3 Schlüsselfragen zum Thema „Threat Hunting“

Was ist „Threat Hunting“ und warum ist es notwendig?

Erfolgreiche Hacker entwickeln ihre Techniken stets weiter, um klassische Abwehrmaßnahmen zu umgehen. Genau so wichtig wie die Erkennung der Bedrohungen ist es also, den Cyberkriminellen immer einen Schritt voraus zu sein, so dass die Erfassungslücke („detection gap“) so weit wie möglich reduziert wird. Unabdingbar ist also eine intelligente IT-Security-Strategie mit umfassenden und selbstlernenden Algorithmen. In diesem Zusammenhang steht 2019 im Zeichen des „Threat Huntings“.

„Threat Hunting“ kann definiert werden als „der Prozess des proaktiven und iterativen Durchsuchens von Netzwerken, um neue, fortschrittliche Bedrohungen zu erkennen und zu isolieren, die vorhandene Sicherheitslösungen umgehen.“

Was macht „Threat Hunting“ aus?

Proaktivität ist das, was „Threat Hunting“ wirklich von anderen „Threat Management“-Maßnahmen wie Firewalls, Intrusion Detection Systeme (IDS), Sandboxing oder SIEM Systemen unterscheidet. All diese Maßnahmen erfolgen nach einem möglichen Angriff – sie sind also reaktiv und nicht proaktiv.

In modernen Sicherheitslösungen ist Proaktivität jedoch enorm wichtig. Der Fokus wechselt von EPP (Endpoint protection) zu EDR (Endpoint detection and response), wodurch eine Echtzeit-Telemetrie existiert, welche unerlässlich ist für den „Threat Hunting“-Prozess.

Wie funktioniert „Threat Hunting“?

Panda Adaptive Defense Threat Hunting erkennt neue Angriffsmuster durch die automatische Erfassung verschiedener Anomalien im Verhalten jedes Users, Prozesses und jeder Maschine.

„Threat Hunting“ liefert als proaktive Maßnahme die nötigen Hypothesen, welche sogenannte „Indicator of  Attacks“ identifizieren, deren Präsenz im jeweiligen Netzwerk überprüft und ggf. Schutzmaßnahmen gegen Hackerangriffe bereits implementiert, bevor diese stattgefunden haben. Nur wenige Entwickler sind heute in der Lage, solch komplexe „Threat Hunting“-Lösungen anzubieten. Gleichzeitig setzt der Einsatz dieser Hightech-Technologien ein geschultes Personal für High-Level Cybersecurity voraus. Um dieses Problem zu umgehen, hat Panda Security als erster Anbieter eine vollautomatisierte Lösung entwickelt und stellt diese ab Ende Q1 2019 seinen Nutzern zur Verfügung.