Threat Hunting
Der Schlaf des Jägers gebiert Ungeheuer
Cyberkriminelle tragen im richtigen Leben weder Hoodie noch Skimaske - warum auch? Doch sie tragen immer öfter eine Zielscheibe auf ihrer virtuellen Brust. Denn mit dem sogenannten "Threat Hunting" machen immer mehr Security-Teams den Schritt von der reaktiven Rolle des Verteidigers zur aktiven des "Bedrohungsjägers": Threat Hunting bedeutet die ständige oder zumindest regelmäßige Suche nach Angreifern und Malware im Unternehmensnetz - also, anders als bei der traditionellen Incident Response (Reaktion auf Sicherheitsvorfälle), ohne erst einen Angriff abzuwarten. Das Problem: Man benötigt routinierte Jäger.
"Fokussierte und gut finanzierte Gegner lassen sich nicht allein mit Security-Boxen im Netzwerk bekämpfen", warnt das SANS Institute, ein US-amerikanischer Anbieter von IT-Sicherheitstrainings. Dass IT-Sicherheit nicht einfach "out of the box" zu kaufen ist, weiß man in den IT-Abteilungen längst. Nicht umsonst haben zahlreiche Unternehmen SOCs (Security Operations Center) etabliert: Sie kämpfen aus einer 24/7-Überwachungszentrale heraus gegen die Angriffsflut, die von Wirtschaftsspionage bis Ransomware reicht.
Mit dem Threat Hunting hat sich das Arsenal der Verteidiger seit ein paar Jahren um eine Vorgehensweise erweitert, mit der das SOC-Team den Schritt von der Reaktion auf Vorfälle hin zur selbst angestoßenen Suche nach Auffälligkeiten macht: Das SANS Institute definiert Threat Hunting als "fokussierten und iterativen Ansatz zur Suche, Identifizierung und zum Verständnis von Gegnern, die in die Netzwerke des Verteidigers eingedrungen sind" [1]. Zur Reaktion auf Anzeichen eines Eindringens (Indicators of Compromise, IoCs), die eine Abwehrlösung per Alarm oder Korrelation gemeldet hat, gesellt sich damit "ein hypothesengetriebener Ansatz zur Validierung der Datenerfassung, -erkennung und -analyse im Vorfeld eines Incidents."
"Leider reagieren die meisten Unternehmen immer noch auf Warnungen und Vorfälle, anstatt proaktiv nach Bedrohungen zu suchen", moniert das Schulungshaus in einer Studie zum Thema, die es 2018 schon zum wiederholten Male durchgeführt und im September letzten Jahres vorgestellt hat. Threat Hunting sei "für viele Unternehmen noch neu und aus Prozess- und Organisationssicht schlecht definiert".
Die Auswertung der Antworten von 600 Unternehmen deute allerdings darauf hin, dass sich die Security-Teams allmählich von einer rein reaktiven Denkweise verabschieden: 43 Prozent der Befragten führen laut der Umfrage bereits regelmäßige Threat-Hunting-Aktionen durch. Im Vorjahr hatte dieser Wert noch bei nur 35 Prozent gelegen.
Zu Größe und Branchen der befragten Unternehmen machte das SANS Institute keine Angaben. Es stellte aber fest, Threat Hunting sei vorrangig bei größeren Unternehmen verbreitet sowie bei solchen, die in der Vergangenheit verstärkt ins Visier von Angreifern gerückt waren. Als Basis für erfolgreiches Threat Hunting erachten die Security-Trainer zweierlei: hochqualifizierte Jäger, die ihr Netzwerk kennen wie ihre Notebook-Tasche, und das Sammeln von Threat Intelligence (Informationen zu Bedrohungslage und Angriffsvektoren).
Jagen und Sammeln 4.0
Jäger und Sammler war der Mensch bekanntlich bereits, als er gerade gelernt hatte, aufrecht zu gehen, scharfkantige Steine als Werkzeug oder Waffe zu gebrauchen und zu rufen: "Mutti, guck mal, was ich kann!" Im Grunde seines Herzens ist er offenbar Jäger und Sammler geblieben. Doch die Beute ist heute eben nicht mehr Selbsterlegtes und Selbstgesammeltes aus Savanne und Wald, sondern nur Plastikverpacktes aus dem schnöden Supermarktregal. So hat sich die Sammelleidenschaft neue Ziele gesucht, von Smartphone-Apps bis zu handsignierten Schallplatten. Auch der Jagdinstinkt bricht sich immer neue Bahnen, von der Schnäppchenjagd über die Mörderjagd in den allgegenwärtigen Krimis bis hin zur Jagd nach Erfolg, Ruhm, Ehre oder Geld.
