnik
- Barracuda
- Eset
- FireEye
-
Kaspersky
- SonicWall
- Trend Micro
- WatchGuard
- Threat Hunting Academy
- ISH - Information Security Hub
- Exclusive Networks
- Opensystems
- Pluralsight
- Sophos Threat Hunting Academy
Podcast
Ausgewählte Fokusthemen sind auch als Podcast verfügbar. Wir freuen uns, wenn Sie unseren Podcast abonnieren.
