Threat Hunting

SANS sucht nach neue Methodiken für Threat Hunting-Teams

, Swansea, SANS Institute | Autor: Herbert Wieler

SANS sucht nach neue Methodiken für Threat Hunting-Teams

SANS Institute, weltweit führender Anbieter von Cyber Security-Schulungen und -zertifizierungen, veröffentlicht die Ergebnisse seiner Umfrage „Threat Hunting 2022“ . Die daraus bereits zum siebten Mal abgeleitete Studie unter Fachexperten aus aller Welt zeigt die wichtigsten Trends der Profession auf und wie sich das Threat Hunting immer weiter professionalisiert.

Viele der Befragten wollen das Threat Hunting weiter verbessern. 51 Prozent sind jedoch der Meinung, dass die Fähigkeiten zur „Jagd“ auf Bedrohungen in ihren Unternehmen noch ausbaufähig sind. In den nächsten Jahren wird die Nachfrage nach qualifizierten Mitarbeitern und Software-Tools, die als Multiplikatoren für die Threat Hunter fungieren, immer größer werden. Das größte Hindernis, das Unternehmen davon abhält, die Bedrohungsjagd professioneller zu gestalten, ist der Mangel an qualifizierten Mitarbeitern. 68 Prozent der Befragten geben dies als Hauptgrund für Misserfolge an.

Die wichtigsten Ergebnisse im Überblick:

  • 51 Prozent der Befragten sind der Ansicht, dass ihre Threat Hunting-Fähigkeiten noch nicht ausgereift sind.
  • 68 Prozent der Unternehmen fehlt es an Schulungen oder qualifiziertem Personal für die Bedrohungssuche.
  • 62 Prozent der Befragten verwenden intern entwickelte Tools.
  • 48 Prozent wollen ihre Fähigkeiten zur Bedrohungssuche auf die Cloud ausweiten.
  • 25 Prozent der Unternehmen lagern Aufgaben zur Bedrohungssuche aus.
  • 68 Prozent der Unternehmen, die ihre Bedrohungssuche gemessen haben, konnten einen Anstieg zwischen 25 bis 75 Prozent eine Verbesserung der allgemeinen Sicherheitslage ihres Unternehmens.
  • Fast die Hälfte (47 %) der Unternehmen, die Threat Hunting betreiben, haben eine Verbesserung der Genauigkeit der Erkennung von Bedrohungen und weniger Fehlalarme.

44 Prozent der Threat Hunter geben an, dass sie ihre Bedrohungsjagd auf der Grundlage der Fähigkeiten der aktuellen Tools ausgestalten. Dieser Ansatz erweist sich oft als erfolglos. Es sollte im Gegenteil so aussehen, dass die Prozesse und Verfahren der Teams die Tool-Entscheidungen im IT-Sicherheits-Bereich vorantreiben. Threat Hunting-Teams sollten sich ihre Mechanismen nicht von den Fähigkeiten der Tools diktieren lassen. Sie sollten es vor allem nicht vor dem Gesichtspunkt, dass lediglich 16 Prozent der Befragten überhaupt in Tools mit KI investiert haben, die sie mit automatisierten Entscheidungen unterstützen würden. Fehlt den Tools die nötige Intelligenz ist eine Bedrohungsjagd erst recht abhängig von der Fähigkeit der Threat Hunter selbst.

SANS-Instructor und Autor der Studie Mathias Fuchs erklärt: „Wir führen diese Studie nun seit sieben Jahren durch und wir stellen eine weitere Professionalisierung der Szene fest. Allerdings gibt es immer noch Nachholbedarf, selbst bei den Organisationen, die schon über ein fortgeschrittenes Verständnis von Threat Hunting haben und ihre Fachexperten entsprechend unterstützen. Threat Hunter müssen sich jedoch auch selbst immer wieder auf die sich verändernden Umstände einstellen und ihre Fähigkeiten daran anpassen.“ Die Umfrage wurde von den Herstellern Anomali, Cisco, Corelight, Devo, ExtraHop, Gigamon und Sophos gesponsert.

SANS bietet zu diesem Thema einen entsprechenden Webcast an.