Eigentlich können sich auch IT-Security-Teams als Jäger begreifen - spätestens seit den 1990ern, als das FBI Eindringlinge wie Kevin Mitnick jagte. Chris Gerritz, Mitbegründer und Chief Product Officer von InfoCyte, einem Softwarehaus für Threat-Hunting-Software, sieht den Rückgriff auf die Rolle des Jägers als besonderen Reiz dieses Ansatzes: "Ein Grund, warum Threat Hunting so gut ankommt, ist wohl psychologischer Natur. Jahrelang beneidete die Cybersicherheits-Community diejenigen, die auf der Angriffsseite standen. Das war sexy, hat glorreiche Momente (,Domänen-Admin innerhalb von 50 Minuten erreicht?) und galt als der Inbegriff der Geschicklichkeit."
Die Verteidigung mit ihren Hygienemaßnahmen und Sicherheitskontrollen versprühte hingegen eher den Charme von "Klempnerei", so Gerritz. "Als die Bedrohungsjäger die Bühne betraten, hatten wir endlich ein Äquivalent auf der Verteidigungsseite: Es ist sexy, erfordert hohe Fertigkeit, und der Moment des Ruhms kommt, wenn man den Angreifer erwischt, bevor er sein Ziel erreicht hat."
Bislang hingegen sahen sich die Security-Spezialisten einer IT-Organisation in der weit weniger selbstbestimmten Rolle von Wächtern einer belagerten Burg. "Der Threat-Hunting-Ansatz gleicht ein wenig die Ungerechtigkeit aus, dass Angreifer nur eine Schwachstelle finden müssen, während die verteidigende Seite alles schützen muss", so Holger Unterbrink, Security Researcher und Technical Leader bei Cisco Talos. Denn der proaktive Ansatz senke das Risiko, dass ein erfolgreicher Angriff unentdeckt bleibt.
Auch wenn die Metapher der Burg längst nicht mehr greift, um die Absicherung einer aktuellen hybriden IT-Umgebung zu beschreiben: Man kann es keinem IT-Mitarbeiter übelnehmen, wenn er sich "belagert" fühlt. Denn Zahl, Ausmaß und Fintenreichtum der Angriffe liegen weiter auf hohem Niveau - bis hin zu Angreifergruppen, die ein bestimmtes Ziel über lange Zeit hinweg und teils auch mit großer Raffinesse ins Visier nehmen (die gefürchteten Advanced Persistent Threats, kurz APTs).
Zu den Cybercrime-Klassikern Finanzbetrug, Adressdatenhandel und Industriespionage haben sich in neuester Zeit zwei weitere "Geschäftsmodelle" gesellt: Erpressung mittels Ransomware sowie Cryptojacking, also das Kapern fremder Rechenleistung für das Schürfen von Cryptowährungen. Die beiden neuen Kompromittierungsarten bieten dem Angreifer den Vorteil, mit wenig Aufwand massenhaft Opfer zu erreichen. Laut IBMs "X-Force Threat Intelligence Index Report" für 2019 [2] hat sich 2018 die Zahl der Ransomware-Angriffe nach dem dramatischen Peak 2017 zwar halbiert, aber wohl nur, weil die Kriminellen mit dem Cryptojacking eine lukrativere und bequemere Einnahmequelle gefunden haben: Das illegale Schürfen wuchs laut X-Force im gleichen Zeitraum um stolze 450 Prozent.
Der Report spricht sogar davon, dass Organisationen aller Branchen letztes Jahr einem "nicht handhabbaren Niveau von Cyberbedrohungen" ausgesetzt waren - eine deutliche Warnung von einer Security-Mannschaft, die laut eigenen Angaben täglich mit 700 Milliarden Security-Events in 130 Ländern zu tun hat. Angreifer haben in den letzten drei Jahren über 11,7 Milliarden Datensätze mit einem Datenvolumen von 11 TByte entwendet, so der Bericht.
