Beim Threat Hunting geht es – wie der Name schon vermuten lässt – um das Aufspüren von Bedrohungen. Im Gegensatz zu den Teams der Security Operations Center (SOC) und Incident Response (IR) reagieren Threat Hunter nicht nur auf Gefahren im Netzwerk, sondern sie suchen proaktiv nach ihnen.
Dabei werden Hypothesen zur Existenz potenzieller Bedrohungen aufgestellt, die dann anhand gesammelter Daten entweder bestätigt, oder falsifiziert werden.
Die Daten der SANS-Studie bestätigen diese Aussage: Die meisten der befragten Threat Hunter reagieren auf Alerts (40 Prozent) oder Daten wie Indicators of Compromise aus dem SIEM (57 Prozent). Gerade einmal 35 Prozent der Teilnehmer geben an, beim Threat Hunting mit Hypothesen zu arbeiten – ein Vorgang, der eigentlich zum Arsenal eines jeden Threat Hunters gehören sollte.
Dass Threat Hunting bisher noch in den Kinderschuhen steckt, merkt man daran, dass die firmeninterne Priorisierung von Ressourcen nicht immer optimal abläuft. „Viele Unternehmen befinden sich noch in der Implementierungsphase und sind eher gewillt Geld für Tools auszugeben, als für qualifizierte Experten oder die Weiterbildung bestehender Mitarbeiter“, sagt Mathias Fuchs, Certified Instructor bei SANS und Co-Autor der Studie.
Aufgrund der proaktiven Natur des Threat Huntings fällt es Unternehmen oft schwer, den wirtschaftlichen Nutzen dieser Sicherheitsmaßnahmen akkurat zu bemessen. Im besten Fall verhindern die Experten nämlich, dass Bedrohungen überhaupt erst zu einem kritischen Problem werden.
Dennoch geben 61 Prozent der Befragten der SANS-Studie an, dass sich ihr allgemeiner IT-Sicherheitsstatus durch Threat Hunting um mindestens 11 Prozent verbessert hat. Diese Zahlen zeigen, dass die gezielte Suche nach Bedrohungen durchaus wichtig ist und das Investieren in dedizierte Threat Hunting Teams für Unternehmen eine messbare Stärkung ihrer IT-Sicherheit bedeutet.
Threat Hunting Teams profitieren von einer einzigen Sicherheitsarchitektur, die sich nahtlos in bestehende Prozesse und Technologien integrieren lässt. Eine solche Architektur ist ThreatQuotient. Diese Lösung beschleunigt und vereinfacht Untersuchungen und die Zusammenarbeit innerhalb von Teams sowie team- und toolübergreifend.
Weiterhin werden Anwendungsfälle wie Vorfallsreaktion und das eben genannte Threat Hunting unterstützt. ThreatQuotient dient außerdem als Threat Intelligence Plattform. Durch Automatisierung, Priorisierung und Visualisierung lassen sich Störungen minimieren und Bedrohungen mit hoher Priorität aufzeigen, um gezielteres Vorgehen zu ermöglichen und eine Entscheidungshilfe für begrenzte Mittel zu bieten.