Was ist proaktive Bedrohungssuche?

Bei der proaktiven Bedrohungssuche werden Bedrohungen, die sich im Netzwerk einer Organisation verbergen, aktiv ausgemerzt, bevor sie zu Angriffen werden und Schaden anrichten können. Dabei wird menschliches Fachwissen mit ML-gesteuerter Anomalieerkennung und -analyse kombiniert, um verdächtige Aktivitäten aufzudecken, die von herkömmlichen Sicherheitsmechanismen oft übersehen werden.

Was ist der Unterschied zwischen Threat Hunting und Threat Intelligence?

Threat Intelligence sind Daten – zu aufkommenden Trends, bekannten Bedrohungen und mehr –, die Analysten und Sicherheitslösungen interpretieren können, um Bedrohungen zu verstehen und Risiken zu kontextualisieren. Als Threat Hunting wird die praktische Anwendung dieser Daten bezeichnet, indem Analysten in Echtzeit nach versteckten Bedrohungen suchen.

Wann sollten Sie Threat Hunting einsetzen?

Effektive Sicherheitsstrategien für Unternehmen beinhalten die Bedrohungssuche als integralen, fortlaufenden Bestandteil. Regelmäßige Threat-Hunting-Übungen, auch wenn kein akuter Angriffsverdacht besteht, können dabei helfen, versteckte Bedrohungen und Schwachstellen in Ihrer Umgebung zu identifizieren. Konsequente Bedrohungssuche stärkt die Sicherheitslage Ihres Unternehmens gegenüber bekannten und unbekannten Bedrohungen.

Wo sollten Sie Threat Hunting einsetzen?

Bedrohungen werden immer zahlreicher und komplexer. Daher gibt es in den verteilten Netzwerken und Cloud-Workloads von heute keinen Winkel der IT-Umgebung, den Threat-Hunting-Experten ignorieren dürfen. Die Bedrohungssuche sollte sich auf alle Schichten des Netzwerks, alle IT-Ressourcen (Endgeräte, Server, Clouds, kritische Anwendungen usw.) und alle Useraktivitäten erstrecken.

Wie hilft erweiterter Speicher bei der Bedrohungssuche?

Durch den erweiterten Speicher können Sie größere Mengen historischer Daten und Protokolle aufbewahren. So erhalten Sie einen größeren Datensatz, mit dem Ihre Threat-Hunting-Experten historische Muster, Anomalien und IOCs, die zuvor möglicherweise übersehen wurden, korrelieren und untersuchen können. Dies wiederum hilft ihnen, hartnäckige Bedrohungen zu identifizieren, die zuvor möglicherweise unentdeckt blieben.

Zscaler: Ein Leader im Gartner® Magic Quadrant™ 2024 für Security Service Edge (SSE)

Zum Report

Ihre Welt, sicher

Erleben Sie, wie Zero Trust Ihre Organisation transformieren kann.

Der Unterschied durch Zscaler

Erleben Sie die weltweit größte Security Cloud

Erfolgsgeschichten unserer Kunden

Positive Analystenbewertung

Maschinelles Lernen und KI bei Zscaler

Für eine bessere CO2-Bilanz

Grundlagen von Zero Trust

Was ist Zero Trust?

Was ist Security Service Edge (SSE)?

Was ist Zero Trust Network Access (ZTNA)?

Was versteht man unter Secure Web Gateways (SWG)?

Was ist ein Cloud Access Security Broker (CASB)?

Was versteht man unter Secure Access Service Edge (SASE)?

What is Data Security Posture Management (DSPM)?

Ressourcen zu Zero Trust

Zuverlässiger Schutz für User

Ihre User erhalten nahtlosen, sicheren und zuverlässigen Zugriff auf Anwendungen und Daten.

Schutz von Workloads

Zscaler unterstützt die Entwicklung und Ausführung sicherer Cloud-Anwendungen, gewährleistet Cloud-Konnektivität nach dem Zero-Trust-Prinzip und schützt Ihre Workloads im Rechenzentrum genauso zuverlässig wie in der Cloud.

