Threat Hunting

Bedrohungen keinen Platz zum Verstecken bieten

Wussten Sie, dass es im Durchschnitt 212 Tage dauert, bis eine Sicherheitsverletzung entdeckt wird? Wussten Sie, dass es im Durchschnitt 75 Tage dauert, um einen Vorfall nach dessen Entdeckung einzugrenzen? Je länger der Lebenszyklus einer Bedrohung dauert, desto höher sind die Kosten für den Vorfall. Dies lehrt uns, dass die proaktive Suche nach Bedrohungen für jedes robuste Cybersecurity-Programm unerlässlich ist.

Eine wichtige Sicherheitsinitiative – viele Hindernisse

Die Einführung eines internen Threat Hunting-Programms ist mit vielen Herausforderungen verbunden.

Close up of a man's eye with targeting scope lines around it
Nur erfahrene Threat Hunter wissen, wie man Analysen für eine proaktive und schnelle Erkennung automatisieren kann.
Die fehlende Systematisierung mindert die Erfolgschancen bei der Abwehr ausgefeilter Bedrohungen
Beim Threat Hunting liefern langfristige, detaillierte Telemetriedaten die Grundlage für sofortige Analysen.
Die große Menge an Telemetriedaten muss aufbereitet, korreliert und umgehend mit Sicherheitsanalysen auf Anzeichen von Angriffen untersucht werden.
Eigene Threat Hunter, automatisierte Prozesse und Tools erfordern eine Investition, die die meisten Unternehmen nicht stemmen können.

Proaktive Threat Hunting-Aktivitäten

Circular graph showing data lines radiating out from a blue central circle

Analysegestützter Ansatz

Hierbei werden statistische Methoden verwendet, um Bedrohungen zu entdecken, die noch nie zuvor gesehen wurden, oder um Unregelmäßigkeiten in den Baseline-Daten der Umgebung zu erkennen.

Shape of a face made up of glowing lines with bright firey lines in the brain area

Hypothesengestützter Ansatz

Er wird von Threat Huntern durchgeführt, die wie Gegner denken. Es geht darum, Theorien darüber zu entwickeln und zu testen, wo und wie ein entschlossener Angreifer versuchen könnte, unbemerkt zu operieren.

Hands on a keyboard with a blue eye icon overlaid on top

Intelligenz-basierter Ansatz

Hierbei werden aktuelle Bedrohungsdaten genutzt, um historische Daten nach Anzeichen für ein Eindringen zu durchsuchen. Indikatoren für eine Gefährdung (Indicators of Compromise, IoCs) sind ein guter Ausgangspunkt, obwohl man sich nicht auf sie beschränken, sondern auch Verhaltensweisen berücksichtigen sollte, die mit einer bestimmten Bedrohung oder einer Gruppe von Bedrohungen in Verbindung stehen.

Proaktives Threat Hunting verbessert die allgemeine Sicherheit auf folgende Weise:

  • Reduzierung der Wahrscheinlichkeit einer Sicherheitsverletzung
  • Schnelle Erkennung laufender Bedrohungen
  • Schnellere Reaktion
  • Reduzierung der mit Vorfällen und Wiederherstellung verbundenen Kosten
  • Ermittlung von Sicherheitslücken und fehlerhaften Konfigurationen
  • Erstellung von Empfehlungen für Pläne zur Reduzierung der Angriffsfläche

Lesen Sie dieses E-Book, um mehr über den Prozess des Threat Hunting zu erfahren, die Vor- und Nachteile des Ansatzes besser zu verstehen und alternative Vorgehensweisen kennenzulernen.

Holen Sie es sich jetzt

87 %

der Unternehmen stimmen der Aussage zu, dass Threat Hunting eine wichtige Sicherheitsinitiative sein sollte.

Unternehmen jeglicher Größe sind sich einig, dass sie in ihren Umgebungen nach aktiven oder schlafenden Bedrohungen suchen sollten, die von den Sicherheitskontrollen nicht erfasst wurden.

Pulse-Umfrage, November 2021

53 %

der Unternehmen planen, Threat Hunting in den nächsten 12 Monaten einzuführen.

Durch eine proaktive Suche nach Bedrohungen können sie Bedrohungen schneller erkennen, die Reaktion beschleunigen und die mit Vorfällen verbundenen Kosten minimieren.

Pulse-Umfrage, November 2021

65 %

der Unternehmen gaben an, dass Beschränkungen ihrer Tools oder Technologien ein Hindernis darstellen.

