Threat Hunting: Hackerspuren auf Systemen finden

Wir prüfen Ihre Infrastruktur auf Spuren von Hackerangriffen. Entweder zielgerichtet für eine bestimmte Angreifergruppe oder großflächig auf typische Spuren.

Threat Hunting - Den Hackern einen Schritt voraus sein

Threat Hunting bedeutet proaktives und strukturiertes Durchsuchen von gesammelten Daten aus SIEM-, EDR- oder anderen Security Systemen, anstatt auf einen Alarm zu warten und erst dann zu ermitteln. Ebenso können auch Endpoints nach bekannten Spuren von Angriffen (Indicators of Compromise, IOCs) durchsucht werden.

Der Ausgangspunkt von Hunting ist die Locard'sche Regel, dass ein Täter immer Spuren am Tatort hinterlässt, man muss sie "nur" finden. Wir sammeln auf Basis von Threat Intelligence Informationen wie Angreifer konkret vorgehen, führen diese Techniken in unserem Labor durch und beobachten, welche Spuren hinterlassen werden. Auf dieser Basis stellen wir Hypothesen auf, die wir dann in Ihrer Umgebung verifizieren.

Dieser innovative Ansatz ergänzt die üblichen, reaktiven Security-Methoden zu einem wirklich ganzheitlichen Sicherheitskonzept!

Threat Hunting 01

Zwei Ansätze

Top Down
Top-Down
Sie kennen bereits bestimmte Threats oder Angriffsvektoren, die Ihr Unternehmen betreffen könnten, oder möchten solche "Indicators of Compromise" (IOCs) und "Tactics, Techniques and Procedures" (TTPs) über Threat Intelligence ermitteln. Wir sagen Ihnen, ob diese Threats Ihre Systeme bereits beeinträchtigen und optimieren die Regeln für eine bessere automatische Erkennung in der Zukunft.
Bottom Up
Bottom-Up
Bottom-Up geht nicht von einem bestimmten Threat oder einer Hypothese aus. Wir untersuchen, welche Daten bisher in Ihren Systemen gesammelt wurden und was wir aus diesen lesen können, um vergangene oder aktive Threats zu erkennen. Darauf aufbauend entwickeln und schreiben wir entsprechende Regeln, damit zukünftige Bedrohungen in Ihrer Umgebung besser erkannt werden.

Top-Down ist zielgerichtet und klar, Bottom-Up ist individueller auf Ihr Unternehmen zugeschnitten und weniger vorhersehbar. Beide Ansätze testen die Funktionalität und Effizienz Ihrer Tools und Daten und zeigen Schwachstellen wie fehlende Dateien, Systeme oder unzureichende Protokollgrößen auf.

Sie erhalten mit Threat Hunting nicht nur bessere Regeln für die automatische Erkennung von Bedrohungen, sondern auch eine solide Bewertung der Nutzbarkeit Ihrer Daten und Tools für einen möglichen Incident.

Bereit, auf die Jagd zu gehen?

Lassen Sie uns in einem Webmeeting über Nutzen und weitere Details von Threat Hunting bzw. einem Compromise Assessment sprechen.
Ja, ich möchte das wissen

Compromise Assessments

Im Durchschnitt dauert es immer noch über einen Monat, bis ein erfolgreicher Cyberangriff entdeckt wird. Die Angreifer fliegen bewusst unter dem Radar, verwenden Dual-Use-Tools, sogenannte "Possibly Unwanted Applications (PUAs), um von Antivirenlösungen unentdeckt zu bleiben und arbeiten langsam und vorsichtig, um keine Anomalien im Netzwerkverkehr zu verursachen.

Wenn sie irgendwann entdeckt werden, könnten bereits hunderte oder sogar tausende Systeme betroffen sein. Eine manuelle forensische Analyse einer solchen Anzahl ist extrem zeitaufwändig und sehr teuer. Ein Compromise Assessment findet zuverlässig und kosteneffizient heraus, ob Angreifer in Ihrem Netzwerk waren und welche Systeme infiziert sind.