Sicherheit für IoT- und OT-Geräte

Zscaler bietet Zero-Trust-Konnektivität für IoT- und OT-Geräte sowie sicheren Remotezugriff auf OT-Systeme.

Produkte

Komplett Cloud-native Services gewährleisten den Erfolg Ihrer digitalen Transformation

Sicherer Zugriff aufs Internet (ZIA)

Sicherer Zugriff auf private Anwendungen (ZPA)

Digital Experience (ZDX)

Datenschutz (CASB/DLP)

Lösungsbereiche

Zero-Trust-Lösungen schützen und vernetzen Ihre Ressourcen – für ein ungehindertes Wachstum Ihres Unternehmen

Schutz vor Cyberbedrohungen

Data Protection

Zero Trust Networking

Business Analytics

Alternative zu VPN

Zero Trust SASE

Schnellere Integration bei Fusionen und Übernahmen

Hervorragende digitale Anwendererfahrungen

Zero Trust SD-WAN

Zero Trust Cloud Connectivity

Zero Trust für IoT/OT

Data Security Posture Management (DSPM)

Produkte und Lösungen finden

Partnerintegrationen Branchen- und marktspezifische Lösungen

Zero-Trust-Exchange-Plattform

Erfahren Sie, wie Zscaler mit einer Cloud-nativen Plattform, der größten Security Cloud der Welt, Zero-Trust-Sicherheit bereitstellt.

Transformation dank Zero-Trust-Architektur

Neuer Schub für Ihren Weg zur Transformation

Sichere digitale Transformation

Transformation von Anwendungen

Netzwerk-Transformation

Sicherheitstransformation

Sicherheit für Ihre Geschäftsziele

Erfolgreiche Geschäfts- und IT-Initiativen

Gesicherte Business Continuity

Accelerate M&A and Divestitures

Schutz für Unternehmen in wirtschaftlich herausfordernden Zeiten

Schutz für hybride Belegschaft

Zscaler Client Connector herunterladen

Schulung, Austausch und Support.

Lernen Sie die Tools und Ressourcen kennen, die Sie dabei unterstützen, Ihre Transformation zu beschleunigen und Ihr Unternehmen zu schützen.

