Strukturierung und Prozessdesign von Threat Hunting

Master Studiengang Information Security

David Alexander Prüller, BSc

Betreuer: FH-Prof. Dr. Simon Tjoa

Ausgangslage

Die Anzahl der Security Operations Center in Unternehmen steigt in den letzten Jahren stark an beziehungsweise gibt es eine erhöhte Nachfrage an der ausgeübten Dienstleistung. Die Aufgabe liegt darin gefährliches Verhalten und Anomalien in Organisationen ausfindig zu machen und diese zu bewerten, um anschließend eine Handlungsempfehlung kommunizieren zu können. Um Herauszufinden wie Angriffe wirken und welche Systeme betroffen sind, müssen detaillierte Analysen vollzogen werden, dabei kommt es im Laufe des Incident Response Prozesses zum so genannten Threat Hunting und somit zur Erkennung eines Feindbildes und dessen Verhaltensmustern. Bei diesem Vorgang werden im Erfolgsfall neue nützliche Informationen geschaffen, welche als Indikatoren benutzt werden, um schädliches Verhalten frühzeitig erkennen zu können. Nach einer Studie des SANS Institute sagten 74 Prozent der Teilnehmer, dass Threat Hunting ihnen geholfen hat die Angriffsfläche in ihrer Organisation zu reduzieren. Des Weiteren behaupteten 52 Prozent, dass sie dadurch neue Gefahren entdeckt haben, welche sonst unerkannt geblieben wären.

Ziel

In dieser Arbeit werden aktuelle Threat Hunting Modelle miteinander verglichen, indem spezielle Merkmale der Modelle hervorgehoben werden. Neben der taktischen Ebene, wird auch die strategische und technische Ebene betrachtet, um die Organisations- und Prozesslandschaft rund um Threat Hunting optimieren zu können. Auf Basis der Analyse der existierenden Modelle, soll ein neues Threat Hunting Modell erstellt werden, welches die Stärken der einzelnen Modelle nutzt, um einen effizienten Threat Hunting Prozess abbilden zu können.

Ergebnis

Die analysierten Modelle haben unterschiedliche Vertiefung der einzelnen Komponenten eines Threat Hunting Systems. Dabei wurden einige wertvolle Komponenten von anderen Modellen wie Taktiken und Prinzipien genutzt, um den technischen Detailgrad zu optimieren und die Priorisierung von Phasen ermöglicht. Das neue Threat Hunting Modell hilft dabei Analysten einen besseren Überblick über Threat Hunting zu verschaffen und die Synergieeffekte mit anderen Modellen besser zu verstehen und nutzen zu können.