Was ist die Suche nach Cyberbedrohungen?
Die Suche nach Cyberbedrohungen ist der Prozess der proaktiven Suche nach unbekannten oder nicht erkannten Bedrohungen über das Netzwerk, die Endpunkte und die Daten einer Organisation hinweg.
Funktionsweise der Suche nach Cyberbedrohungen
Die Suche nach Cyberbedrohungen verwendet Bedrohungsexperten, um proaktiv nach potenziellen Bedrohungen und Angriffen innerhalb eines Systems oder Netzwerks zu suchen. Dies ermöglicht agile, effiziente Reaktionen auf zunehmend komplexe, von Menschen betriebene Cyberangriffe. Während herkömmliche Cybersicherheitsmethoden Sicherheitsverletzungen identifizieren, wird die Suche nach Cyberbedrohungen unter der Annahme ausgeführt, dass eine Sicherheitsverletzung aufgetreten ist, und kann potenzielle Bedrohungen sofort nach der Erkennung identifizieren, anpassen und darauf reagieren.
Komplexe Angreifer können in ein Unternehmen eindringen und über längere Zeiträume unentdeckt bleiben – Tage, Wochen oder sogar länger. Das Hinzufügen der Suche nach Cyberbedrohungen zu Ihrem vorhandenen Profil von Sicherheitstools, z. B Erkennung und Reaktion am Endpunkt (EDR) und Security Information & Event Management (SIEM), kann Ihnen helfen, Angriffe zu verhindern und zu beheben, die andernfalls von automatisierten Sicherheitstools nicht erkannt werden könnten.
Automatisierte Bedrohungssuche
Cyberbedrohungsexperten können bestimmte Aspekte des Prozesses mithilfe von Machine Learning, Automatisierung und KI automatisieren. Die Nutzung von Lösungen wie SIEM und EDR kann Bedrohungsexperten dabei helfen, die Suchverfahren zu optimieren, indem sie potenzielle Bedrohungen überwachen, erkennen und darauf reagieren. Bedrohungsexperten können verschiedene Playbooks erstellen und automatisieren, um auf unterschiedliche Bedrohungen zu reagieren, wodurch IT-Teams bei ähnlichen Angriffen die Last verringern.
Tools und Techniken für die Suche nach Cyberbedrohungen
Bedrohungsexperten stehen zahlreiche Tools zur Verfügung, einschließlich Lösungen wie SIEM und XDR, die für die Zusammenarbeit konzipiert sind.
- SIEM: SIEM ist eine Lösung, die Daten aus mehreren Quellen mit Echtzeitanalysen sammelt. SIEM kann Bedrohungsexperten Hinweise zu potenziellen Bedrohungen liefern.
- Extended Detection and Response (XDR): Bedrohungsexperten können XDR verwenden, das Bedrohungsinformationen und automatisierte Angriffsunterbrechungen bereitstellt, um einen besseren Einblick in Bedrohungen zu erhalten.
- EDR: EDR, das Endbenutzergeräte überwacht, bietet Bedrohungsexperten auch ein leistungsfähiges Tool, das ihnen Einblicke in potenzielle Bedrohungen innerhalb aller Endpunkte einer Organisation bietet.
Drei Arten der Suche nach Cyberbedrohungen
Die Suche nach Cyberbedrohungen hat in der Regel eine der folgenden drei Formen:
Strukturiert: Bei einer strukturierten Suche suchen Bedrohungsexperten nach verdächtigen Taktiken, Techniken und Verfahren (TTPs), die auf potenzielle Bedrohungen hindeuten. Anstatt sich den Daten oder dem System zu nähern und nach Sicherheitsverletzungen zu suchen, erstellt der Bedrohungsersteller eine Hypothese über die Methode eines potenziellen Angreifers und arbeitet methodisch daran, Symptome dieses Angriffs zu identifizieren. Da die strukturierte Suche ein proaktiverer Ansatz ist, können IT-Experten, die diese Taktik einsetzen, Angreifer häufig schnell abfangen oder stoppen.
Unstrukturiert: Bei einer unstrukturierten Suche sucht der Cyberbedrohungsexperte nach einem Kompromittierungsindikator (IoC) und führt die Suche von diesem Ausgangspunkt aus durch. Da der Bedrohungsexperte zurückwechseln und verlaufsbezogene Daten nach Mustern und Hinweisen durchsuchen kann, können unstrukturierte Suche manchmal zuvor nicht erkannte Bedrohungen identifizieren, die die Organisation weiterhin gefährden könnten.
