Das SANS Institute, der weltweit führende Anbieter von Cybersicherheitsschulungen und -zertifizierungen, veröffentlicht die Ergebnisse seiner 8. Umfrage zum Threat Hunting . Die Profession des Threat Hunters hat sich inzwischen zu einem festen Bestandteil viele IT-Sicherheitsabteilungen weltweit entwickelt. Ein Zeichen dafür ist, dass 36 Prozent der Führungskräfte entweder ein mäßiges, großes oder sehr großes Interesse an den Aktivitäten der Threat Hunter entwickelt haben. 63 Prozent der Befragten gaben darüber hinaus an, dass sie ihre Bedrohungssuche nicht auslagern, sondern eigene Teams dafür abstellen.

Die wichtigsten Ergebnisse in der Übersicht:

• 24 Prozent der Befragten gaben an, dass Threat Hunting ihr Vollzeitjob ist.
• 43 Prozent der Missionen dauern ein bis zwei Tage.
• 69 Prozent der Unternehmen haben Ransomware-Angriffe erlebt, die ihre Methodik beeinflussen.
• Der Einsatz von KI und maschinellem Lernen beim Threat Hunting ist um fünf Prozent zurückgegangen.
• 49 Prozent der Unternehmen passen ihre Missionen auf der Grundlage der bereits vorhandenen Tools an.
• 73 Prozent der Unternehmen legen eine Methodik fest, aber nur 38 Prozent befolgen sie.
• 63 Prozent der Unternehmen setzen interne Mitarbeiter für die Suche ein.
• 34 Prozent der Unternehmen messen formell ihre Bemühungen zur Bedrohungsbekämpfung.
• 81 Prozent der Unternehmen, die ihr Threat Hunting messen, konnten eine Verbesserung ihrer allgemeinen Sicherheitslage feststellen.
• 73 Prozent der Unternehmen benötigen zusätzliche Schulungen oder mehr qualifizierte Mitarbeiter.
• 78 Prozent der leitenden Angestellten sind sich des Threat Huntings entweder bewusst oder beschäftigen sich damit.

„Eine der größeren Überraschungen der diesjährigen Umfrage war, dass die Nachfrage nach Threat Hunting-Experten gegenüber den Vorjahren mit 73 Prozent gegenüber 68 Prozent und 51 Prozent leicht gestiegen ist. Weniger überraschend ist die Erkenntnis, dass die Organisationen, die Threat Hunting einsetzen mehrheitlich (81%) eine Verbesserung ihrer Cybersicherheit sehen. Eine Herausforderung bleibt die Messbarkeit der Ergebnisse wie effektiv eine Mission war. Wenig überraschend ist deshalb, dass dann auch weniger erfasst und verglichen wird“, erklärt Mathias Fuchs, Studienautor, SANS Instructor und Vice President Investigation & Intelligence bei InfoGuard.

Eine Tendenz scheint jedoch zu sein, den Output des Threat Huntings durch indirekte Faktoren zu beschreiben. Das wichtigste messbare Ergebnis ist, dass sie dem SOC bessere Erkennungen mit weniger Fehlalarmen liefert. Sie dient also als Testumgebung für die SOC-Entwicklung. Dies ist ein effektiver Weg, um die IT-Sicherheit zu erhöhen, Angriffe zu erkennen und dennoch regelmäßig Ergebnisse für das SOC zu liefern. Dies ist ein Indikator für die gelungene Integration des Berufsbilds in die IT-Sicherheitsstrategie der Unternehmen. Gesponsert wurde die Umfrage von den Herstellern Anomali, Cisco Secure, Corelight, Devo und Lacework.

Der Webcast kann hier nachgehört werden: https://www.sans.org/webcasts/2023-sans-threat-hunting-survey-focusing-on-the-hunters-and-how-best-to-support-them/