Threat Hunting
Threat Hunting bezeichnet einen proaktiven Sicherheitsansatz, bei dem Sicherheitsexperten gezielt nach Hinweisen auf bisher unentdeckte Bedrohungen oder Angreiferaktivitäten in IT-Systemen suchen. Im Gegensatz zur reaktiven Analyse nach einem Vorfall zielt Threat Hunting darauf ab, sich versteckende oder noch nicht erkannte Angriffe frühzeitig aufzuspüren – auch wenn keine Alarme ausgelöst wurden.
Dieser Ansatz wird vor allem in modernen Security Operations Centern (SOCSOC (Security Operations Center) Ein Security Operations Center (SOC) ist eine spezialisierte Organisationseinheit, die für die Überwachung, Erkennu... Mehr) genutzt und ist Bestandteil eines reifegradorientierten Cybersecurity-Frameworks. Threat Hunting ergänzt automatisierte Detection-Systeme wie SIEMSIEM (Security Information and Event Management) SIEM ist eine zentrale Technologie im Bereich der Cybersicherheit, die Sicherheitsinformationen und E... Mehr, EDREDR (Endpoint Detection and Response) Endpoint Detection and Response (EDR) ist eine Sicherheitslösung zur Überwachung und Absicherung von Endgerät... Mehr oder XDRXDR (Extended Detection and Response) Extended Detection and Response (XDR) ist eine erweiterte Sicherheitsplattform, die Daten und Bedrohungen über ... Mehr durch menschliche Intelligenz, Kontextwissen und Hypothesenbildung.
Typische Methoden des Threat Huntings:
- Hypothesenbasiert: Jäger stellen Annahmen auf, z. B. „Gibt es Anzeichen für Lateral Movement?“
- Indikatorbasiert: Suche nach bekannten Indicators of Compromise (IOCs)
- Verhaltensbasiert: Analyse auffälliger Muster (Anomalien, Outlier, Zugriffszeiten)
Werkzeuge & Datenquellen:
- EDR/XDR-Systeme: z. B. CrowdStrike, SentinelOne, Microsoft Defender
- SIEM-Daten: Event- und Log-Korrelation (z. B. Splunk, Sentinel)
- Threat IntelligenceThreat Intelligence (Bedrohungsinformationen) Threat Intelligence (auch: Cyber Threat Intelligence) bezeichnet das strukturierte Sammeln, Analysieren ... Mehr Feeds: z. B. MISP, Anomali, Open Threat Exchange
- Netzwerkdaten & Telemetrie: z. B. NetFlow, DNSDNS (Domain Name System) Das Domain Name System (DNS) ist ein zentraler Dienst im Internet, der für die Übersetzung von menschenlesbaren Domainnamen... Mehr, Proxy-Logs
Ziele und Vorteile:
- Früherkennung von versteckten Bedrohungen und APTs (Advanced Persistent Threats)
- Schließen von Sicherheitslücken, bevor sie ausgenutzt werden
- Steigerung des Reifegrads der Cyberabwehr
Voraussetzungen für effektives Threat Hunting:
- Security-Expertise und kontinuierliche Weiterbildung
- Zugriff auf vollständige Telemetrie- und Logdaten
- Verknüpfung mit MITRE ATT&CKMITRE ATT&CK MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) ist ein öffentlich zugängliches, systematisches Framework zur Besc... Mehr zur systematischen Analyse
Verwandte Begriffe:
SIEM, EDR, XDR, MITRE ATT&CK, SOC, ForensicsForensics (Digitale Forensik) Digitale Forensik – auch Cyber Forensics oder IT-Forensik genannt – bezeichnet die systematische Sammlung, Analyse u... Mehr, IOC, Kill ChainKill Chain (Cyber Kill Chain) Die Cyber Kill Chain ist ein Modell zur systematischen Darstellung von Phasen eines Cyberangriffs. Ursprünglich von Loc... Mehr, Detection EngineeringDetection Engineering Detection Engineering bezeichnet den Prozess der Entwicklung, Implementierung und Optimierung von Erkennungsmechanismen für Cyb... Mehr, Anomaly DetectionAnomaly Detection (Anomalieerkennung) Anomaly Detection bezeichnet Methoden und Technologien zur automatisierten Erkennung von ungewöhnlichen oder ab... Mehr