Threat Hunting Survey 2020

Bedeutung und Wertschätzung für Threat Hunting steigen

Bedeutung und Wertschätzung für Threat Hunting steigen

75 Prozent der Unternehmen setzen Threat Hunting ein

SANS Institute stellt Threat Hunting Survey 2020-Ergebnisse vor

SANS Institute, weltweit führender Anbieter von Cybersicherheitsschulungen und -zertifizierungen, stellt die Ergebnisse der bereits fünften Ausgabe des Threat Hunting Surveys 2020 vor. Befragt wurden 177 IT-Security-Experten, die in weltweit tätigen Unternehmen und Organisationen tätig sind. Einerseits nimmt die Anzahl der Threat Hunter zu, jedoch ist das Hunting nicht die Hauptaufgabe. Darüber hinaus besteht noch Nachholbedarf beim Einsatz von automatisierten Threat Intelligence-Tools, die bei der Zusammenstellung nützlicher und anwendbarer Bedrohungsdaten helfen.

Mathias Fuchs, SANS-Instructor

„Threat Hunting-Teams sind in der Regel eine eigenständige Einheit von Incident Respondern und Threat-Intelligence-Experten, die Hypothesen aufstellen und diesen nachgehen. Unsere Umfrage zeigt, dass die Zahl der Unternehmen, die Threat Hunting als eine Form der Compliance oder als eine Routine-Aktivität nutzen, erneut zugenommen hat. Die Ergebnisse zeigen zudem, dass Threat Hunting-Teams beginnen, ihre Prozesse und Verfahren zu formalisieren – ein Trend, der für die Branche insgesamt in die richtige Richtung geht, auch wenn die Nutzung von automatisierten Tools wie Threat Intelligence-Plattformen noch ausbaufähig ist,“ erklärt Mathias Fuchs, SANS-Instructor für den Kurs FOR508: Advanced Incident Response, Threat Hunting, and Digital Forensics und Studienautor.

Die Kluft zwischen den Tools zum Threat Hunting und den im SOC verwendeten Tools wird immer kleiner. Dies gilt auch für das Korrelieren von Daten und das Sammeln von externen Quellen und Referenzen. Die Festlegung von Taktiken, Tools und Prozessen (TTPs) für die Jagd auf böswillige Akteure innerhalb eines Netzwerks ist jedoch ein Prozess, der Threat Hunting-Teams weit außerhalb der Funktion des SOC stellt. Wir konnten einen positiven Anstieg bei den Hunting-Teams feststellen, die TTPs zur Verfolgung von Bedrohungsakteuren einsetzen. Die Umfrageergebnisse verbessern auch das Verständnis für die Nützlichkeit des Huntings nach Schwachstellen oder unbekannten Fehlkonfigurationen in einer Umgebung.

Die wichtigsten Ergebnisse auf einem Blick:

  • 52 Prozent der Unternehmen stufen die Suche nach unbekannten Bedrohungen als wertvoll ein
  • 48 Prozent der Hunting-Teams speichern Bedrohungsdaten in unstrukturierten Dateien (z. B. PDFs, Textdateien, Tabellenkalkulationen)
  • 75 Prozent der Mitarbeiter von Threat Hunting-Teams übernehmen andere wichtige Funktionen in ihrem Unternehmen
  • 43 Prozent der Hunting-Teams nutzen automatisierte Lösungen für das Threat Hunting
  • 53 Prozent der Unternehmen verwenden Ad-hoc-Methoden, um die Effektivität des Threat Huntings zu messen
Markus Auer, Regional Sales Manager Central Europe bei ThreatQuotient

„Die Ergebnisse der aktuellen Threat Hunting-Umfrage von SANS zeigen auf, dass sich der Nutzen von Threat Intelligence-Plattformen zwar herumgesprochen hat und immerhin 47 Prozent der Befragten eine solche Plattform im Einsatz haben, das reicht aber noch lange nicht aus. Auch die anderen 63 Prozent sollten sich über die Vorteile einer solchen Plattform informieren, nur dann werden sie erfolgreich in ihrer Jagd nach Bedrohungen sein“, sagt Markus Auer, Regional Sales Manager Central Europe bei ThreatQuotient.

Zu den kompletten Ergebnissen der Umfrage geht es hier: https://www.sans.org/reading-room/whitepapers/analyst/membership/40020

Wer sich eine Erläuterung der Studienergebnisse der beiden Studienautoren Mathias Fuchs und Joshua Lemon anhören möchte, kann hier die Aufzeichnung des Webinars aufrufen . Wie gehabt bietet der Schulungsexperte alle Spezial Hands-On Kurse wie Core Netwars, DFIR Netwars, GRID Netwars und viele andere online aus.

Hier gibt es eine Übersicht der aktuell verfügbaren Cyber Range , die den IT-Sicherheitsexperten dabei hilft über die Weihnachtfeiertage fokussiert zu bleiben und trotzdem für spielerische Abwechslung sorgt.

Gesponsert wurde die Umfrage von Analyst 1, Anomali, BlackBerry, Cisco, Corelight, Domaintools, Secureworks, Sophos, Swimlane und ThreatQuotient.