Eine Plattform für Wegbereiter von Digitalisierung und Zero Trust

Jetzt besuchen

Immer die aktuellen Best Practices

Ressourcenbibliothek

Blog

Erfolgsgeschichten unserer Kunden

Webinare

Zpedia

Programme, Zertifizierungen und Events

Anstehende Events

Zenith Live

Zscaler Academy

Studien und Erkenntnisse einfach abrufbar

ThreatLabz-Analysen

Speziell entwickelte Tools

Security Preview

Sicherheits- und Risikobewertung

Aktuelle Sicherheitswarnungen

Erkennung von Sicherheitsrisiken

Executive Insights App

ROI-Rechner für Ransomware-Schutz

Austausch und Support

Customer Success Center

Zenith Community

CXO REvolutionaries

Zscaler Hilfe-Portal

Lösungen für Ihre Branche und Ihr Land

Öffentliche Hand

Gesundheitswesen

Finanzdienstleistungen

Education

Alle anzeigen

Ressourcen-Center

Immer die aktuellen Best Practices

Ressourcenbibliothek

Blog

Erfolgsgeschichten unserer Kunden

Webinare

Zpedia

Events und Schulungen

Programme, Zertifizierungen und Events

Anstehende Events

Zenith Live

Zscaler Academy

Studien und Services zum Thema Sicherheit

Studien und Erkenntnisse einfach abrufbar

ThreatLabz-Analysen

Instrumente

Speziell entwickelte Tools

Security Preview

Sicherheits- und Risikobewertung

Aktuelle Sicherheitswarnungen

Erkennung von Sicherheitsrisiken

Executive Insights App

ROI-Rechner für Ransomware-Schutz

Community und Support

Austausch und Support

Customer Success Center

Zenith Community

CXO REvolutionaries

Zscaler Hilfe-Portal

Branchen- und marktspezifische Lösungen

Lösungen für Ihre Branche und Ihr Land

Öffentliche Hand

Gesundheitswesen

Finanzdienstleistungen

Education

Alle anzeigen

Über Zscaler

Rückblick und Ausblick

Partner

Unsere Partner, Systemintegratoren und Technologieallianzen

News und Ankündigungen

Auf dem Laufenden mit den aktuellen News

Führungsteam

Das Führungsteam stellt sich vor

Partnerintegrationen

Für Investoren

News, Aktieninformationen und Quartalsberichte

Umwelt, Soziales und Governance

Unser ESG-Ansatz

Karriere

Teil unserer Mission werden

Pressezentrum

Sämtliche Ressourcen für die Berichterstattung zu Zscaler

Compliance

Wie wir strenge Standards erfüllen

Zenith Ventures

Wie wir strenge Standards erfüllen

Zpedia

/ Was ist Threat Hunting?

Was ist Threat Hunting?

Als Threat Hunting wird ein proaktiver Ansatz zum Aufspüren potenzieller Bedrohungen und Cybersicherheitslücken in den Netzwerken und Systemen einer Organisation bezeichnet. Er kombiniert menschliche Sicherheitsanalysten, Bedrohungsinformationen und zukunftsweisende Technologien, die Verhaltensanalysen durchführen, Anomalien erkennen und Indikatoren für eine Kompromittierung (IOCs) identifizieren, die herkömmlichen Sicherheitstools möglicherweise entgehen. Experten für Threat Hunting sind bestrebt, Bedrohungen frühzeitig zu erkennen und zu neutralisieren, um ihre potenziellen Auswirkungen zu minimieren.

Aktuelle Bedrohungsanalysen

Schutz vor Cyberbedrohungen Data Protection

Deshalb ist ZTNA wichtig
Funktionsweise
Wichtige Tools
Schlüsselpersonen
Erste Schritte
Schutz durch Zscaler
Empfohlene Ressourcen
FAQs
Ähnliche Themen

Warum ist die Bedrohungssuche wichtig?

Da Datenlecks immer häufiger und teurer werden, ist ein Threat-Hunting-Programm ein zentraler Bestandteil einer zukunftsfähigen Sicherheitsstrategie. Unternehmen profitieren von einer Reihe von Vorteilen:

Proaktive Abwehr potenzieller Risiken und versteckter Bedrohungen, Verbesserung des allgemeinen Sicherheitsstatus und Minimierung von Risiken, bevor diese eskalieren, Verhinderung potenzieller Datenlecks.
Ermöglichung einer schnelleren Reaktion auf Vorfälle und Reduzierung der Verweildauer von Bedrohungen durch die Kombination automatisierter Tools und menschlicher Expertise für eine präzisere Bedrohungserkennung.
Reduziertes Risiko von finanziellen und Reputationsschäden, Datenverlusten usw. angesichts immer häufigerer Angriffe mit kostspieligen Folgen.

Die weltweiten Durchschnittskosten eines Datenschutzverstoßes stiegen von 2020 bis 2023 um 15 % auf 4,45 Million USD.

— Cost of a Data Breach Report 2023, IBM

Wie funktioniert die Bedrohungssuche?

Bei der effektiven Suche nach Bedrohungen geht es um praktische Untersuchung, Prävention und Risikominderung. Dabei handelt es sich quasi um ein Wettrüsten mit Bedrohungsakteuren, die ständig daran arbeiten, die Geschwindigkeit, Häufigkeit und Raffinesse ihrer Angriffe zu steigern. Die Bedrohungssuche besteht aus vier Schritten:

1. Daten erfassen und analysieren

Threat-Hunting-Experten erfassen riesige Datenmengen innerhalb und außerhalb des Netzwerks der Organisation, darunter Protokolle, Traffic- und Endgerätedaten sowie Bedrohungsinformations-Feeds. Mithilfe von Verhaltensanalysen und maschinellem Lernen lässt sich aus diesen Daten eine Baseline für normales Verhalten ermitteln. Jede Abweichung hiervon könnte auf eine potenzielle Bedrohung hinweisen.

2. Eine Hypothese entwickeln

Basierend auf den Ergebnissen der Datenanalyse ermitteln Threat-Hunting-Experten eine Baseline für normales Verhalten. Abweichungen davon werden als potenzielle Hinweise auf Malware oder andere Sicherheitsvorfälle gewertet.

