Introducing G2.ai, the future of software buying.Try now
Technologie Glossar

Bedrohungsjagd

Holly Landis
HL
von Holly Landis
Threat Hunting ist eine Cybersecurity-Technik, die Netzwerke kontinuierlich auf bösartige Aktivitäten überwacht. Lernen Sie, wie Organisationen sich vor Bedrohungen schützen.
DefinitionBedrohungsjagd Software

In diesem Beitrag

In diesem Beitrag

Was ist Threat Hunting?

Threat Hunting ist eine proaktive Cybersecurity-Technik, die Netzwerke und Geräte regelmäßig auf potenzielle Cyberbedrohungen überwacht.

Nachdem Kriminelle die ersten Sicherheitsebenen eines Netzwerks umgangen haben, können sie leicht unentdeckt bleiben und Wochen, möglicherweise Monate, lauern, bevor sie angreifen oder entdeckt werden. Im Gegensatz zur Bedrohungserkennung, die einen reaktiveren Ansatz darstellt, antizipiert Threat Hunting, wo sich diese Cyberkriminellen im System befinden könnten.

Durch aktive Überwachung mit Security Information and Event Management (SIEM) Software identifizieren IT- und Sicherheitsteams verdächtige Aktivitäten und ergreifen Maßnahmen, bevor ein Cyberangriff stattfindet.

Bedrohungsjagd Software
Software, die bedrohungsjagd als Funktion oder Begriff erwähnt.
Carbon Black EDR
Carbon Black EDR
CrowdStrike Falcon Endpoint Protection Platform
CrowdStrike Falcon Endpoint Protection Platform
Sophos MDR
Sophos MDR
Microsoft Sentinel
Microsoft Sentinel
Huntress Managed EDR
Huntress Managed EDR
Microsoft Defender for Endpoint
Microsoft Defender for Endpoint

Arten des Threat Hunting

Jede Threat Hunting-Übung geht davon aus, dass Cyberkriminelle bereits im Netzwerk oder im System des Geräts sind. Untersuchungen zu diesen möglichen Eindringlingen fallen in eine von drei Kategorien.

  • Hypothesenbasiert wird normalerweise durch eine neue Bedrohung ausgelöst, die auf einem breiteren Markt identifiziert wurde. Dies könnte branchenspezifisch sein oder auf den Technologien basieren, die ein Unternehmen derzeit verwendet. IT-Teams sammeln Informationen, normalerweise durch Crowdsourcing, und untersuchen dann ihre eigenen Systeme, um zu sehen, ob etwas Verdächtiges aufgetreten ist.
  • Bekannte Indikatoren für Kompromittierung oder Angriff gehen einen Schritt über hypothesenbasierte Untersuchungen hinaus und nutzen Bedrohungsintelligenzdaten, um die Motive oder Ziele hinter einem möglichen Angriff zu verstehen. Indikatoren für Kompromittierung (IOCs) oder Indikatoren für Angriffe (IOAs) werden kartiert und als Auslöser für zukünftige bösartige Aktivitäten verwendet.
  • Maschinelles Lernen verwendet Datenanalysetechniken, um große Mengen an Informationen zu überprüfen, um künstliche Intelligenz (KI)-Programme zu trainieren, um Inkonsistenzen und Unregelmäßigkeiten in Daten zu erkennen, die möglicherweise auf bösartige Aktivitäten hindeuten könnten.

Schritte für eine Threat Hunting-Untersuchung

Unabhängig von der verwendeten Threat Hunting-Methodik müssen Unternehmen fünf kritische Schritte abschließen, um eine erfolgreiche Untersuchung sicherzustellen.

Schritte für eine Threat Hunting-Untersuchung

  • Eine Hypothese aufstellen. Wie bei jedem wissenschaftlichen Experiment erfordert Threat Hunting eine Hypothese, um das Verhalten eines Angreifers vorherzusagen. Ideen sollten im Team diskutiert werden, während sie Informationen über potenzielle Bedrohungen oder Arten von Aktivitäten sammeln, auf die geachtet werden sollte.
  • Daten sammeln und verarbeiten. Das Sammeln und Zentralisieren von Daten in SIEM-Software gibt Teams mit einer Bedrohungshistorie wertvolle Einblicke, die zukünftige Reaktionen informieren können.
  • Einen Auslöser setzen. Dies ist einer der wichtigsten Teile einer Threat Hunt. Sobald ein Auslöser festgelegt ist, sucht das Tracking nach Anomalien im Gerät oder Netzwerk. Jedes ungewöhnliche Verhalten, das ausgelöst wird, veranlasst die Teams, weitere Maßnahmen zu ergreifen.
  • Die Bedrohung untersuchen. Wenn bösartige Aktivitäten gefunden werden, schauen die Teams genauer auf das Problem und bestimmen ihre nächsten Schritte.
  • Auf die Bedrohung reagieren. An diesem Punkt sollte der Notfallplan des Unternehmens umgesetzt werden, um bösartige Aktivitäten zu stoppen, verlorene Daten wiederherzustellen und Sicherheitslücken zu schließen.

