Gefahr erkannt, Gefahr gebannt:
Wie geht gutes Threat Hunting?
Threat Detection and
Response (kurz TDR) ist eine Methode, die es Organisationen und Unternehmen
ermöglicht, Cyberangriffe zu neutralisieren, bevor sie Schaden anrichten
können. Denn es ist immer schwieriger, Cyberbedrohungen zu identifizieren und
darauf zu reagieren. Und zwar so effektiv und effizient wie ein Großkonzern – ohne
ein Heer an IT-Sicherheitsexperten zur Verfügung zu haben.
Oftmals werden Angriffe heutzutage als sogenannte Blended Attacks durchgeführt, die maschinelle und menschliche Angriffstechniken kombinieren. In der Folge kommen verschiedenste und oftmals unter dem Radar laufende Einzelangriffe zum Einsatz, die sich zudem individuell anpassen, wenn sich ihnen ein Hindernis in den Weg stellt. Threat Hunter und Analysten enthüllen diese verborgenen Gegner, indem sie sich an verdächtigen Ereignissen, Anomalien und Aktivitätsmustern orientieren. Das Auffinden der Bedrohung ist dabei nur der erste Schritt, im Anschluss ist die Zusammenarbeit im Teamwork wichtig, um die Situation zu entschärfen.
Das Ergebnis ist Threat Detection and Response, die vor allem modernen Attacken wie Ransomware effektiv den Riegel vorschiebt. Die Brisanz dieser Angriffe machen die Ergebnisse des „Active Adversary Playbook 2021“ deutlich, in dem Sophos umfangreiche Telemetriedaten seines MTR-[GH1] und Rapid-Response-Teams von echten Cyberattacken ausgewertet hat. So war in 81 Prozent der Vorfälle Ransomware im Spiel und in 69 Prozent der Angriffe wurde das Remote-Desktop-Protokoll (RDP) für Schleichfahrten verwendet.
Externe Expertenteams zur Abwehr von Cyberattacken konnten sich lange Zeit nur Großkonzerne leisten – diese Zeiten sind mittlerweile aber vorbei.
Trotz der zunehmenden Wichtigkeit professioneller Threat Hunter konnten sich solche Expertenteams lange Zeit zumeist nur Großkonzerne oder staatliche Einrichtungen leisten. Nun öffnet Sophos diesen individuellen Service mit seinem Manage Threat Response Service (MTR) für Firmen jeder Größenordnung und lässt seine Cybercrime-Experten für Kunden aktiv werden.
Die Cybercrime-Experten übernehmen dabei sieben Tage die Woche rund um die Uhr folgende Aufgaben:
- Proaktives Aufspüren und Prüfen von potenziellen Bedrohungen und Vorfällen
- Nutzen aller vorliegenden Informationen, um Ausmaß und Schwere von Bedrohungen zu bestimmen
- Anwenden geeigneter Maßnahmen je nach Risikobewertung der Bedrohung
- Einleiten von Maßnahmen zum Stoppen, Eindämmen und Beseitigen von Bedrohungen
- Bereitstellen konkreter Ratschläge, um die Ursache wiederholt auftretender Vorfälle zu bekämpfen
Sophos MTR basiert auf Intercept X Advanced with XDR, einer Technologie zur Erstellung detaillierter Abfragen, um Bedrohungen aufzuspüren und IT Security Operations zu optimieren. Auf diese Weise werden leistungsstarkes Machine Learning und Expertenanalysen zu einem effektiven Teamwork vereint. Die XDR-Technologie geht dabei über den klassischen EDR-Ansatz, der Endpoints und Server abdeckt, hinaus und erfasst auch Firewall-, E-Mail- sowie weitere Datenquellen.
Die Sophos XDR-Technologie basiert auf dem neuronalen Deep-Learning-Netzwerk von Sophos, das anhand von Hunderten von Millionen Beispielen und Bedrohungsindikatoren geschult ist. Security-Analysten und IT-Administratoren erhalten außerdem On-Demand-Zugriff auf Bedrohungsinformationen aus den SophosLabs, die täglich mehr als 400.000 Malware-Samples verfolgen, zerlegen und analysieren. Auf diesem Wissen basiert der sogenannte Live-Discover-Service: Dieses Angebot erkennt vergangene und aktuelle Aktivitäten und speichert die Daten bis zu 90 Tage. Sofort einsatzbereite SQL-Abfragen ermöglichen es, Fragen zur Bedrohungssuche und zur IT zu beantworten. Diese können aus einer Bibliothek mit vordefinierten Optionen ausgewählt und von Benutzern vollständig angepasst werden.