Illustration Absmeier foto freepik

Threat Hunting für Behörden

Ein erfolgreicher Cyberangriff auf eine Behörde kann weitreichende Folgen haben, von der Lahmlegung kommunaler IT-Systeme bis zum Ausfall kritischer Infrastrukturen. Dienste und Systeme können über Wochen gestört sein, zudem droht der Verlust vertraulicher Daten. Um solchen Szenarien nicht schutzlos ausgeliefert zu sein, braucht es eine starke und vorausschauende Cybersicherheitsstrategie. Threat Hunting ist dafür ein entscheidender und zentraler Baustein. Als proaktiver Ansatz zur Suche nach bisher unbekannten Schwachstellen und Sicherheitslücken gibt Threat Hunting Behörden die Möglichkeit, potenzielle Angreifer und Bedrohungen schon in einem frühen Stadium zu identifizieren und auszubremsen.

Kommentar von Harald Röder, Senior Solutions Engineer D-A-CH & Central Europe bei Censys

Threat Hunting ist die gezielte Suche nach bisher unentdeckten und unbekannten Bedrohungen innerhalb und außerhalb der eigenen IT-Infrastruktur. Auf Basis von automatisierten Analysen und Warnmeldungen können IT-Security-Teams Datenquellen wie den Traffic im Netzwerk, Protokolle oder Metadaten systematisch auswerten und bewerten, um verdächtige Aktivitäten frühzeitig zu erkennen. Als proaktiver Ansatz ergänzt Threat Hunting andere Strategien für die Cybersicherheit und verbessert die Fähigkeit, unbekannte Bedrohungen und selbst ausgeklügelte Angriffe rechtzeitig zu erkennen und einzudämmen.

Warum Threat Hunting für Behörden entscheidend ist

Hacker und Cyberangriffe entwickeln sich ständig weiter – von Ransomware-Gruppen bis zu staatlich-motivierten Advanced Persistent Threats (APTs). Diese Akteure setzen dynamische Infrastrukturen ein, nutzen Lücken in Cloud-Konfigurationen und handeln in einem Umfang, der selbst für Behörden mit großen IT-Security-Teams eine Herausforderung darstellen kann. In dieser Bedrohungslandschaft reicht es nicht mehr, auf Warnungen zu reagieren und zu handeln, wenn es schon zu spät ist. Daher sollten Behörden aller Art auf Threat Hunting setzen, um Bedrohungen proaktiv zu erkennen: Dann können aufkommende Bedrohungen untersucht, Indicators of Compromise (IOCs) validiert und gegnerische Infrastrukturen im globalen Internet kartiert werden – mit hohen Geschwindigkeiten und in Echtzeit.

Was eine gute Threat-Hunting-Lösung für Behörden auszeichnet

Threat Hunting sollte nahtlos in bestehende Sicherheitsabläufe integriert werden können –automatisiert, skalierbar und mit klaren Schnittstellen zu bestehenden Tools und Arbeitsabläufen. Automatisierte Analysen, kombiniert mit menschlichem Fachwissen von erfahrenen IT-Teams, vereinfachen komplexe Untersuchungen. Dies ermöglicht auch die effiziente Verwaltung und Überwachung von umfangreichen IT-Umgebungen.

Threat Hunting-Lösungen können Behörden unter anderem bei folgenden Aufgaben unterstützen:

proaktive Identifizierung von bösartigen Infrastrukturen, einschließlich C2-Servern und kompromittierten Hosts;
Analyse von globalen Internet-Intelligence-Daten mit Hilfe von Pivots auf Basis von Indikatoren wie JA3, JA4+, JARM und TLSH;
verhaltensbasiertes Tracking von Angreifern in Echtzeit mit Fingerprints und angereichertem Kontext;
Beschleunigung von Untersuchungen mit Live Discovery für die Aufdeckung von bisher unbekannten Konfigurationen in Echtzeit und Live Rescan für die Validierung vorhandener Dienste und die Erkennung von Abweichungen bei Konfigurationen;
Visualisierung historischer und neuer Bedrohungen durch interaktive Dashboards und Zeitleisten;
Automatisierung von Workflows für die Erkennung mit kontextbezogenen Metadaten und konfigurationsbasierten Hashes;
Internet-weite Analyse von Ports, Protokollen, Zertifikaten und Host-Metadaten für einen detaillierten Einblick in die Infrastruktur;
Cloud-unabhängige Abdeckung mit umfassender Sichtbarkeit in AWS-, Azure-, GCP-, Hybrid- und On-Premises-Umgebungen – denn Angriffsflächen machen nicht an Netzwerkgrenzen halt.

