News

SANS-Studie Threat Hunting 2019 zeigt: Rolle des Threat Hunters oft unklar

ThreatQuotient gibt die Ergebnisse der vom SANS Institute veröffentlichten Studie zum Thema Threat Hunting bekannt. Anhand der Befragung von Sicherheitsexperten wird ein Einblick in die Industriestandards der Bedrohungssuche gegeben.

Reston, VA – 16. Dezember 2019ThreatQuotient™, Pionier auf dem Markt für Security-Operations-Plattformen, stellt die Ergebnisse der SANS-Studie zum Thema Threat Hunting 2019 vor. Wichtigstes Ergebnis der von ThreatQuotient gesponserten Umfrage ist die weltweit vorherrschende Konfusion um den Begriff und die Aufgaben eines Threat Hunters. Befragt wurden 575 Unternehmen, die entweder selbst Threat Hunting betreiben oder mit Threat Huntern zusammenarbeiten.

Beim Threat Hunting geht es – wie der Name schon vermuten lässt – um das Aufspüren von Bedrohungen. Im Gegensatz zu den Teams der Security Operations Center (SOC) und Incident Response (IR) reagieren Threat Hunter nicht nur auf Gefahren im Netzwerk, sondern sie suchen proaktiv nach ihnen. Dabei werden Hypothesen zur Existenz potenzieller Bedrohungen aufgestellt, die dann anhand gesammelter Daten entweder bestätigt, oder falsifiziert werden. „Die Realität innerhalb der IT von Unternehmen sieht jedoch oft anders aus“, sagt Markus Auer, Regional Sales Manager CE bei ThreatQuotient. „In vielen Teams ist die Trennung zwischen SOC, IR und Threat Hunting zu unscharf und Threat Hunter werden entgegen ihrer eigentlichen Aufgabe für reaktive Prozesse eingesetzt.“

Die Daten der SANS-Studie bestätigen diese Aussage: Die meisten der befragten Threat Hunter reagieren auf Alerts (40 Prozent) oder Daten wie Indicators of Compromise aus dem SIEM (57 Prozent). Gerade einmal 35 Prozent der Teilnehmer geben an, beim Threat Hunting mit Hypothesen zu arbeiten – ein Vorgang, der eigentlich zum Arsenal eines jeden Threat Hunters gehören sollte. „Das Reagieren auf Bedrohungen ist zwar wichtig für die Sicherheit, allerdings ist das nicht die Hauptaufgabe der Threat Hunter. Diese sollten vor allem nach Bedrohungen suchen, bevor sie zu einem Alert führen“, betont Auer.

Dass Threat Hunting bisher noch in den Kinderschuhen steckt, merkt man daran, dass die firmeninterne Priorisierung von Ressourcen nicht immer optimal abläuft. „Viele Unternehmen befinden sich noch in der Implementierungsphase und sind eher gewillt Geld für Tools auszugeben, als für qualifizierte Experten oder die Weiterbildung bestehender Mitarbeiter“, sagt Mathias Fuchs, Certified Instructor bei SANS und Co-Autor der Studie. „Wenn Threat Hunting durchgeführt wird, ist es eher ein Ad-hoc-Ansatz, als ein geplantes und mit Budget und Ressourcen versehenes Programm“. Tatsächlich steht für 71 Prozent der teilnehmenden Unternehmen die Technologie an erster oder zweiter Stelle was die Ressourcenverteilung beim Threat Hunting angeht. Bei lediglich 47 Prozent der Befragten liegt der Fokus auf der Einstellung von neuem Personal und bei 41 Prozent auf dem Training von Angestellten.

Aufgrund der proaktiven Natur des Threat Huntings fällt es Unternehmen oft schwer, den wirtschaftlichen Nutzen dieser Sicherheitsmaßnahmen akkurat zu bemessen. Im besten Fall verhindern die Experten nämlich, dass Bedrohungen überhaupt erst zu einem kritischen Problem werden. Dennoch geben 61 Prozent der Befragten der SANS-Studie an, dass sich ihr allgemeiner IT-Sicherheitsstatus durch Threat Hunting um mindestens 11 Prozent verbessert hat. Diese Zahlen zeigen, dass die gezielte Suche nach Bedrohungen durchaus wichtig ist und das Investieren in dedizierte Threat Hunting Teams für Unternehmen eine messbare Stärkung ihrer IT-Sicherheit bedeutet.

Threat Hunting Teams profitieren von einer einzigen Sicherheitsarchitektur, die sich nahtlos in bestehende Prozesse und Technologien integrieren lässt. Eine solche Architektur ist ThreatQuotient. Diese Lösung beschleunigt und vereinfacht Untersuchungen und die Zusammenarbeit innerhalb von Teams sowie team- und toolübergreifend. Weiterhin werden Anwendungsfälle wie Vorfallsreaktion und das eben genannte Threat Hunting unterstützt. ThreatQuotient dient außerdem als Threat Intelligence Plattform. Durch Automatisierung, Priorisierung und Visualisierung lassen sich Störungen minimieren und Bedrohungen mit hoher Priorität aufzeigen, um gezielteres Vorgehen zu ermöglichen und eine Entscheidungshilfe für begrenzte Mittel zu bieten.

Über ThreatQuotient

ThreatQuotient sieht seinen Auftrag in der Verbesserung der Effizienz und Wirksamkeit von Sicherheitsoperationen durch eine bedrohungszentrische Plattform. Mit der Integration der bestehenden Prozesse und Technologien in eine einzige Sicherheitsarchitektur beschleunigt und vereinfacht ThreatQuotient Untersuchungen und die Zusammenarbeit innerhalb von Teams sowie team- und toolübergreifend. Außerdem unterstützt es viele Anwendungsfälle, wie Vorfallsreaktion und Threat Hunting, und dient als Threat Intelligence Plattform. Durch Automatisierung, Priorisierung und Visualisierung minimieren die Lösungen von ThreatQuotient Störungen und zeigen Bedrohungen mit hoher Priorität auf, um gezielteres Vorgehen zu ermöglichen und eine Entscheidungshilfe für begrenzte Mittel zu bieten. ThreatQuotient hat seinen Sitz in Nord-Virginia mit internationalen Unternehmen in Europa und im APAC-Raum. Für weitere Informationen besuchen Sie bitte https://threatquotient.com.

Pressekontakt

Kafka Kommunikation GmbH & Co. KG

Bastian Hallbauer
Lukas Reck

Telefon: 089 747470580
E-Mail: forescout@kafka-kommunikation.de

Zurück