Die Finanzindustrie war kaum überraschend laut X-Force mit 19 Prozent der Angriffe das Hauptziel der Kriminellen. In 57 Prozent der Fälle von Datenkompromittierung habe sich die Angreiferseite von Schadcode verabschiedet, um ihre Angriffe mit unauffälligeren Mitteln fortzuführen. Der Eindringling von Welt bevorzugt heute Bordmittel wie PowerShell oder die WMI Command Line Utility.
Ausmaß und Reifegrad der Cyberkriminalität bereiten längst nicht mehr nur IT-Fachleuten Sorgen: Mit zunehmender Abhängigkeit vom Digitalen ist man sich bis auf Vorstandsebene der akuten Bedrohung bewusst - nicht zuletzt dank einiger spektakulärer Vorfälle, über die selbst die Massenmedien und Abendnachrichten berichteten. "Verdeckte Einflussnahme von Russland auf westliche Wahlen einerseits und die massiven Wirtschaftsschäden durch WannaCry oder Petya/NotPetya andererseits schrecken auch den Mittelstand auf", sagt Chris Meidinger, Sales Engineer DACH beim US-amerikanischen Cybersecurity-Anbieter CrowdStrike, denn: "Angriffe können existenzgefährdend sein."
Doch die technischen Sicherheitsmaßnahmen seien oft seit Jahren unzureichend und die Folgen eines sicherheitsrelevanten Vorfalls gravierend. "Deshalb ist Threat Hunting nicht nur Best Practice, sondern inzwischen unerlässlich, um proaktiv nach Spuren von unbefugten Cyberaktivitäten zu suchen", so Meidinger.
Alarmierte Vorstände
"Eine starke Notwendigkeit (für Threat Hunting, d.Red.) ergibt sich aus der Tatsache, dass auch unscheinbare, vermeintlich weniger interessante Unternehmen ins Zielvisier von staatlich finanzierten und ausgebildeten Angreifern geraten", führt der CrowdStrike-Fachmann aus: "Die Angreifer kommen häufig aus dem Militär oder der Staatssicherheit und werden gezielt beauftragt, spezifische Informationen zu gewinnen."
Als Beispiel nennt er den "Made in China 2025"-Plan der chinesischen Regierung, eine Initiative zu globaler Marktführerschaft in bestimmten Technologie- und Produktionsbereichen: "Die strategischen Ziele darin setzen Informationen und Know-how voraus, das in manchen Szenarien direkt aus den Netzwerken westlicher Unternehmen entwendet wird", so Meidinger. Mitteleuropäische Unternehmen, insbesondere KMUs, seien für diese Art der Wirtschaftsspionage selten gerüstet.
"Die Häufigkeit, Komplexität und Schwere von Cyberangriffen auf Unternehmen steigen nicht nur in Deutschland, sondern weltweit exponentiell", bestätigt Rick McElroy, Head of Security Strategy bei Carbon Black, einem US-Spezialisten für Endpoint Detection and Response (EDR): "Angreifer haben nach wie vor erhebliche Vorteile bezüglich Größe und Finanzierung und nutzen diese mit großem Erfolg. Sie verfolgen zunehmend langfristigere und strategischere Ansätze, um Organisationen zu infiltrieren."
Bei innovativen Security-Organisationen bemüht man sich deshalb bereits seit Jahren, über den altbekannten Dreiklang aus Prävention, Detektion und Reaktion hinauszudenken: "Generell ist die Art der Evaluierung eigener Sicherheitskonzepte deutlich näher an das tatsächliche Verhalten der Angreifer gerückt", berichtet Tobias Schubert, Senior Security Engineer bei Vectra, einem Spezialisten für KI-gestützte (künstliche Intelligenz) Angriffserkennung und -abwehr. Er verweist hier auf Pen-Tests und Red Teaming (Durchspielen von Angriffsszenarien).
Angesichts sehr versierter Gegner stelle sich aber die Frage: Wie finde ich einen Angreifer, der nicht zwingenderweise Schadcode einsetzen muss? Prävention allein könne hier nicht helfen: "Die Tatsache, dass trotz ausgereifter und kostspieliger Präventionswerkzeuge immer noch regelmäßig Firmen Opfer von Cyberangriffen werden, spricht sehr deutlich für sich", so Schubert.