Wie Threat Hunting die Cybersicherheit stärkt

Threat Hunting verleiht der Cyberabwehr von Behörden neue Qualitäten. Der Anwendungsbereich ist dabei breit gefächert: Threat Hunting unterstützt die Incident Response, indem es konkrete Indikatoren für Angriffe liefert, bevor ein Angriff eskaliert. Im Kontext von Red Teaming kann Threat Hunting genutzt werden, um eigene Abwehrmechanismen unter realistischen Bedingungen zu testen. Zudem eignet sich der Ansatz zur Erkennung von APT-Infrastrukturen und unterstützt den Schutz von besonders sensiblen Bereichen wie OT-Netzwerken oder kritischen Infrastrukturen mit erweiterten Möglichkeiten für die Erkennung von Angriffen und Schwachstellen.

Threat Hunting ermöglicht unter anderem:

Verkürzung der Erkennungs- und Reaktionszeit: Die frühzeitige Erkennung verdächtiger Aktivitäten– etwa durch ungewöhnliche Nutzung von Ports oder sich häufende fehlgeschlagene Authentifizierungen – kann die Zeit bis zur Identifikation und Eindämmung eines Angriffs erheblich reduzieren. So wird die potenzielle Schadensdauer erheblich verkürzt.
Steigerung der Genauigkeit und Relevanz von Threat Intelligence: Erkenntnisse des Threat Hunting lassen sich in bestehende Threat-Intelligence-Daten integrieren und erhöhen deren Aussagekraft. So können Behörden eigene und kontextbasierte Indikatoren gewinnen, die auf ihre Infrastruktur zugeschnitten sind.
Fokus auf tatsächlich gefährdete Infrastrukturen: Durch die gezielte Untersuchung eigener Systeme und Assets wie Domains, IP-Adressräume, TLS-Zertifikate oder offene Services lässt sich erkennen, welche Komponenten aktuell im Fokus von Angreifern stehen. Das erlaubt eine risikobasierte Priorisierung von Schutzmaßnahmen.
Erkennung von TTPs: Moderne Bedrohungsakteure verändern kontinuierlich ihre Werkzeuge und Methoden. Mit Threat Hunting lässt sich ein Verständnis dafür entwickeln, welche TTPs (Tactics, Techniques, Procedures) Angreifer anwenden. Dadurch lassen sich neue oder veränderte TTPs frühzeitig identifizieren – insbesondere dann, wenn sie sich geschickt tarnen oder legitime Tools zweckentfremden. Dadurch können nicht nur akute Risiken bekämpft, sondern auch Infrastrukturen vorausschauend angepasst werden.

Fazit

Threat Hunting sollte ein wichtiger Bestandteil der Cybersecurity-Strategie von Behörden sein. In Kombination mit einer internetweiten Analyse von Infrastrukturen wird Threat Hunting zum mächtigen Werkzeug, um Angriffsketten zu unterbrechen und Behörden und öffentliche Einrichtungen resilienter gegen Cyberangriffe zu machen. Behörden, die diesen Ansatz implementieren, erhöhen ihre digitale Souveränität und wappnen sich zielgerichtet gegen die digitalen Bedrohungen von heute und morgen.

134 Artikel zu „Threat Hunting“

News | IT-Security | Ausgabe 9-10-2023 | Security Spezial 9-10-2023

Threat Hunting Report 2023 – Angreifer werden immer gewiefter und hartnäckiger

12. Oktober 2023

Die Bedrohungslandschaft hat weiter an Komplexität und Tiefe gewonnen. Der erhebliche Anstieg der Anzahl der Kerberoasting-Angriffe ist besorgniserregend. In einigen Fällen haben Angreifer die Cloud-Umgebungen ihrer Opfer besser unter Kontrolle als die Unternehmen selbst. Zeki Turedi, CTO Europe von Crowd- Strike im Interview zum Threat Hunting Report 2023.