Threat Hunting bringt viele Herausforderungen mit sich, die die Initiative zum Scheitern bringen können: Beschränkungen bestehender Tools oder Technologien, Mangel an Fachwissen, zu viele zu verarbeitende Daten.

Pulse-Umfrage, November 2021

51 %

der Unternehmen stehen oder standen vor Hindernissen aufgrund mangelnder Kompetenzen im Bereich Sicherheit.

Aus diesem Grund delegieren die meisten Unternehmen und Partner den Threat Hunting-Service zumindest teilweise an ihren Managed Security Provider.

Pulse-Umfrage, November 2021
Bright blue globe with red spots around the surface and white lines orbiting it

Jedes Unternehmen kann zum Ziel werden, unabhängig von Größe, Branche oder Standort

Threat Hunting ist eine Disziplin, die von Unternehmen als unverzichtbar angesehen werden sollte. Es sollte sich um eine kontinuierliche Funktion handeln, nicht um eine einmalige Aufgabe zu einem bestimmten Zeitpunkt. Die konsequente Aufrechterhaltung der Praxis über einen langen Zeitraum ohne externe Unterstützung ist selbst für die fähigsten Sicherheitsteams oft unerreichbar. Wie gehen IT-Führungskräfte mit diesen Herausforderungen um? Pulse und WatchGuard befragten 100 IT-Führungskräfte, um dies herauszufinden.

Ergebnisse anzeigen >

4 Wege des Threat Hunting, die Sie überprüfen sollten

WatchGuard Cloud dashboard showing on a laptop screen

Threat Hunting as a Service

Der Threat Hunting Service von WatchGuard EDR und WatchGuard EPDR deckt Bedrohungen auf, die an Endpunkten lauern, indem er eine Reihe von deterministischen Angriffsindikatoren (IoAs) erkennt. Die in diesen Produkten enthaltenen Handlungsanweisungen ermöglichen es Ihnen, schnell und zuverlässig auf Bedrohungen zu reagieren.

Verbessern Sie Ihre Services, spüren Sie Bedrohungen auf >

Purple box graph next to a line graph showing activity on a laptop screen

Suche nach unerkannten Bedrohungen

Darüber hinaus können Sicherheitsteams mit WatchGuard Advanced EDR und EPDR ihre Umgebungen auf neue Bedrohungen hin beurteilen, indem sie nach OSINT (Open-Source INTelligence) oder privaten IoCs suchen – Hashes, Dateinamen, Pfade, Domänen, IP und Yara-Regeln. Analysten können die Ausbreitung des Risikos eindämmen, wenn eine Kompromittierung entdeckt wird, indem sie die betroffenen Endpunkte vom Netzwerk isolieren, während sie den Vorfall beseitigen und die Daten wiederherstellen.

Bereiten Sie sich auf neu auftretende Bedrohungen vor >

Colorful bar graph next to a chart with an arrow pointing downwards

An Threat Hunting Experten delegieren

Die Threat Hunter von WatchGuard überwachen ständig die Endpunktaktivität, untersuchen jedes schwache Anzeichen eines abnormalen Verhaltens und decken weitere Bedrohungen auf, sobald sie verdächtige Aktivitäten zeigen. Sie werden von unseren Threat Huntern unterstützt, die Ihnen sofort detaillierte, umsetzbare Berichte vorlegen, auf die Sie reagieren können. Monatliche Berichte sind der sichtbare Beweis für die Sorgfalt, mit der Bedrohungen aufgespürt werden.

Professionalisieren Sie Ihren Threat Hunting Service, ohne Threat Hunter einstellen zu müssen >

WatchGuard Cloud dashboard showing on a laptop screen

Verbessern Sie Ihr Threat Hunting durch Automatisierung

WatchGuard Orion ist eine cloudbasierte, mandantenfähige Threat Hunting- und Incident Management-Plattform, die maschinelles Lernen nutzt, um Sicherheitsanalysten in die Lage zu versetzen, unbekannte Bedrohungen zu entdecken, verdächtige Aktivitäten zu untersuchen und schnell auf Vorfälle zu reagieren. Die integrierten Abfragen und Hunting-Regeln helfen SOCs, die richtigen Fragen zu stellen, um Probleme in den 365-Tage-Telemetriedaten zu finden, Hypothesen aufzustellen und detaillierte Untersuchungen durchzuführen.

Unterstützen Sie Ihre SOC-Threat Hunter >

MSP-Bezogene Blogbeiträge

Mehr lesen