Definition Threat Hunting (Bedrohungssuche) Was ist Threat Hunting?

Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Threat Hunting ist eine proaktive Methode zur Verbesserung der Cyber Security. Sie sucht in Netzwerken und IT-Umgebungen präventiv nach potenziellen Bedrohungen. Im Gegensatz zu klassischen Ansätzen wird nicht gewartet, bis es konkrete Anzeichen für einen Angriff gibt. Der Prozess des Threat Huntings ist gekennzeichnet durch manuelle Tätigkeiten unterstützt von automatisierten Techniken und Tools.

Firma zum Thema

Unter Threat Hunting versteht man eine proaktive Methode zur Suche nach Bedrohungen der Cybersicherheit.
Unter Threat Hunting versteht man eine proaktive Methode zur Suche nach Bedrohungen der Cybersicherheit.
(Bild: gemeinfrei / Pixabay )

Der deutsche Begriff für Threat Hunting lautet Bedrohungssuche. Es handelt sich um eine proaktive Methode zur Verbesserung der Cyber Security. Threat Hunting sucht aktiv nach Bedrohungen im Netzwerk, bevor es konkrete Anzeichen für einen Angriff gibt. Darin unterscheidet sich die Methode von klassischen Ansätzen, die auf spezifische, bereits aufgetretene Alarme oder Events reagieren. Ziel ist es, potenzielle Bedrohungen zu finden, ihre Muster zu isolieren und sie zur Optimierung der vorhandenen Sicherheitssysteme zu nutzen.

Durchgeführt wird die Bedrohungssuche von einem Threat Hunter oder einem Team von Threat Huntern. Ein großer Teil der Tätigkeit ist manuell durchzuführen. Automatisierte Techniken wie "User and Entity Behavior Analytics" (UEBA) und Sicherheits-Tools unterstützen die Threat Hunter, indem sie große Datenmengen mit Hilfe des Maschinellen Lernens (ML) nach abweichenden Verhaltensmustern (Anomalien) untersuchen. So lassen sich verdeckte Indikatoren für Bedrohungen und Kompromittierungen (Indicators Of Compromise - IOC) finden.

Methoden und Funktionsweise des Threat Huntings

Das Threat Hunting ist zu einem großen Teil ein manueller Prozess. Ein Sicherheitsexperte, in diesem Fall als Threat Hunter bezeichnet, durchforstet das Netzwerk und die IT-Systeme nach potenziellen Bedrohungen. Beispielsweise wird nach Angreifern gesucht, die sich bereits Zugriff verschafft haben, aber sich aktuell noch still verhalten. Unterstützt wird der Threat Hunter von automatisierten Techniken wie "User and Entity Behavior Analytics" (UEBA) und Sicherheits-Tools. Sie sind in der Lage, große Datenmengen nach Anomalien und verdächtigen Verhaltensmustern zu durchsuchen. Um potenzielle Risiken aufzudecken, verwenden diese Tools Methoden des Maschinellen Lernens (ML) und Big-Data-Technologien. Gefundene Anomalien werden anschließend vom Threat Hunter genauer untersucht. Die Bedrohungssuche ist ein iterativer Vorgang, der durch wiederholtes, verfeinertes Suchen die getroffenen Annahmen für mögliche Bedrohungen verifiziert. Die Ergebnisse lassen sich verwenden, um die für die Cyber-Sicherheit Verantwortlichen zu informieren und die automatisierten Erkennungssysteme zu optimieren.

Abgrenzung zu klassische Methoden

Threat Hunting unterscheidet sich aufgrund des grundlegend präventiven Ansatzes deutlich von den Konzepten der klassischen Sicherheitssysteme und ihren reaktiven Methoden zur Abwehr von Cyber-Bedrohungen. Systeme wie Intrusion Detection und Intrusion Prevention Systeme (IDS und IPS), Firewalls, Viren- und Malware-Scanner oder Security Information and Event Management (SIEM) reagieren auf bereits aufgetretene Sicherheits-Events. Aktive Maßnahmen zur Abwehr oder weitere Analysen werden erst nach einer erkannten Bedrohung eingeleitet. Threat Hunting hingegen sucht und analysiert die Netzwerke und Systeme ohne, dass konkrete Anzeichen für eine Bedrohung vorliegen müssen.

Vorteile durch den Einsatz des Threat Huntings

Der Einsatz des präventiven Threat Huntings bietet unter anderem folgende Vorteile:

  • Angreifer können sich nicht längere Zeit unbemerkt in der IT-Umgebung bewegen
  • schnellere Erkennung von potenziellen Bedrohungen, ohne dass eine konkretes Sicherheitsereignis vorliegen muss
  • Minimierung der Folgen von Sicherheitsverletzungen
  • Aufdeckung von gefährlichem Benutzerverhalten
  • Optimierung der automatisierten Sicherheitssysteme mit Hilfe der Erkenntnisse des Threat Huntings
  • Verringerung der potenziellen Angriffsfläche und Reduzierung der Risiken für die Cyber Security

(ID:47019080)

Über den Autor