Threat Hunting 02

Wir sind Mitentwickler des Thor APT Scanners, der genau für solche Szenarien erschaffen wurde: Viele Systeme parallel auf Angreiferaktivitäten zu scannen und dabei nicht nur gängige Spuren, sondern auch unbekannte Bedrohungen und Advanced Persistent Threats zu erkennen.

Thor verfügt über 20 verschiedene Module und 12.000 Signaturen, um Spuren von Angriffswerkzeugen und -aktivitäten in Protokollen, Benutzerkonten, Sitzungen, Netzwerkverbindungen und an vielen anderen Stellen zu erkennen.

Die Signaturen von Thor werden regelmäßig von Sicherheitsexperten aktualisiert, sei es durch unsere eigenen Erkenntnisse, Threat Intelligence Feeds oder Veröffentlichungen anderer Sicherheitsunternehmen wie Mandiant oder Crowdstrike.

Gründe für ein Compromise Assessment

Aktueller Vorfall
Aktueller Vorfall
Sie haben unerwünschten Besuch, aber nicht wirklich Ahnung, wo die Hacker eingedrungen sind und wie viele Systeme bereits betroffen sind? Ein Compromise Assessment ist hier eine sehr effiziente Lösung.
Eigeninitiative
Eigeninitiative
Um Sie herum werden Unternehmen gehackt, nur bei Ihnen gibt es keine Alarme. Weil Sie nicht betroffen sind oder weil Sie die Angriffe nur nicht sehen? Ein Compromise Assessment schafft Klarheit.
Zero Trust Konzept
Trau schau wem
Sie müssen Ihre IT für Partner öffnen oder ein zugekauftes Unternehmens integrieren? Prüfen Sie in einem Compromise Assessment den Status Quo, bevor sie die Falschen hereinlassen.

So läuft ein Compromise Assessment ab

Definition des Scopes und Customizing

In einem Kickoff ermitteln wir Ihren individuellen Bedarf und prüfen etwaige Tools, die Sie eventuell bereits besitzen und für die Bewertung genutzt werden können.

Dann wählen wir gemeinsam, abhängig von Ihrem Netzwerk, Art und Anzahl der Systeme und anderen Rahmenbedingungen die geeigneten Tools und Lizenzen aus und passen die Scanning Regeln und Signaturen entsprechend an. Hierbei können auch Informationen von Ihnen einfließen, beispielsweise Ihre eigenen Erkenntnisse über den Angriff oder OSINT (Open-Source-Intelligence) Informationen.

< >

Konfiguration und Verteilung

Die verwendeten Tools werden nun entsprechend konfiguriert und auf allen erforderlichen Systemen verteilt. Das erforderliche Knowhow erhalten Sie durch detaillierte Anleitungen oder direkte Unterstützung durch uns.

Dann startet der Scan auf den Systemen und sammelt Spuren, Beweise und Artefakte.

< >

Analyse und Berichtserstellung

Ein unternehmensweiter Scan liefert eine schier überwältigende Menge an Daten, die meist nicht selbsterklärend sind, sondern durch Spezialisten geprüft, korreliert und interpretiert werden müssen. 

Unsere Forensiker haben langjährige Erfahrung und viel Knowhow, selektieren die relevanten Ergebnisse, formulieren Sie in verständliche Erklärungen und ergänzen sie mit umsetzbaren Empfehlungen. So haben auch Mitarbeiter außerhalb der Security die Chance die Ergebnisse zu verstehen.

< >

Entscheidung und IR Maßnahmen

Die Erstellung der Dokumentation ist nicht die letzte Phase im Incident-Response-Prozess. Die Behebung von Sicherheitsproblemen und Bereinigung der Systeme ist eine komplexe Aufgabe.

Wir unterstützen Sie mit unseren Incident-Response-Leistungen bei der Entscheidungsfindung für die nächsten Schritte und bei der Umsetzung der geplanten Maßnahmen. 

< >