Cybersecurity ist ein Katz- und Mausspiel, das sich ständig weiterentwickelt. Während Security-Experten neue Methoden zum Schutz wertvoller digitaler Vermögenswerte entwickeln, arbeiten Cyberkriminelle an immer raffinierteren Techniken, um diese Abwehrmaßnahmen zu umgehen.
Hier kommt dann die Bedrohungsjagd (Threat Hunting) ins Spiel, also das proaktive Aufspüren heimtückischer Cyber-Schurken. Oder, falls ihr auf einer formelleren Definition besteht, „jeder manuelle oder maschinengestützte Prozess, der darauf abzielt, Security-Vorfälle zu finden, die von den automatischen Erkennungssystemen eines Unternehmens übersehen wurden“. In jedem Fall ist Threat Hunting eine hervorragende Möglichkeit, die automatische Erkennung zu verbessern und den Angreifern einen Schritt voraus zu bleiben.
Wir möchten natürlich, dass unsere Bedrohungsjagd wie eine gut geölte Maschine läuft, also gut dokumentiert und wiederholbar ist, damit wir das Rad nicht ständig neu erfinden müssen. Und genau dafür gibt es das PEAK-Framework zur Bedrohungsjagd, das euch von SURGe by Splunk bereitgestellt wird.
In diesem Blog-Post stellen wir euch diesen bahnbrechenden Ansatz für die Bedrohungsjagd vor, der darauf ausgelegt ist, sich fortlaufend an die dynamische Cybersecurity-Landschaft von heute anzupassen. In den nächsten Monaten werden wir noch VIEL mehr über PEAK und Threat Hunting im Allgemeinen berichten. Dieser Blog ist also nur eine Einführung in das Framework, auf die in Kürze weitere Details folgen werden.
Bevor wir uns eingehender mit PEAK beschäftigen, sollten wir zunächst einmal über Frameworks für die Bedrohungsjagd bzw. Threat-Hunting-Frameworks im Allgemeinen sprechen.
Dabei handelt es sich um ein System aus wiederholbaren Prozessen, das eure Jagdausflüge sowohl zuverlässiger als auch effizienter machen soll. Ein solches Framework hilft euch, folgende Fragen zu beantworten:
Mit einem zuverlässigen Framework verfügt ihr über klare Richtlinien, die für jede Jagd auf eure spezifischen Bedürfnisse zugeschnitten werden können. Im Grunde genommen bietet ein Framework wiederholbare Prozesse und verbessert sowohl eure operative Effizienz als auch die Qualität der Ergebnisse.
Es gibt zwar bereits einige Frameworks, wie etwa das Sqrrl Threat Hunting Reference Model (an dessen Entwicklung ich beteiligt war und das erstmals 2015 veröffentlicht wurde) und TaHiTI, das 2018 vom niederländischen Zahlungsverkehrsverband Betaalvereniging Nederland entwickelt wurde, aber diese sind schon ein bisschen in die Jahre gekommen. Da sich unsere Jagdprogramme ständig weiterentwickeln, brauchen wir ein Framework, das die neuen Erfahrungen und Erkenntnisse der letzten Jahre berücksichtigt.
Und das bringt uns zu PEAK.
PEAK steht für „Prepare, Execute, and Act with Knowledge“ und bringt uns eine neue Threat-Hunting-Perspektive. Es beinhaltet drei verschiedene Methoden für die Bedrohungsjagd:
Jede PEAK-Jagd folgt einem Prozess mit drei Phasen: Vorbereiten (Prepare), Ausführen (Execute) und Handeln (Act). In der Vorbereitungsphase wählen die Jäger Themen aus, recherchieren und planen ihre Suche allgemein. In der Ausführungsphase werden Daten und Analysen vertieft, während in der Handlungsphase der Fokus auf Dokumentation, Automatisierung und Kommunikation liegt. Ganz wichtig ist, dass in jeder Phase Wissen (Knowledge) eingebunden wird, etwa in Form von organisatorischem oder geschäftlichem Fachwissen, Bedrohungsdaten, früheren Erfahrungen der Jäger oder natürlich den Ergebnissen der aktuellen Jagd.