3. Untersuchen und validieren

Threat-Hunting-Experten suchen nach IOCs, Anzeichen böswilliger Aktivitäten oder ungewöhnlichen Mustern in den Daten, indem sie den Netzwerk-Traffic untersuchen, Protokolle überprüfen, Aktivitäten an Endgeräten prüfen usw.. Ziel ist es zu überprüfen, ob die Indikatoren auf tatsächliche Bedrohungen hinweisen oder lediglich Fehlalarme sind. Die Validierung ist von entscheidender Bedeutung, damit Organisationen schneller und effizienter auf Bedrohungen reagieren können.

4. Kontinuierliche Verbesserung

Um kontinuierlich auf neuartige Bedrohungen zu reagieren, verläuft der Threat-Hunting-Prozess zyklisch: Threat-Hunting-Experten wenden gewonnene Erkenntnisse an, um ihre Techniken zu präzisieren, ihre Hypothesen zu aktualisieren, neue Bedrohungsinformationen und Sicherheitslösungen einzubeziehen usw..

Arten der Bedrohungssuche

Die konkrete Vorgehensweise der Threat-Hunting-Experten hängt von den Informationen ab, die ihnen im Vorfeld zur Verfügung stehen. Hat beispielsweise ein Bedrohungs-Feed neue, spezifische Informationen zu einem neuen Malware-Typ bereitgestellt, etwa Signaturdaten? Hat die Organisation einen plötzlichen Anstieg des ausgehenden Traffics bemerkt?

Die zielorientierte Bedrohungssuche (auch als strukturierte Suche bekannt) basiert auf Hypothesen oder bestimmten IOCs, die als Leitfaden für die Untersuchung dienen. Wenn Threat-Hunting-Experten beispielsweise wie oben erwähnt spezifische Informationen über neu auftretende Schadsoftware erhalten, können sie in ihrer Umgebung nach bekannten Anzeichen dieser Schadsoftware suchen.

Die ziellose Bedrohungssuche (auch unstrukturierte Suche genannt) ist nicht auf bestimmte Hinweise oder Indikatoren angewiesen. Stattdessen nutzen Threat-Hunting-Experten Techniken der Datenanalyse- und Anomalieerkennung, um z. B. den oben erwähnten Anstieg des Traffics aufzudecken und von dort aus dann die Ursache der Anomalie zu untersuchen.

Diese Ansätze schließen sich nicht gegenseitig aus. Threat-Hunting-Experten müssen sich im Rahmen einer umfassenden Methodik häufig auf eine Kombination aus beiden verlassen.

Vorteile der Automatisierung bei der Suche nach Cyberbedrohungen

Für eine effektive Bedrohungssuche ist Automatisierung, gepaart mit menschlichem Querdenken und Kreativität, von entscheidender Bedeutung. Böswillige Akteure nutzen jeden sich bietenden Vorteil aus, was heutzutage bedeutet, dass sie für ihre Angriffe zunehmend künstliche Intelligenz und Automatisierung einsetzen. Mit anderen Worten: Es handelt sich um ein klassisches Beispiel dafür, wie man Feuer mit Feuer bekämpft.

Durch die Automatisierung werden große Datenmengen in Echtzeit und weitaus effizienter erfasst, korreliert und Anomalien darin identifiziert, was die Erkennung und Reaktion auf Bedrohungen beschleunigt. Dadurch haben menschliche Analysten mehr Zeit und Aufmerksamkeit, um sich auf Vorfälle zu konzentrieren, die differenzierte, kontextbezogene Entscheidungen erfordern oder bei denen historische Sicherheitsdaten für die Entscheidungsfindung durch automatisierte Tools fehlen.