Vorteile des Threat Hunting

Eine proaktive Haltung gegenüber Cybersecurity ist die beste Verteidigung einer Organisation gegen Kriminelle und die Möglichkeit von Datenverlust. Threat Hunting ist auch nützlich, wenn es darum geht:

  • Verbesserung der Bedrohungsreaktionszeiten. Da Teams rund um die Uhr aktiv nach Bedrohungen suchen, können sie schnell verdächtige Aktivitäten erkennen und damit umgehen.
  • Reduzierung des Risikos für das Unternehmen. Alle digital betriebenen Unternehmen gehen Risiken mit ihren Informationen ein, aber Threat Hunting kann viele davon eindämmen, indem es kontinuierlich nach Problemen sucht und handelt, bevor sie eskalieren. Anstatt dass ein Unternehmen alle seine Daten verliert, können Threat Hunter Angriffe verhindern oder sie stoppen, bevor zu viele Informationen verloren gehen.
  • Auf dem neuesten Stand der Cyberbedrohungen bleiben. Proaktive IT-Teams sind sich aktueller Bedrohungen bewusster, wenn sie sich mit Threat Hunting beschäftigen. Informationen und Forschung werden in Cybersecurity-Gemeinschaften weit verbreitet, was bedeutet, dass Teams über die bedrohlichsten Aktivitäten informiert bleiben.

Best Practices für Threat Hunting

Die Bedrohungen von Organisationen ändern sich ständig, aber die Etablierung von Routinen und Best Practices rund um Threat Hunting macht die Bekämpfung von Cybersecurity-Problemen viel einfacher. Unternehmen sollten in Betracht ziehen, Best Practices wie die folgenden umzusetzen:

  • Festlegen, was für das Unternehmen normal ist. Die Bestimmung einer Basislinie ist entscheidend, wenn neue Untersuchungssysteme eingerichtet werden. Dies bedeutet, dass Teams sehen, wann Aktivitäten außerhalb der Norm stattfinden, was weitere Maßnahmen auslöst.
  • Einem Standardverfahren folgen. Viele Cybersecurity-Teams folgen einem effektiven Workflow: beobachten, orientieren, entscheiden, handeln (OODA). Dies ermöglicht es, dass Diskussionen und Maßnahmen schnell voranschreiten, wenn bösartige Aktivitäten auftreten.
  • Ausreichend Personal und Ressourcen bereitstellen. Effektive Cybersecurity-Schutzmaßnahmen können nur stattfinden, wenn sich IT-Teams angemessen unterstützt fühlen. Die notwendige Personalstärke im Team zu haben, um Bedrohungen zu verwalten und zu handeln, wenn Probleme auftreten, verbessert die Reaktionszeiten erheblich. Ressourcen sind ebenfalls wichtig, daher müssen Schulungen und Software ebenfalls berücksichtigt werden.

Schützen Sie Ihr Unternehmen vor bösartigen Aktivitäten und Cyberkriminellen mit risikobasierter Schwachstellenmanagement-Software.

Holly Landis
HL

Holly Landis

Holly Landis is a freelance writer for G2. She also specializes in being a digital marketing consultant, focusing in on-page SEO, copy, and content writing. She works with SMEs and creative businesses that want to be more intentional with their digital strategies and grow organically on channels they own. As a Brit now living in the USA, you'll usually find her drinking copious amounts of tea in her cherished Anne Boleyn mug while watching endless reruns of Parks and Rec.

Bedrohungsjagd Software

Diese Liste zeigt die Top-Software, die bedrohungsjagd erwähnen auf G2 am meisten.

Carbon Black EDR

Carbon Black EDR ist eine Incident-Response- und Threat-Hunting-Lösung, die für Sicherheitsteams mit Offline-Umgebungen oder On-Premises-Anforderungen entwickelt wurde. Carbon Black EDR zeichnet kontinuierlich umfassende Endpunktaktivitätsdaten auf und speichert sie, sodass Sicherheitsexperten Bedrohungen in Echtzeit aufspüren und die vollständige Angriffskette visualisieren können. Führende SOC-Teams, IR-Firmen und MSSPs haben Carbon Black EDR als Kernkomponente ihres Erkennungs- und Reaktionsfähigkeitsstapels übernommen. Carbon Black EDR ist über MSSP oder direkt über On-Premises-Bereitstellung, Virtual Private Cloud oder Software as a Service verfügbar.

CrowdStrike Falcon Endpoint Protection Platform

CrowdStrike Falcon Endpoint-Schutz vereint die Technologien, die erforderlich sind, um erfolgreich Verstöße zu stoppen: Next-Generation-Antivirus, Endpunkterkennung und -reaktion, IT-Hygiene, 24/7-Bedrohungssuche und Bedrohungsinformationen. Sie kombinieren sich, um kontinuierliche Verletzungsprävention in einem einzigen Agenten bereitzustellen.

