Threat Hunting: Bedeutung und Wertschätzung steigt

SANS Institute stellt Threat Hunting Survey 2020-Ergebnisse vor

[datensicherheit.de, 21.12.2020] SANS Institute, weltweit agierender Anbieter von Cybersicherheitsschulungen und -zertifizierungen, stellt die Ergebnisse der bereits fünften Ausgabe des Threat Hunting Surveys 2020 vor. Befragt wurden 177 IT-Sicherheitsexperten, die in weltweit tätigen Unternehmen und Organisationen tätig sind. Einerseits nimmt die Anzahl der Threat Hunter zu, jedoch ist das Hunting nicht die Hauptaufgabe. Darüber hinaus besteht noch Nachholbedarf beim Einsatz von automatisierten Threat Intelligence-Tools, die bei der Zusammenstellung nützlicher und anwendbarer Bedrohungsdaten helfen.

Tools zum Threat Hunting

Die Kluft zwischen den Tools zum Threat Hunting und den im SOC verwendeten Tools wird immer kleiner. Dies gilt auch für das Korrelieren von Daten und das Sammeln von externen Quellen und Referenzen. Die Festlegung von Taktiken, Tools und Prozessen (TTPs) für die Jagd auf böswillige Akteure innerhalb eines Netzwerks ist jedoch ein Prozess, der Threat Hunting-Teams weit außerhalb der Funktion des SOC stellt. Wir konnten einen positiven Anstieg bei den Hunting-Teams feststellen, die TTPs zur Verfolgung von Bedrohungsakteuren einsetzen. Die Umfrageergebnisse verbessern auch das Verständnis für die Nützlichkeit des Huntings nach Schwachstellen oder unbekannten Fehlkonfigurationen in einer Umgebung.

Die wichtigsten Ergebnisse auf einem Blick:

• 52 Prozent der Unternehmen stufen die Suche nach unbekannten Bedrohungen als wertvoll ein
• 48 Prozent der Hunting-Teams speichern Bedrohungsdaten in unstrukturierten Dateien (z. B. PDFs, Textdateien, Tabellenkalkulationen)
• 75 Prozent der Mitarbeiter von Threat Hunting-Teams übernehmen andere wichtige Funktionen in ihrem Unternehmen
• 43 Prozent der Hunting-Teams nutzen automatisierte Lösungen für das Threat Hunting
• 53 Prozent der Unternehmen verwenden Ad-hoc-Methoden, um die Effektivität des Threat Huntings zu messen

Mathias Fuchs, SANS-Instructor, Bild: SANS

„Threat Hunting-Teams sind in der Regel eine eigenständige Einheit von Incident Respondern und Threat-Intelligence-Experten, die Hypothesen aufstellen und diesen nachgehen. Unsere Umfrage zeigt, dass die Zahl der Unternehmen, die Threat Hunting als eine Form der Compliance oder als eine Routine-Aktivität nutzen, erneut zugenommen hat. Die Ergebnisse zeigen zudem, dass Threat Hunting-Teams beginnen, ihre Prozesse und Verfahren zu formalisieren – ein Trend, der für die Branche insgesamt in die richtige Richtung geht, auch wenn die Nutzung von automatisierten Tools wie Threat Intelligence-Plattformen noch ausbaufähig ist“, erklärt Mathias Fuchs, SANS-Instructor für den Kurs FOR508: Advanced Incident Response, Threat Hunting, and Digital Forensics und Studienautor.

Zu den kompletten Ergebnissen der Umfrage geht es hier: https://www.sans.org/reading-room/whitepapers/analyst/membership/40020

Wer sich eine Erläuterung der Studienergebnisse der beiden Studienautoren Mathias Fuchs und Joshua Lemon anhören möchte, kann hier die Aufzeichnung des Webinars aufrufen: https://www.sans.org/webcasts/2020-threat-hunting-survey-results-114555

Gesponsert wurde die Umfrage von Analyst 1, Anomali, BlackBerry, Cisco, Corelight, Domaintools, Secureworks, Sophos, Swimlane und ThreatQuotient.

Das SANS Institute lädt ab sofort wieder zur beliebten und kostenlosen SANS Holiday Hack Challenge KringleCon Teil 3 ein. Wer die Challenge gewinnt, hat wie immer die Aussicht auf einen Preis.

Wie üblich bietet der Schulungsexperte alle Spezial Hands-On Kurse wie Core Netwars, DFIR Netwars, GRID Netwars und viele andere online aus. Hier gibt es eine Übersicht der aktuell verfügbaren Cyber Range, die den IT-Sicherheitsexperten dabei hilft über die Weihnachtfeiertage fokussiert zu bleiben und trotzdem für spielerische Abwechslung sorgt.

Weitere Informationen zum Thema:

datensicherheit.de, 10.04.2020
SANS Institute: Anstieg bei Angriffen auf das Remote Desktop Protocol

datensicherheit.de, 23.03.2020
Digital Guardian führt Managed Detection & Response-Service ein