Wer unsere Reihe zum PEAK-Framework für Threat Hunting verfolgt hat, weiß es womöglich bereits: Threat Hunting dient nicht nur dazu, Security Incidents aufzuspüren, die automatischen Erkennungssystemen entgangen sind. Dies ist eher ein nützlicher Nebeneffekt. Vielmehr geht es beim Threat Hunting jedoch darum, den Sicherheitsstatus sukzessive zu stärken.
Die Stärkung kann auf vielerlei Weise geschehen, worauf wir in künftigen Artikeln zum PEAK-Framework noch näher eingehen werden. Am offensichtlichsten ist jedoch, dass sich mittels Threat Hunting neue Methoden zur Erkennung böswilliger Aktivitäten identifizieren lassen. Das allerdings nützt nur dann wirklich etwas, wenn darauf der nächste logische Schritt folgt. Nämlich, dass ihr die identifizierten Erkennungsmethoden in die Produktion umsetzt, um nicht immer wieder aufs Neue Zeit und Energie zum Aufspüren ein und derselben Bedrohung aufwenden zu müssen. Hierzu gilt es, die jeweilige Methode in eure automatischen Erkennungssysteme zu implementieren, damit ihr eure begrenzte Zeit produktiver einsetzen könnt als fortwährend denselben Dingen hinterherzujagen. Hierzu kann es bereits genügen, einfach eine neue SIEM-Regel zu schreiben. Was aber, wenn eure neue Erkennungsmethode nicht ganz so einfach gestrickt ist?
In diesem Artikel beleuchten wir das PEAK-Framework im Kontext der sogenannten „Hierarchie der Erkennungsausgaben“, einem Modell zur Klassifizierung der verschiedenen Erkennungstypen, in die ihr eure Threat-Hunting-Methoden einordnen könnt. Außerdem klärt das Modell, wann die einzelnen Typen am besten geeignet sind. Sicher, ihr müsst euch nicht strikt daran halten – ähnlich wie der Piratenkodex ist sie eher eine Richtlinie. Dafür aber eine äußerst nützliche, daher sehen wir sie uns nun genauer an.
Die Hierarchie umfasst vier breit angelegte Erkennungskategorien, die nach dem Grad der Automatisierung geordnet sind, den sie bieten. Oder anders ausgedrückt: Danach, in welchem Umfang sie menschliche Eingriffe zum Aufspüren böswilliger Aktivitäten erfordern.
Die PEAK-Hierarchie der Erkennungsergebnisse
Die Hierarchie ist in folgende Ebenen unterteilt (von unten nach oben):
Im Prinzip ist es ganz einfach, die Hierarchie auf eure Threat-Hunting-Aktivitäten anzuwenden. Stellt euch im Anschluss an diese nur folgende Fragen:
Dennoch braucht ihr euch die Wahl nicht allzu schwer machen. Entscheidet euch einfach für das, was euch als das Beste erscheint. Wenn es nicht funktioniert, könnt ihr es jederzeit ändern. Prüft daher immer wieder einmal eure Berichte und Dashboards dahingehend, ob ihr die jeweiligen Erkennungen auch auf höherer Ebene umsetzen könnt.
Bedenkt zudem, dass sich für eine bestimmte Threat-Hunting-Aktivität potenziell auch mehr als ein Erkennungsmechanismus ausmachen lässt. Ihr könnt Erkennungen also auch auf verschiedenen Ebenen der Hierarchie einrichten.
Nachdem die Stärkung eures Sicherheitsstatus das wichtigste Ziel von Threat Hunting darstellt, solltet ihr anhand der dabei gewonnen Erkenntnisse neue Erkennungsmechanismen einrichten. So erzielt ihr die größtmögliche Wirkung. Wichtig ist nur, dass die verschiedenen Erkennungstypen ein unterschiedliches Maß an menschlicher Aufmerksamkeit bei der Verarbeitung erfordern und unterschiedliche Automatisierungsgrade bieten. Die Hierarchie der Ausgaben zu Erkennungen des PEAK-Frameworks erleichtert es euch, die Abdeckung eurer Erkennungsmechanismen zu vergrößern, und trägt zugleich zur Minimierung des Kostenaufwands aufseiten eurer Analystenteams bei.
Wie üblich ist das Thema Sicherheit bei Splunk Teamwork. Dank an Autoren und Mitwirkende: David Bianco, Ryan Fetterman.
*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier.
Die Splunk-Plattform beseitigt die Hürden zwischen Daten und Handlungen, damit Observability-, IT- und Security-Teams in ihren Unternehmen für Sicherheit, Resilienz und Innovation sorgen können.
Splunk wurde 2003 gegründet und ist ein globales Unternehmen – mit mehr als 7.500 Mitarbeitern, derzeit über 1.020 Patenten und einer Verfügbarkeit in 21 Regionen rund um den Globus. Mit seiner offenen, erweiterbaren Datenplattform, die die gemeinsame Nutzung von Daten in beliebigen Umgebungen unterstützt, bietet Splunk allen Teams im Unternehmen für jede Interaktion und jeden Geschäftsprozess End-to-End-Transparenz mit Kontext. Bauen auch Sie eine starke Datenbasis auf – mit Splunk.