Situational: Die bedrohungsbezogene Bedrohungssuche priorisiert bestimmte Ressourcen oder Daten innerhalb des digitalen Ökosystems. Wenn eine Organisation bewertet, dass bestimmte Mitarbeiter oder Ressourcen die höchsten Risiken darstellen, kann sie Cyberbedrohungsexperten anweisen, die Bemühungen zu konzentrieren oder Angriffe auf diese anfälligen Personen, Datasets oder Endpunkte zu verhindern oder zu beheben.
Schritte und Implementierung zur Bedrohungssuche
Cyberbedrohungsexperten führen häufig diese grundlegenden Schritte aus, wenn sie Bedrohungen und Angriffe untersuchen und beheben:
- Eine Theorie oder Hypothese zu einer potenziellen Bedrohung erstellen. Bedrohungsexperten können beginnen, indem sie die allgemeinen TTPs eines Angreifers identifizieren.
- Untersuchungen durchführen. Bedrohungsexperten untersuchen die Daten, Systeme und Aktivitäten des Unternehmens – eine SIEM-Lösung kann ein nützliches Tool sein – und sammeln und verarbeiten relevante Informationen.
- Trigger identifizieren. Forschungsergebnisse und andere Sicherheitstools können Bedrohungsexperten dabei helfen, einen Ausgangspunkt für ihre Untersuchung zu unterscheiden.
- Bedrohung untersuchen. Bedrohungsexperten verwenden ihre Forschungs- und Sicherheitstools, um zu ermitteln, ob die Bedrohung schädlich ist.
- Reagieren und wiederherstellen. Bedrohungsexperten ergreifen Maßnahmen, um die Bedrohung zu beheben.
Arten von Bedrohungen, die Bedrohungsexperten erkennen können
Die Suche nach Cyberbedrohungen verfügt über die Möglichkeit, eine Vielzahl verschiedener Bedrohungen zu identifizieren, einschließlich der folgenden:
- Schadsoftware und Viren: SchadsoftwareSchadsoftware verhindert die Verwendung normaler Geräte, indem nicht autorisierter Zugriff auf Endpunktgeräte erlangt wird. PhishingPhishing-Angriffe, Spyware, Adware, Trojaner, Würmer und Ransomware sind Beispiele für Schadsoftware. Viren, einige der häufigsten Formen von Schadsoftware, sind so konzipiert, dass sie den normalen Betrieb eines Geräts beeinträchtigen, indem sie ihre Daten aufzeichnen, beschädigen oder löschen, bevor sie sich auf andere Geräte in einem Netzwerk verteilen.
- Insiderbedrohungen: Insiderbedrohungen stammen von Personen mit autorisiertem Zugriff auf das Netzwerk einer Organisation. Ob durch böswillige Handlungen oder versehentliches oder fahrlässiges Verhalten, diese Insider missbrauchen oder schädigen die Netzwerke, Daten, Systeme oder Einrichtungen des Unternehmens.
- Komplexe anhaltende Bedrohungen: Komplexe Akteure, die das Netzwerk einer Organisation verletzen und für einen bestimmten Zeitraum unentdeckt bleiben, stellen fortgeschrittene permanente Bedrohungen dar. Diese Angreifer sind erfahren und oft gut ausgereift.
Social Engineering-Angriffe: Cyberangreifer können die Mitarbeiter eines Unternehmens durch Manipulation und Täuschung dazu verleiten, Zugang zu vertraulichen Informationen zu gewähren. Zu den gängigen Social Engineering-Angriffen gehören Phishing, Baiting und Scareware.
Suche nach Cyberbedrohungen – Best Practices
Beachten Sie beim Implementieren eines Protokolls zur Suche nach Cyberbedrohungen in Ihrer Organisation die folgenden Best Practices:
- Bieten Sie Bedrohungsexperten vollständige Einblicke in Ihre Organisation. Bedrohungsexperten sind am besten erfolgreich, wenn sie das große Ganze verstehen.
- Ergänzende Sicherheitstools verwalten, z. B. SIEM, XDR und EDR. Cyberbedrohungsexperten verlassen sich auf Automatisierungen und Daten, die von diesen Tools bereitgestellt werden, um Bedrohungen schneller und mit größerem Kontext für eine schnellere Lösung zu identifizieren.
- Bleiben Sie über die aktuellen neuen Bedrohungen und Taktiken auf dem Laufenden. Angreifer und ihre Taktiken entwickeln sich ständig weiter – stellen Sie sicher, dass Ihre Bedrohungsexperten über die aktuellsten Ressourcen zu aktuellen Trends verfügen.