Im Visier des Jägers
Mit Einführung des vakuumierten Nackensteaks ist die Jagd nicht ausgestorben: Nach wie vor durchstreifen Jäger - und sicher auch Jägerinnen - Wälder und Lichtungen auf der Suche nach Hirsch, Reh, Fuchs, dem bei Landwirten so unpopulären Wildschwein oder neuerdings auch wieder dem Wolf, sofern dieser den örtlichen Schafbestand allzusehr dezimiert. Abgesehen vom Sonderfall des bösen, aber per Gesetz geschützten Wolfs wird ein Jäger in aller Regel nicht abwarten, bis ein Tierbestand Überhand genommen hat und erheblicher Schaden am Wald entstanden ist. Vielmehr durchstreift er laufend sein Revier. Er kennt das Verhalten der Wildtiere, liest deren Spuren, weiß von den Förstern umliegender Wälder um auffällige Entwicklungen und kann sich damit täglich auf die Lauer legen, damit alles im "grünen Bereich" bleibt.
Nicht anders geht der Bedrohungsjäger im Unternehmensnetz vor: Bewaffnet mit Threat Intelligence und Analyse-Tools für das Aufdecken von Anomalien macht sich der Threat Hunter auf die Suche nach Eindringlingen, die den allseits installierten Security-Lösungen entgangen sind. Auch er sucht lieber vorsorglich, statt zu warten, bis ein Räuber Schaden angerichtet hat. "Hunting ist die Kür in einem SOC-Team, wo hohe Expertise und Ideenreichtum zur Aufdeckung neuer Angriffsmuster führen kann", so Rüdiger Weyrauch, Director Sales Engineering Central and Eastern Europe bei FireEye.
"Das eigentliche Threat Hunting begann bereits vor einigen Jahren, als Cyberkriminelle damit loslegten, Malware im inaktiven Zustand in Netzwerken zu platzieren, um zu einem späteren Zeitpunkt als Nutzer getarnt die Malware zu aktivieren", erinnert sich Karl Klaessig, NetWitness Platform Product Marketing bei RSA. Fortan habe man proaktiv nach Anomalien und insbesondere nach Fake-Usern gesucht, die versuchten, mit falscher Identität auf Netzwerke zuzugreifen.
Hierzulande betreiben laut Carbon Blacks aktuellem Threat Report für Deutschland [3] - einer branchenübergreifenden Umfrage unter 250 CIOs, CTOs und CISOs - bereits 73 Prozent der Unternehmen Threat Hunting. 35 Prozent der Befragten - in der Finanzbranche 60 Prozent - gaben an, Eindringlinge schon seit über einem Jahr zu jagen, 37 Prozent haben hingegen erst in den letzten zwölf Monaten damit begonnen. Fast alle (92 Prozent) der Teilnehmer bekundeten, dass sich ihre Sicherheitslage durch die Jagd verbessert habe. Auch Carbon Black macht zur Größe befragter Unternehmen keine Angaben, aber sie sind immerhin groß genug für die Etablierung der genannten CxO-Rollen. Hier ist zu vermuten, dass es mit abnehmender Unternehmensgröße düsterer aussieht.
Threat Intelligence und ML
Erheblich an Schwung gewonnen haben Abwehrbemühungen dadurch, dass man heute Massen von Metadaten per KI - meist in Form von Machine Learning (ML) - nach Anomalien durchforsten kann. Ergänzend zu Daten aus dem eigenen Netz nutzt Threat Hunting die weltweite Sammlung von Informationen zu Angriffsvektoren und Angreiferverhalten, wie sie diverse IT-Security-Häuser intern nutzen und auch per Abonnement als Threat Intelligence Feed anbieten.
"Zusätzlich zur Verwendung von Threat Intelligence Feeds ist es empfehlenswert, Threat-Intelligence-Sharing-Portale zur Zusammenarbeit mit anderen Experten zu nutzen", rät Carsten Dietrich, Program Director, x-Force Threat Intelligence bei IBM. So könne man Milliarden von Web-Seiten und Bildern mittels KI analysieren, um Missbrauch aufzudecken.