Modelle und Methoden zur Bedrohungssuche

Verschiedene Modelle und Methoden zur Bedrohungssuche helfen den Threat-Hunting-Experten dabei, Bedrohungen zu erkennen, zu untersuchen und einzudämmen, wobei der Schwerpunkt auf unterschiedlichen Aspekten liegt. Einige gängige Modelle sind:

MITRE ATT&CK Framework

Eine Wissensdatenbank bekannter gegnerischer TTPs, das MITRE ATT&CK Framework, bietet eine standardisierte Möglichkeit, Bedrohungsverhalten in verschiedenen Phasen eines Angriffs zu kategorisieren und zu analysieren, und unterstützt Threat-Hunting-Experten dabei, ihre Erkennungs- und Reaktionsmaßnahmen aufeinander abzustimmen.

Lockheed Martin Cyber-Kill Chain

Dieses Modell unterteilt einen Cyberangriff in sieben Phasen, von der Aufklärung bis zur Exfiltration, um die proaktive Suche nach Bedrohungen zu unterstützen, indem es Schwachstellen und potenzielle Minderungsstrategien identifiziert, die an verschiedenen Punkten der Angriffskette wirksam sind.

Lebenszyklus von Cyber-Bedrohungsinformationen

Dieser kontinuierliche Prozess des Erfassens, Analysierens und Verbreitens von Bedrohungsinformationen hilft Threat-Hunting-Experten dabei, zeitnahe, relevante Bedrohungsinformationen in ihre Erkennungs- und Reaktionsmaßnahmen zu integrieren, sodass Unternehmen aufkommenden Bedrohungen immer einen Schritt voraus sind.

Lesen Sie mehr in unserem Beitrag„Was ist Threat Intelligence?“

OODA-Schleife (Observe, Orient, Decide, Act)

Dieses ursprünglich für die US Air Force entwickelte vierstufige Framework hilft Threat Huntern dabei, Informationen über sich entwickelnde Bedrohungen zu kontextualisieren, um sich schneller an veränderte Situationen anzupassen, fundierte Entscheidungen zu treffen und wirksame Maßnahmen zu ergreifen.

Diamantmodell der Intrusionsanalyse

Dieses Framework zur Zuordnung von Cyberbedrohungen definiert die vier Kernmerkmale einer Eindringaktivität – Gegner, Infrastruktur, Opfer und Fähigkeit – und ihre Beziehungen zueinander, um Threat-Hunting-Experten dabei zu unterstützen, das Wer, Was, Wo und Wie eines Angriffs zu verstehen.

Tools zur Bedrohungssuche

So wie es viele Suchmethoden gibt, gibt es auch viele Tools für Threat-Hunting-Experten. Einige der gängigen Technologien:

Toolsfür Security Information and Event Management (SIEM) erfassen und analysieren Protokolldaten aus dem Netzwerk einer Organisation und stellen eine zentrale Monitoring-Plattform mit Warnmeldungen bereit.
Toolsfür die Netzwerkverkehrsanalyse (NTA) analysieren Netzwerkverkehrsmuster und -verhalten, um verdächtige Aktivitäten zu erkennen und potenzielle Bedrohungen zu identifizieren.
Toolsfür Endpoint Detection and Response (EDR) überwachen und erkennen verdächtige Aktivitäten auf Endgeräten in Echtzeit und ermöglichen gleichzeitig Untersuchung, Bedrohungssuche, Triage und Behebung.
Threat-Intelligence-Plattformen (TIPs) aggregieren, korrelieren, analysieren und bereichern Bedrohungsinformationen aus verschiedenen Quellen, um Analysten und ihren Tools dabei zu helfen, fundierte Entscheidungen zu treffen.
Plattformenfür Security Orchestration, Automation and Response (SOAR) automatisieren und orchestrieren Aufgaben zur Reaktion auf Vorfälle und ermöglichen so eine schnellere und effizientere Eindämmung von Bedrohungen.
Toolszum Scannen von Schwachstellen unterstützen Patchmanagement und Risikobewertung, indem sie die Umgebungen und Apps einer Organisation scannen, um Schwachstellen zu identifizieren, die Angreifer ausnutzen könnten.
Toolszur Angriffsflächenverwaltung (Attack Surface Management, ASM) bieten Einblick in die Angriffsfläche eines Unternehmens und tragen dazu bei, diese zu verkleinern, indem sie Schwachstellen und potenzielle Angriffsvektoren identifizieren, überwachen und entschärfen.
Malware-Sandboxen isolieren und analysieren verdächtige Dateien und Programme in einer kontrollierten Umgebung. Sie werden verwendet, um Malware-Verhalten zu identifizieren und potenzielle Bedrohungen einzuschätzen.
Bedrohungsemulations- und Red-Teaming-Tools simulieren reale Cyberangriffe, um Unternehmen dabei zu helfen, ihre Sicherheitslage einzuschätzen und Schwachstellen zu identifizieren.
Deception-Technologie setzt Decoys in einem Netzwerk neben echten Assets ein, um Angreifer anzulocken und hochpräzise Warnmeldungen zu generieren, die die Verweildauer verkürzen und die Reaktion auf Vorfälle beschleunigen.