Haben wir eigentlich schon erwähnt, dass PEAK so flexibel ist wie ein Cybersicherheits-Ninja? Wir binden detaillierte Prozessdiagramme und Beschreibungen ein, die zeigen, wie die meisten Jagden vom jeweiligen Typ ablaufen, um euch beim Erstellen eurer speziellen Jagd anzuleiten. Jäger können in jeder Phase Schritte überspringen, hinzufügen oder deren Reihenfolge verändern, um ihren Ansatz an die jeweilige Situation anzupassen.
Hier handelt es sich um den klassischen Ansatz, bei dem Jäger eine Vermutung über potenzielle Bedrohungen und deren Aktivitäten im Netzwerk des Unternehmens anstellen und ihren Verdacht dann mithilfe von Daten und Analysen bestätigen oder widerlegen.
Bei dieser Art von Bedrohungsjagd ermitteln Jäger Basiswerte für das „normale“ Verhalten und suchen dann nach Abweichungen, die auf böswillige Aktivitäten hindeuten könnten.
➡️ Hier erfahrt ihr mehr über das Wer, Was, Wo und Warum von Basiswert-Bedrohungsjagden mit PEAK.
Die M-ATH-Jagd könnte man treffend als „Sherlock Holmes trifft auf künstliche Intelligenz“ umschreiben. Die Jäger verwenden Machine-Learning-Techniken (ML), um Modelle für bekannt gutes oder bekannt bösartiges Verhalten zu erstellen, und suchen nach Aktivitäten, die von diesen Modellen abweichen bzw. mit ihnen übereinstimmen. Diese Methode ist im Prinzip eine Mischung aus der hypothesengetriebenen und der Basiswertmethode, allerdings mit einem erheblichen Maß an Automatisierung durch ML.
➡️ Alle Einzelheiten zu M-ATH findet ihr in diesem speziellen Tutorial.
Nachdem ihr PEAK jetzt kennengelernt habt, fragt ihr euch vielleicht, inwiefern es sich von der Masse abhebt. Nun, hier sind einige seiner besonderen Merkmale:
In der sich ständig wandelnden Welt der Cybersicherheit ist es entscheidend, immer die Nase vorn zu haben. Das PEAK-Framework mit seiner einzigartigen Mischung aus hypothesengetriebenen, Basiswert- und modellgestützten Jagdmethoden bietet einen wiederholbaren, flexiblen und modernen Threat-Hunting-Ansatz. Dadurch können sich Unternehmen effektiver denn je gegen neue Bedrohungen verteidigen.
Und damit sind wir auch schon am Ende unserer Vorschau auf PEAK angelangt. Ihr möchtet mehr wissen? Ausgezeichnet, denn das war erst der Anfang! Seht euch die Begleitartikel, Papers und anderen Medien an, die sich eingehender mit dem PEAK-Framework und der Bedrohungsjagd im Allgemeinen befassen.
Wie üblich ist das Thema Security bei Splunk Teamwork. Dank an Autoren und Mitwirkende: David Bianco, Ryan Fetterman
*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier.
Die Splunk-Plattform beseitigt die Hürden zwischen Daten und Handlungen, damit Observability-, IT- und Security-Teams in ihren Unternehmen für Sicherheit, Resilienz und Innovation sorgen können.
Splunk wurde 2003 gegründet und ist ein globales Unternehmen – mit mehr als 7.500 Mitarbeitern, derzeit über 1.020 Patenten und einer Verfügbarkeit in 21 Regionen rund um den Globus. Mit seiner offenen, erweiterbaren Datenplattform, die die gemeinsame Nutzung von Daten in beliebigen Umgebungen unterstützt, bietet Splunk allen Teams im Unternehmen für jede Interaktion und jeden Geschäftsprozess End-to-End-Transparenz mit Kontext. Bauen auch Sie eine starke Datenbasis auf – mit Splunk.