Im Rahmen des IBM Security Summit 2020 spricht Rukhsar Khan über Threat Hunting und wie damit Security-Verantwortliche die Jagd nach Malware erfolgreicher gestalten können.
Threat Hunting ist dieser Tage ein Thema, das mehr und mehr in den Fokus vieler Security-Experten gerät. So wie dies bei Rukhsar Khan von IBM der Fall ist, zu dessen Leidenschaften nach eigenem Bekunden Cybersecurity im Allgemeinen und Threat Hunting im Speziellen zählen. Na, das passt ja sehr gut auf diesen Blog, da ich mich mit der Jagd nach Cyberbedrohungen auch schon beschäftigt habe, und das in Form eines zweiteiligen Podcasts.
Die Techsession von Rukhsar ist in drei Bereiche gegliedert: Infos zum sechsstufigen SANS Incident Response Plan (Vorfallreaktionsplan), der grundlegende Aufbau eines SOC (Security Operations Center) sowie der Aufbau eines erweiterten SOC mithilfe geeigneter Threat Hunting-Methoden.
[irp posts=“168385″ ]
Das verbirgt sich hinter dem 6-stufigen SANS Incident Response Plan
Der 6-stufige SANS Incident Response-Plan sieht folgende Schritte vor:
Wichtig dabei ist vor allem, ein grundsätzliches Verständnis für die aktuelle Bedrohungslandschaft zu entwickeln. Ist das erfolgt, können erforderliche Gegenmaßnahmen in Form sogenannter Use Cases entwickelt und innerhalb des SOC implementiert werden. Das ist auch die Grundlage für ein erweitertes SOC, das sich neben den eher statischen Security-Regeln bestimmter Threat Hunting-Methoden bedient.
Hierzu gehören Threat Intelligence-Maßnahmen, die zum Beispiel auf dem MITRE ATT&CK-Framework beruhen. Dabei lassen sich aktive Hacker ermitteln, die regelmäßig in negativer Hinsicht auf sich aufmerksam machen. Denn das Wissen über deren Angriffsmuster und Tools ist für den proaktiven Schutz der eigenen Infrastruktur unerlässlich. Dazu gehört unter anderem relevante IOCs, also Domain-Namen und IP-Adressen bekannter Hacker und Hacker-Gruppen.
[irp posts=“159590″ ]
So sieht der grundlegende Aufbau eines SOC aus
Der grundlegende Aufbau eines SOC ohne den Einsatz von Threat Hunting-Methoden ähnelt sich in vielen Fällen. Dazu gehört neben dem Verständnis für die aktuelle Bedrohungslage und die Definition bestimmter Regeln (Use Cases) und deren Implementierung auch der Aufbau eines reaktiven SIEM-Systems, das mögliche Angreifer aufspüren soll. Diese sind im besten Fall schon bekannt, bevor sie überhaupt unerlaubten Zugang zum Firmennetzwerk erlangen. Dann kann nämlich unmittelbar ein Alarm ausgelöst werden, was einen definierten Incident Response zur Folge hat, also die passende Antwort auf den entdeckten Vorfall.
In der Praxis sieht das oft wie folgt aus: Der Antiviren-Scanner hat eine Malware erkannt, was eine entsprechende Reaktion einleitet wie den vollständigen Virencheck des gesamten Systems. Zudem überprüft die Software, ob ein weiteres System angegriffen und ob die Malware bereits ausgeführt wurde. Folge: Die betroffenen Systeme werden isoliert und schließlich von Grund auf neu installiert. Falls der Angriff noch nicht durchgeführt wurde, reicht das Isolieren und Entfernen der Malware vom System.
[irp posts=“157225″ ]
Erweiterte Gefahrenabwehr bedient sich bestimmter Threat Hunting-Methoden
Im Gegensatz zu den eher schlichten Abwehrmechanismen wie einem Antiviren-Scanner lassen sich auf Basis eines erweiterten SOC zahlreiche Fragen beantworten, und das oft proaktiv mittels geeigneter Threat Hunting-Methoden. Hierfür sind deutlich mehr Daten erforderlich als für die herkömmlichen Anti-Malware-Systeme. Damit können Maßnahmen bereits zu einem Zeitpunkt vor einem Angriff eingeleitet werden. Daraus lassen sich Hypothesen ableiten, die einen theoretischen Vorfall genau benennen können.
Es lassen sich also kleinere, schneller überprüfbare Elemente erzeugen. Dies wiederum ermöglicht granulare Erkenntnisse, mit denen sich Aussagen auf den vollständigen Angriff treffen lassen. Das kann im einfachsten Fall eine IP-Adresse oder Domain sein, die bekannte Hacker für ihre Malware-Attacken nutzen. Damit erhält man recht schnell einen ersten Hinweis darauf, dass es sich um einen bösartigen Vorfall handelt. Daraus lässt sich dann Stück für Stück der Angriff vollständig analysieren und am Ende in die implementierten Regeln zurückführen. Denn nur dann können die neuen Erkenntnisse im Falle eines künftigen ähnlichen Angriffs sinnvoll genutzt werden.
Der Techtalk mit Rukhsar Khan in voller Länge
Disclaimer: Für das Verfassen dieses Beitrags hat mich IBM Deutschland via Archetype Agency beauftragt. Beim Erstellen der Inhalte hatte ich nahezu freie Hand.