Für die Metadatenhaltung, Analyse und die übergreifende Zusammenarbeit empfehlen Fachleute, über das eigene Unternehmensnetz hinauszudenken: "Es gibt etliche Arten, solche Daten vorzuhalten - unter anderem mittels einer dedizierten Cloud-Plattform", sagt zum Beispiel Chris Meidinger von CrowdStrike. Wichtig sei, dass man schnell auf benötigte Daten zugreifen kann - und umgekehrt im Ernstfall auch schnell Metadaten aus dem Unternehmensnetzwerk entfernen kann, sodass Kriminelle ihre Spuren nicht verwischen können.
Nicht immer ist der böse Wolf zugewandert: "Da viele Angriffe von innen kommen, kann es hilfreich sein, auch das Nutzerverhalten auf Anomalien zu untersuchen", so Carsten Dietrich von IBMs X-Force. Allgemeine Statistikwerkzeuge seien häufig sehr hilfreich bei der Untersuchung großer Datenmengen. Doch auch Tools zur Visualisierung und Analyse, wie sie beispielsweise in der Strafverfolgung zur Anwendung kommen, könne man sinnvoll einsetzen, um kompliziertere Bedrohungszusammenhänge aufzudecken. Und schon befindet man sich mitten in der Diskussion, welche Tools der Bedrohungsjäger für sein Handwerk benötigt.
Digitales Schießgewehr
"Vieles von dem, was über Threat Hunting zu lesen ist, dreht sich darum, wie man bestehende Überwachungswerkzeuge und Protokolle zur Jagd nutzen kann", so InfoCyte-Mann Chris Gerritz. "Dies kann effektiv sein und funktioniert in hochqualifizierten Teams." In seinem Hause glaube man aber, dass es auch einen Platz für dedizierte Lösungen gibt, die einen tieferen Blick auf ein Netzwerk werfen können als die Tools für das 24/7-Monitoring: "Solche Threat-Hunting-Lösungen sind speziell für diese Aufgabe konzipiert und ermöglichen es weniger qualifizierten Analysten, daran teilzunehmen." InfoCyte bietet hier eine dedizierte Software namens Hunt, Alternativen stammen zum Beispiel von Spezialisten wie Sqrrl (2018 von AWS akquiriert), CrowdStrike, Cybereason oder Mantix4.
Diverse Anbieter kommen aus dem EDR-Umfeld, das durch den Response-Anteil einen Threat-Hunting-näheren Ansatz verfolgt als reine Endpoint-Protection-Plattformen. Zudem hat sich unter dem Namen SOAR (Security Orchestration, Automation, and Reporting) eine Softwaregattung herausgebildet, die durch Korrelation von Bedrohungsindikatoren und Automatisierung die Security-Abläufe erleichtern soll, darunter eben auch das Threat Hunting.
"Alle verfügbaren Tools sind nahezu wirkungslos, wenn die generierten Informationen nicht ausgewertet werden können oder wenn die vielen Informationen nur eine sehr komplexe und meist manuelle Prozesskette lostreten", betont Vectra-Mann Tobias Schubert. Dies führe nur zu Fehlern, Verzögerungen und Überlastung des Personals. Er plädiert deshalb für den Einsatz von Orchestrierungs- und Automations-Tools, da diese Komplexität und Aufwand senken, indem sie wiederkehrende Ereignisse mittels Playbooks automatisieren.
"Die Skalierung der nötigen Sicherheitsexpertise ist eine Herausforderung für SOCs aller Größenordnungen", berichtet Karl Klaessig von RSA. Sein Rat: "SOAR-Lösungen sind ein leistungsstarker Multiplikator für Sicherheitsteams, die damit kämpfen, über zielgerichtete Bedrohungen informiert zu bleiben." Denn ein solches Automationswerkzeug koordiniere Incident-Management und -Reaktion. Dies könne Sicherheitsteams helfen, den Fachkräftemangel zu kompensieren, Sicherheitsabläufe konsistenter zu gestalten und so die Zeit für die Erkennung von Vorfällen und die Reaktion darauf deutlich zu verkürzen.
FireEye-Mann Rüdiger Weyrauch rät hier zum Zusammenspiel von EDR, Packet Capturing, einer Sicherheitsplattform und Threat-Intelligence-Daten. Rick McElroy von Carbon Black wiederum merkt an: "EDR-Technologie ermöglicht Threat Hunting, aber es wird letztendlich immer von Menschen durchgeführt, nicht von einer automatisierten Plattform oder Lösung." Mensch und Maschine müssten beim Threat Hunting zusammenarbeiten.
Der Begriff "Mensch und Maschine" verweist auf Fluch und Segen des Threat Huntings: Welche Software auch immer ein Security-Team wählt, um in Intervallen oder gar kontinuierlich Jagdaktionen durchzuführen, letztlich sind immer Hunting-Experten erforderlich - und geeignete Jäger sind im leergefegten Arbeitsmarkt ebenso schwer zu finden wie teuer. Dies stellt eine enorme Hürde dar, will man das Konzept des Threat Huntings nicht nur für Großunternehmen, den gehobenen Mittelstand und MSSPs (Managed Security Service Provider) nutzbar machen, sondern auch für das Gros mittelständischer Unternehmen.
Hilfe kommt aus eher unerwarteter Ecke: von Microsoft. Den Konzern aus Redmond kennen Security-Experten vorrangig als Lieferanten angreifbarer Legacy-Windows-Software mit so netten Details wie dem "Enable Content"-Button, der im Angriffsfall eher "Install Malware" lauten müsste. Zugleich aber ist Microsoft mit Azure auch einer der weltgrößen Hyperscaler - und diese Cloud-Umgebung gilt es mit hauseigenem Know-how und Personal zu schützen: Der Konzern verweist auf Expertise zur Angriffsabwehr angesichts einer Infrastruktur mit "über einer Milliarde Geräten weltweit".
Vor diesem Hintergrund hat Microsoft Ende Februar mit "Threat Experts" einen neuen Managed-Threat-Hunting-Service angekündigt. Kunden von Windows Defender Advanced Threat Protection erhalten mit dem Service nicht nur Nachrichten über zielgerichtete Angriffe: Zugleich können sie per Drop-down-Menü unter dem Punkt "Ask a Threat Expert" einen Security-Analysten von Microsoft nach Bedarf hinzuziehen. Inwieweit die Kunden das Angebot tatsächlich für proaktives Threat Hunting nutzen werden oder doch eher für Support bei der Reaktion auf Sicherheitsvorfälle, sei dahingestellt. Der Service befand sich bei der Ankündigung noch im Closed-Preview-Status. Ob oder wann er auch in Deutschland erhältlich sein wird, konnte das deutsche Microsoft-Team noch nicht sagen.
Machine Learning trifft Vernunft
Auf den ersten Blick erscheint die aktuelle Begeisterung für Threat Hunting als Hype, als "die nächste (Wild-)Sau, die durch das digitale Dorf getrieben wird", wie zuvor schon etwa Intrusion Prevention, Application Firewalls oder auch SOCs. All diese Ansätze haben sich aber inzwischen als nützliche Bausteine einer Sicherheitsarchitektur erwiesen. Der besondere Reiz des Threat Huntings liegt dabei nicht allein im Schritt von der Reaktion zur Aktion. Vielmehr ist Threat Hunting auch ein Indiz dafür, dass die IT-Security-Branche verstanden hat: Man muss Korrelation und Automation, selbst wenn sie KI-gestützt ist, um menschliche Expertise ergänzen. "Der Schlaf der Vernunft gebiert Ungeheuer", das wusste der spanische Maler Goya schon 1799. Auf die IT-Risiken des Jahres 2019 gemünzt heißt das: Mit künstlicher Intelligenz allein wird es nicht gehen.
Erfolgreiche Abwehr benötigt weiterhin die Erfahrung, Intuition und Vernunft des Menschen. Auch Unternehmen unterhalb der DAX 30 sollten deshalb den Threat-Hunting-Markt hellwach beobachten und den Schritt zur vorsorglichen Jagd auf Cyberkriminelle nicht verschlafen. Denn für ihren Geschäftserfolg könnte sich dieser Schlaf als ungeheuer gefährlich erweisen.
Lesen Sie mehr zum Thema