- Mitarbeiter schulen, verdächtige Verhaltensweisen zu identifizieren und zu melden. Verringern Sie die Wahrscheinlichkeit von Insiderbedrohungen, indem Sie Ihre Mitarbeiter auf dem Laufenden halten.
- Implementieren Sie Sicherheitsrisikomanagement zur Verringerung des Gesamtrisikorisikos Ihrer Organisation.
Warum die Bedrohungssuche für Organisationen wichtig ist
Da böswillige Akteure in ihren Angriffsmethoden immer komplexer werden, ist es für Organisationen wichtig, in die proaktive Suche nach Cyberbedrohungen zu investieren. Ergänzend zu passiveren Formen des Bedrohungsschutzes schließt die Suche nach Cyberbedrohungen Sicherheitslücken, sodass Organisationen Bedrohungen beseitigen können, die andernfalls unentdeckt bleiben würden. Die Abwehr von Bedrohungen durch komplexe Angreifer bedeutet, dass Organisationen ihre Verteidigung verstärken müssen, um das Vertrauen in ihre Fähigkeit zum Umgang mit vertraulichen Daten zu wahren und die Kosten im Zusammenhang mit Sicherheitsverletzungen zu senken.
Produkte wie Microsoft Sentinel können Ihnen dabei helfen, Bedrohungen einen Schritt voraus zu sein, indem Sie historische Daten in der Cloud erfassen, speichern und auf diese zugreifen, Untersuchungen optimieren und allgemeine Aufgaben automatisieren. Diese Lösungen können Cyberbedrohungsexperten mit leistungsstarken Tools bereitstellen, um Ihre Organisation zu schützen.
Mehr erfahren über Microsoft Security
Microsoft Sentinel
Erkennen und bekämpfen Sie Bedrohungen unternehmensweit mit intelligenten Sicherheitsanalysen.
Microsoft Defender Experten für Bedrohungssuche
Für die proaktive Bedrohungssuche, die über Endpunkte hinausgeht.
Microsoft Defender Threat Intelligence
Schützen Sie Ihr Unternehmen vor neuartigen Angriffen und Bedrohungen wie Ransomware.
SIEM und XDR
Erkennen, untersuchen und reagieren Sie auf Bedrohungen in Ihrem gesamten digitalen Bestand.
Häufig gestellte Fragen
-
Ein Beispiel für die Suche nach Cyberbedrohungen ist eine hypothesenbasierte Suche, bei der der Bedrohungsexperten vermutete Taktiken, Techniken und Verfahren identifiziert, die ein Angreifer verwenden könnte, und dann innerhalb eines Unternehmensnetzwerks nach Beweisen dafür sucht.
-
Die Bedrohungserkennung ist ein aktiver, häufig automatisierter Ansatz für Cybersicherheit, während die Bedrohungssuche ein proaktiver, nicht automatisierter Ansatz ist.
-
Ein Security Operations CenterSecurity Operations Center (SOC) ist eine zentrale Funktion oder ein zentrales Team, entweder vor Ort oder auslagert, das dafür verantwortlich ist, den Cybersicherheitsstatus einer Organisation zu verbessern und Bedrohungen zu verhindern, zu erkennen und darauf zu reagieren. Die Suche nach Cyberbedrohungen ist eine der Taktiken, die SOCs verwenden, um Bedrohungen zu identifizieren und zu beheben.
-
Tools für die Suche nach Cyberbedrohungen sind Softwareressourcen, die IT-Teams und Bedrohungsexperten zur Verfügung stehen, um Bedrohungen zu erkennen und zu beheben. Beispiele für Tools für die Bedrohungssuche sind Antiviren- und Firewallschutz, EDR-Software, SIEM-Tools und Datenanalysen.
-
Der Hauptzweck der Suche nach Cyberbedrohungen besteht darin, komplexe Bedrohungen und Angriffe proaktiv zu erkennen und zu beheben, bevor sie der Organisation schaden.
-
Cyber Threat Intelligence sind die Informationen und Daten, die von Cybersicherheitssoftware gesammelt werden, häufig automatisch als Teil ihrer Sicherheitsprotokolle erfasst, um sich besser vor Cyberangriffen zu schützen. Die Bedrohungssuche umfasst das Erfassen von Informationen, die von Threat Intelligence gesammelt wurden, und deren Verwendung, um Hypothesen und Aktionen zur Suche nach und Behebung von Bedrohungen zu informieren.
Microsoft Security folgen