Aktive Incident Detection

Auf der Jagd nach verborgenen Angreifern

Weshalb warten, bis sich ein Angreifer möglicherweise selbst verrät? Threat Hunting ist eine Methode, um Sicherheitsvorfälle möglichst früh zu erkennen. Dabei durchforsten Security-Spezialisten die eigene Infrastruktur aktiv nach Angriffsspuren. Und können so Schlimmeres verhindern.

Text: Andreas Heer, Bild: Plainpicture,

Im Juni dieses Jahres berichteten verschiedene Medien über einen grossangelegten Cyberangriff auf einen europäischen Telekommunikationsanbieter. «Da sind wir natürlich hellhörig geworden», sagt Andreas Hunkeler, der als Security-Spezialist beim Computer Security Incident Response Team (CSIRT) von Swisscom arbeitet. «Und haben uns gefragt, ob ein solcher Angriff auch auf unsere Infrastruktur erfolgen könnte.»

Eine solche öffentliche Information kann ein Auslöser für Threat Hunting sein, der Suche nach unerkannten Angreifern im eigenen Netz. «Wir nutzen verschiedene Quellen als Auslöser fürs Threat Hunting», meint dazu Andreas Hunkeler. «Neben öffentlichen Hinweisen sind das auch mit uns geteilte Informationen aus Vertrauensgruppen, spezialisierte Quellen wie das MITRE ATT&CK Framework oder der Austausch mit Kollegen von anderen CSIRTs.» Den einsamen Jäger im Cyberspace, den gibt’s höchstens im Film. Cybersecurity ist Teamwork, das gilt auch fürs Threat Hunting. Ein gegenseitiger Informationsaustausch über die Erkenntnisse hilft am Ende allen Unternehmen, sich besser vor Angriffen zu schützen.

Threat Hunting: Die Jagd nach dem Unbekannten

Der Angriff auf das Telekommunikationsunternehmen führte auch bei Swisscom dazu, dass ein Sicherheitsspezialist in die Rolle des Jägers schlüpfte und die unternehmenseigene Infrastruktur auf Angriffsspuren untersuchte. Threat Hunting ist eine Methode zur Erkennung von Sicherheitsvorfällen. Dabei geht es um die Suche nach Angriffsmustern, die für die automatisierten Systeme unerkannt bleiben, weil die Muster zu komplex oder zu unauffällig sind. Dazu Andreas Hunkeler: «Wenn sich ein Benutzer zu einer unüblichen Zeit oder von einem unüblichen Ort aus an einem System anmeldet, ist das jetzt ein Cyberangriff oder ein legitimer Vorgang? Wenn eine Standardsoftware von Angreifern missbraucht wird, wie unterscheidet sich das von der legitimen Nutzung?» Simple Fragen, die aber schwierig zu beantworten sind und im legitimen Fall bei einer automatisierten Erkennung «False Positives», also Fehlalarme, provozieren würden.

Fragen dieser Art stehen am Anfang des Threat Hunting. «Wir stellen zuerst eine Hypothese auf, nach welchen Mustern wir überhaupt suchen wollen», beschreibt Andreas Hunkeler das Vorgehen. «Dieses Fingerprinting ist ein aufwändiger Prozess, bei dem wir Informationen aus verschiedenen Systemen zusammentragen müssen.» Heisst: da ein an sich unverdächtiger Systembefehl, dort ein Anmeldeversuch an einem Server – Threat Hunter müssen Spuren lesen und daraus Muster ableiten können. Eine Aufgabe, die Andreas Hunkeler gefällt: «Das ist ein kreativer und sehr spannender Teil meiner Arbeit. Denn dabei gibt es Spielraum für das Ausprobieren von Detektions-Ansätzen.»

Manchmal ist dieses Muster noch unbekannt, weil die Art des Angriffs zu neuartig und noch zu wenig dokumentiert ist. «Dann untersuchen wir die Infrastruktur auf Anomalien», erklärt Andreas Hunkeler. «Denn den Regelfall kennen wir ja.» So lassen sich auch unbekannte Attacken entdecken. Und manchmal brauchen die Threat Hunter auch einfach etwas Glück – so wie ihre Kollegen in den Wäldern.

Den Reifegrad der IT-Security steigern

Wenn die Cyberjäger einen Angriff erkannt haben, gibt es zwei Aufgaben: Zum einen müssen die TTPs (Techniken, Taktiken und Prozeduren) analysiert werden. Zum anderen gilt es aber, den Angreifer wieder loszuwerden. Dies ist wiederum die Aufgabe des Incident-Handling-Teams. «Ziel des Threat Huntings ist es, die Erkenntnisse nachher für die automatisierten Systeme verfügbar zu machen», beschreibt Andreas Hunkeler den Zweck. Ein gleich gelagerter Angriff würde dann künftig von der Security-Infrastruktur erkannt und idealerweise unterbunden. Damit steigert Swisscom auch den Reifegrad der eigenen IT-Security.

 

Und wenn die Threat Hunter nichts finden, war die Jagd trotzdem sinnvoll, wie Andreas Hunkeler betont: «Wir haben dann eine hohe Gewissheit, dass wir von einem bestimmten Angriffsmuster verschont geblieben sind.» Threat Hunting dient also auch als «Fiebermesser» für die eigene Infrastruktur.

Manchmal stossen die Cyberjäger auch auf überraschende Funde, erzählt Andreas Hunkeler: «Wir haben beim Threat Hunting auch schon einen simulierten Angriff unseres eigenen Red Teams erkannt, von dem wir nichts wussten.»

Hand with smartphone

Newsletter

Möchten Sie regelmässig spannende Artikel und Whitepaper zu aktuellen ICT-Themen erhalten?


Andere Leser interessierte auch: