Rolle des Threat-Hunters oft unklar

Threatquotient, Pionier auf dem Markt für Security-Operations-Plattformen, stellt die Ergebnisse der SANS-Studie zum Thema Threat-Hunting 2019 vor. Wichtigstes Ergebnis der von Threatquotient gesponserten Umfrage ist die weltweit vorherrschende Konfusion um den Begriff und die Aufgaben eines Threat-Hunters. Befragt wurden 575 Unternehmen, die entweder selbst Threat-Hunting betreiben oder mit Threat-Huntern zusammenarbeiten.

Beim Threat-Hunting geht es – wie der Name schon vermuten lässt – um das Aufspüren von Bedrohungen. Im Gegensatz zu den Teams der Security-Operations-Center (SOC) und Incident-Response (IR) reagieren Threat-Hunter nicht nur auf Gefahren im Netzwerk, sondern sie suchen proaktiv nach ihnen. Dabei werden Hypothesen zur Existenz potenzieller Bedrohungen aufgestellt, die dann anhand gesammelter Daten entweder bestätigt, oder falsifiziert werden. „Die Realität innerhalb der IT von Unternehmen sieht jedoch oft anders aus“, sagt Markus Auer, Regional Sales Manager CE bei Threatquotient. „In vielen Teams ist die Trennung zwischen SOC, IR und Threat-Hunting zu unscharf und Threat-Hunter werden entgegen ihrer eigentlichen Aufgabe für reaktive Prozesse eingesetzt.“

Markus Auer, Regional Manager Central Europe bei Threatquotient

Die Daten der SANS-Studie bestätigen diese Aussage: Die meisten der befragten Threat-Hunter reagieren auf Alerts (40 Prozent) oder Daten wie Indicators of Compromise aus dem SIEM (57 Prozent). Gerade einmal 35 Prozent der Teilnehmer geben an, beim Threat-Hunting mit Hypothesen zu arbeiten – ein Vorgang, der eigentlich zum Arsenal eines jeden Threat-Hunters gehören sollte. „Das Reagieren auf Bedrohungen ist zwar wichtig für die Sicherheit, allerdings ist das nicht die Hauptaufgabe der Threat-Hunter. Diese sollten vor allem nach Bedrohungen suchen, bevor sie zu einem Alert führen“, betont Auer.

Dass Threat-Hunting bisher noch in den Kinderschuhen steckt, merkt man daran, dass die firmeninterne Priorisierung von Ressourcen nicht immer optimal abläuft. „Viele Unternehmen befinden sich noch in der Implementierungsphase und sind eher gewillt Geld für Tools auszugeben, als für qualifizierte Experten oder die Weiterbildung bestehender Mitarbeiter“, sagt Mathias Fuchs, Certified Instructor bei SANS und Co-Autor der Studie. „Wenn Threat-Hunting durchgeführt wird, ist es eher ein Ad-hoc-Ansatz, als ein geplantes und mit Budget und Ressourcen versehenes Programm“. Tatsächlich steht für 71 Prozent der teilnehmenden Unternehmen die Technologie an erster oder zweiter Stelle was die Ressourcenverteilung beim Threat-Hunting angeht. Bei lediglich 47 Prozent der Befragten liegt der Fokus auf der Einstellung von neuem Personal und bei 41 Prozent auf dem Training von Angestellten.

Aufgrund der proaktiven Natur des Threat-Huntings fällt es Unternehmen oft schwer, den wirtschaftlichen Nutzen dieser Sicherheitsmaßnahmen akkurat zu bemessen. Im besten Fall verhindern die Experten nämlich, dass Bedrohungen überhaupt erst zu einem kritischen Problem werden. Dennoch geben 61 Prozent der Befragten der SANS-Studie an, dass sich ihr allgemeiner IT-Sicherheitsstatus durch Threat-Hunting um mindestens 11 Prozent verbessert hat. Diese Zahlen zeigen, dass die gezielte Suche nach Bedrohungen durchaus wichtig ist und das Investieren in dedizierte Threat-Hunting-Teams für Unternehmen eine messbare Stärkung ihrer IT-Sicherheit bedeutet.

Threat-Hunting-Teams profitieren von einer einzigen Sicherheitsarchitektur, die sich nahtlos in bestehende Prozesse und Technologien integrieren lässt. Eine solche Architektur ist Threatquotient. Diese Lösung beschleunigt und vereinfacht Untersuchungen und die Zusammenarbeit innerhalb von Teams sowie team- und toolübergreifend. Weiterhin werden Anwendungsfälle wie Vorfallsreaktion und das eben genannte Threat-Hunting unterstützt. Threatquotient dient außerdem als Threat-Intelligence-Plattform. Durch Automatisierung, Priorisierung und Visualisierung lassen sich Störungen minimieren und Bedrohungen mit hoher Priorität aufzeigen, um gezielteres Vorgehen zu ermöglichen und eine Entscheidungshilfe für begrenzte Mittel zu bieten.

#Netzpalaver #Threatquotient