Wer sollte an der Bedrohungssuche beteiligt sein?

Sicherheitsanalysten, die sich mit Bedrohungserkennungs- und -suchtools auskennen, sind die wichtigsten Akteure bei Ihrer Bedrohungssuche. Sie übernehmen die Führung bei der Überwachung und Analyse von Warnmeldungen, verfolgen verdächtiges Verhalten, identifizieren Angriffsindikatoren (IOAs) und vieles mehr. Kleinere Organisationen beschäftigen möglicherweise nur einen einzigen Vollzeitanalysten, während größere möglicherweise über interne SOC-Teams (Security Operations Center) verfügen oder Managed Services nutzen. Zu den

weiteren wichtigen Supportmitarbeitern gehören häufig:

Threat-Intelligence-Analysten, die Bedrohungsinformationen in kritische Zusammenhänge und Angriffsindikatoren zerlegen.
Rechts- und Compliance-Teams, die bei der Einhaltung gesetzlicher und behördlicher Anforderungen helfen.
Führungskräfte und Vorstandsmitglieder, die Entscheidungen auf höchster Ebene über Strategie, Personal und Budgetierung treffen.

Welche Voraussetzungen müssen für eine effektive Bedrohungssuche erfüllt sein?

Damit eine Organisation Bedrohungen effektiv aufspüren kann, müssen vier Voraussetzungen erfüllt sein:

Ein Team aus erfahrenen Threat-Hunting-Experten und Analysten. Wenn Sie ein internes Sicherheitsteam haben, investieren Sie in kontinuierliche Schulung und Entwicklung, um ihnen dabei zu helfen, Ihr Unternehmen vor sich entwickelnden, komplexen Bedrohungen zu schützen.
Die richtige Mischung aus Technologien zur Bedrohungssuche und automatisierten Tools, einschließlich SIEM-Plattformen, EDR-Lösungen, NTA-Tools und Threat-Intelligence-Plattformen.
Zugriff auf Protokolle, Netzwerkverkehrsdaten, Verhaltensdaten usw., um sicherzustellen, dass Ihre Experten einen vollständigen Überblick über die Bedrohungslandschaft haben.
Ein klarer strategischer Rahmen für die Bedrohungssuchemit definierten Zielen und Strategien, die mit Ihrer Risikotoleranz und Sicherheitslage übereinstimmen.

Die Rolle von Zscaler bei der Bedrohungssuche

Die Threat-Hunting-Experten von Zscaler ThreatLabz suchen in den 500 Billionen Datenpunkten der weltweit größten Sicherheits-Cloud nach Anomalien und identifizieren und erkennen schädliche Aktivitäten sowie neu auftretende Bedrohungen.

Zscaler ThreatLabz nutzt Bedrohungsinformationen und proprietäre Tools, um proaktiv nach den verräterischen Taktiken, Tools und Verfahren (TTPs) von Bedrohungen zu suchen, die von komplexen Taktiken bis hin zu Standard-Malware reichen, und ermöglicht so eine umfassende Abdeckung aktueller Bedrohungen.

Diese Datenpunkte werden auch verwendet, um Modelle für maschinelles Lernen für eine schnellere und umfassendere Erkennung zu trainieren. Dieser proaktive Ansatz trägt dazu bei, täglich 9 Milliarden potenzielle Bedrohungen zu identifizieren und zu blockieren, bevor sie unsere Kunden beeinträchtigen oder Schaden anrichten können.