Gefahr erkannt, Gefahr gebannt: Wie geht gutes Threat Hunting?
Threat Detection and Response (kurz TDR) ist eine Methode, die es Organisationen und Unternehmen ermöglicht, Cyberangriffe zu neutralisieren, bevor sie Schaden anrichten können. Denn es ist immer schwieriger, Cyberbedrohungen zu identifizieren und darauf zu reagieren. Und zwar so effektiv und effizient wie ein Grosskonzern – ohne ein Heer an IT-Sicherheitsexperten zur Verfügung stehen zu haben.
Oftmals werden Angriffe heutzutage als sogenannte Blended Attacks durchgeführt, die maschinelle und menschliche Angriffstechniken kombinieren. In der Folge kommen verschiedenste und oftmals unter dem Radar laufende Einzelangriffe zum Einsatz, die sich zudem individuell anpassen, wenn sich ihnen ein Hindernis in den Weg stellt. Threat Hunter und Analysten enthüllen diese verborgenen Gegner, indem sie sich an verdächtigen Ereignissen, Anomalien und Aktivitätsmustern orientieren. Das Auffinden der Bedrohung ist dabei nur der erste Schritt, im Anschluss ist die Zusammenarbeit im Team wichtig, um die Situation zu entschärfen. Das Ergebnis ist Threat Detection and Response.
Während sich solche Expertenteams lange Zeit zumeist nur Grosskonzerne oder staatliche Einrichtungen leisten konnten, öffnet Sophos diesen individuellen Service mit seinem Manage Threat Response Service (MTR) nun auch stationären Einrichtungen jeder Grössenordnung und lässt seine Cybercrime-Experten für Kunden aktiv werden. Denn nur wenige Organisationen haben intern die richtigen Tools, Mitarbeiter und Prozesse, um ihr Sicherheitsprogramm effizient rund um die Uhr zu verwalten und sich gleichzeitig proaktiv vor neuen Bedrohungen zu schützen. Das Sophos MTR-Team informiert nicht nur über Angriffe und verdächtiges Verhalten, sondern ergreift auf Wunsch gezielte Massnahmen direkt im Netzwerk, um selbst hochkomplexe Bedrohungen unschädlich zu machen. Die Cybercrime-Experten übernehmen dabei sieben Tage die Woche rund um die Uhr folgende Aufgaben:
Proaktives Aufspüren und Prüfen von potenziellen Bedrohungen und Vorfällen
Nutzen aller vorliegenden Informationen, um Ausmass und Schwere von Bedrohungen zu bestimmen
Anwenden geeigneter Massnahmen je nach Risikobewertung der Bedrohung
Einleiten von Massnahmen zum Stoppen, Eindämmen und Beseitigen von Bedrohungen
Bereitstellen konkreter Ratschläge, um die Ursache wiederholt auftretender Vorfälle zu bekämpfen
Sophos MTR basiert auf Intercept X Advanced with XDR, einer Technologie zur Erstellung detaillierter Abfragen, um Bedrohungen aufzuspüren und IT Security Operations zu optimieren. So werden leistungsstarkes Machine Learning mit Expertenanalysen zu einem effektiven Teamwork vereint.
Die Sophos EDR-Technologie basiert auf dem neuronalen Deep-Learning-Netzwerk von Sophos, das anhand von hunderten Millionen Beispielen und Bedrohungsindikatoren geschult ist. Security-Analysten und IT-Administratoren erhalten ausserdem On-Demand-Zugriff auf Bedrohungsinformationen aus den SophosLabs, die täglich mehr als 400 000 Malware-Samples verfolgen, zerlegen und analysieren. Auf diesem Wissen basiert der sogenannte Live-Discover-Service: Dieses Angebot erkennt vergangene und aktuelle Aktivitäten und speichert die Daten bis zu 90 Tage. Sofort einsatzbereite SQL-Abfragen ermöglichen es, Fragen zur Bedrohungssuche und IT zu beantworten. Diese können aus einer Bibliothek mit vordefinierten Optionen ausgewählt und von Benutzern vollständig angepasst werden. Die flexible Query Engine bietet Zugriff auf hochdetaillierte Aufzeichnungen über Endpoint-Aktivitäten, die mit der Sophos Deep-Learning-Technologie kontinuierlich aktualisiert werden.
Wie wichtig diese modernen Abwehrtechnologien und -strategien sind, zeigt der aktuelle "State of Ransomware"-Report, zu dem Anfang 2021 über 5000 IT-Experten weltweit interviewt wurden. Mehr als die Hälfte der Befragten, nämlich 54 Prozent weltweit, meint, die Cyberattacken seien zu fortgeschritten, als dass ihre IT-Abteilung diese alleine handhaben können. Überraschenderweise sank die Zahl der Organisationen, die Opfer einer Ransomware-Attacke wurden, von 51 Prozent weltweit 2020 auf 37 Prozent 2021, wobei dieser Trend mit Vorsicht zu geniessen ist und vielmehr auf die bereits erwähnten, immer gezielteren Angriffe hindeutet.
"Der vermeintliche Rückgang der betroffenen Organisationen ist eine gute Nachricht, wird aber durch die Tatsache beeinträchtigt, dass diese Zahl zumindest teilweise Änderungen im Verhalten der Angreifer widerspiegelt", so Michael Veit, IT-Security-Experte bei Sophos. "Wir haben beobachtet, wie Angreifer von gross angelegten, generischen und automatisierten Angriffen zu gezielteren Angriffen übergehen, die auch menschliches Hacking via Tastatur umfassen. Während die Gesamtzahl niedriger ist, zeigt unsere Erfahrung, dass das Schadenspotenzial dieser zielgerichteten Angriffe weitaus höher ist. Sich von derartigen Attacken zu erholen, ist viel aufwändiger."
Sophos Schweiz AG
E-Mail: sales@sophos.ch
Tel.: +41 (44) 7 35 40 80