Sophos MDR

Sophos bietet cloud-native und KI-verbesserte Lösungen, die Endpunkte (Laptops, Server und mobile Geräte) und Netzwerke gegen sich entwickelnde Taktiken und Techniken von Cyberkriminellen sichern, einschließlich automatisierter und aktiver Angreiferangriffe, Ransomware, Malware, Exploits, Datenexfiltration, Phishing und mehr.

Microsoft Sentinel

Microsoft Azure Sentinel ist ein cloud-natives SIEM, das intelligente Sicherheitsanalysen für Ihr gesamtes Unternehmen bietet, unterstützt durch KI.

Huntress Managed EDR

Die Huntress Managed Security Platform kombiniert automatisierte Erkennung mit menschlichen Bedrohungsjägern und bietet die Software und das Fachwissen, die erforderlich sind, um fortschrittliche Angriffe zu stoppen.

Microsoft Defender for Endpoint

Microsoft Defender für Endpoint ist eine einheitliche Plattform für präventiven Schutz, Erkennung nach einem Sicherheitsvorfall, automatisierte Untersuchung und Reaktion.

Cynet - All-in-One Cybersecurity Platform

AutoXDR™ vereint mehrere Technologien (EPP, EDR, UBA, Täuschung, Netzwerk-Analytik und Schwachstellenmanagement) mit einem 24/7 Cyber-SWAT-Team, um beispiellose Sichtbarkeit zu bieten und alle Bereiche Ihres internen Netzwerks zu verteidigen: Endpunkte, Netzwerk, Dateien und Benutzer, vor allen Arten von Angriffen.

Intezer

Automatisieren Sie Ihre Malware-Analyse. Erhalten Sie schnell Antworten zu verdächtigen Dateien, URLs, Endpunkten oder Speicherabbildern.

Trend Vision One

Trend Micro Vision One (XDR) sammelt und korreliert tiefgehende Aktivitätsdaten über mehrere Vektoren - E-Mail, Endpunkte, Server, Cloud-Workloads und Netzwerke - und ermöglicht so ein Erkennungs- und Untersuchungsniveau, das mit SIEM oder einzelnen Punktlösungen schwierig oder unmöglich zu erreichen ist.

LogRhythm SIEM

LogRhythm befähigt Organisationen auf sechs Kontinenten, das Risiko erfolgreich zu reduzieren, indem sie schädliche Cyberbedrohungen schnell erkennen, darauf reagieren und neutralisieren.

SentinelOne Singularity

Bekannte und unbekannte Bedrohungen auf allen Plattformen mit ausgeklügeltem maschinellem Lernen und intelligenter Automatisierung stoppen. SentinelOne sagt bösartiges Verhalten über alle Vektoren voraus, beseitigt Bedrohungen schnell mit einem vollautomatisierten Vorfallsreaktionsprotokoll und passt die Abwehr gegen die fortschrittlichsten Cyberangriffe an.

Kaspersky Managed Detection and Response
Microsoft Defender XDR

Da Bedrohungen komplexer und anhaltender werden, nehmen die Warnungen zu, und Sicherheitsteams sind überfordert. Microsoft 365 Defender, Teil der XDR-Lösung von Microsoft, nutzt das Sicherheitsportfolio von Microsoft 365, um Bedrohungsdaten über Domänen hinweg automatisch zu analysieren und ein vollständiges Bild jedes Angriffs in einem einzigen Dashboard zu erstellen. Mit dieser Breite und Tiefe der Klarheit können sich Verteidiger nun auf kritische Bedrohungen konzentrieren und nach ausgeklügelten Angriffen suchen, im Vertrauen darauf, dass die leistungsstarke Automatisierung in Microsoft 365 Defender Angriffe überall in der Kill-Chain erkennt und stoppt und die Organisation in einen sicheren Zustand zurückversetzt.

eSentire

eSentire MDR ist darauf ausgelegt, Organisationen vor sich ständig weiterentwickelnden Cyberangriffen zu schützen, die allein durch Technologie nicht verhindert werden können.

Blackpoint Cyber

Lassen Sie das Managed-SOC-Team von Blackpoint Ihr Netzwerk überwachen, damit Sie sich auf die Führung Ihres Unternehmens konzentrieren können.

Microsoft Defender for Business

Selbst das kleinste Unternehmen kann Ziel eines Cyberangriffs werden. Holen Sie sich Endpunktsicherheit in Unternehmensqualität, die kostengünstig und benutzerfreundlich ist – speziell für Unternehmen mit bis zu 300 Mitarbeitern entwickelt.

Splunk Enterprise Security

Splunk Enterprise Security (ES) ist eine SIEM-Software, die Einblicke in Maschinendaten bietet, die von Sicherheitstechnologien wie Netzwerk-, Endpunkt-, Zugriffs-, Malware-, Schwachstellen- und Identitätsinformationen generiert werden, um Sicherheitsteams zu ermöglichen, interne und externe Angriffe schnell zu erkennen und darauf zu reagieren, um das Bedrohungsmanagement zu vereinfachen, während das Risiko minimiert und das Geschäft geschützt wird.