SANS Institute stellt die Ergebnisse der bereits fünften Ausgabe des Threat Hunting Surveys 2020 vor. Einerseits nimmt die Anzahl der Threat Hunter zu, jedoch ist das Hunting nicht die Hauptaufgabe. Darüber hinaus besteht noch Nachholbedarf beim Einsatz von automatisierten Threat Intelligence-Tools, die bei der Zusammenstellung nützlicher und anwendbarer Bedrohungsdaten helfen.
Die Kluft zwischen den Tools zum Threat Hunting und den im SOC verwendeten Tools wird immer kleiner. Dies gilt auch für das Korrelieren von Daten und das Sammeln von externen Quellen und Referenzen.
Die Festlegung von Taktiken, Tools und Prozessen (TTPs) für die Jagd auf böswillige Akteure innerhalb eines Netzwerks ist jedoch ein Prozess, der Threat Hunting-Teams weit außerhalb der Funktion des SOC stellt.
Wir konnten einen positiven Anstieg bei den Hunting-Teams feststellen, die TTPs zur Verfolgung von Bedrohungsakteuren einsetzen. Die Umfrageergebnisse verbessern auch das Verständnis für die Nützlichkeit des Huntings nach Schwachstellen oder unbekannten Fehlkonfigurationen in einer Umgebung.
Die wichtigsten Ergebnisse auf einem Blick:
- 52 Prozent der Unternehmen stufen die Suche nach unbekannten Bedrohungen als wertvoll ein
- 48 Prozent der Hunting-Teams speichern Bedrohungsdaten in unstrukturierten Dateien (z. B. PDFs, Textdateien, Tabellenkalkulationen)
- 75 Prozent der Mitarbeiter von Threat Hunting-Teams übernehmen andere wichtige Funktionen in ihrem Unternehmen
- 43 Prozent der Hunting-Teams nutzen automatisierte Lösungen für das Threat Hunting
- 53 Prozent der Unternehmen verwenden Ad-hoc-Methoden, um die Effektivität des Threat Huntings zu messen
„Threat Hunting-Teams sind in der Regel eine eigenständige Einheit von Incident Respondern und Threat-Intelligence-Experten, die Hypothesen aufstellen und diesen nachgehen. Unsere Umfrage zeigt, dass die Zahl der Unternehmen, die Threat Hunting als eine Form der Compliance oder als eine Routine-Aktivität nutzen, erneut zugenommen hat“.
„Die Ergebnisse zeigen zudem, dass Threat Hunting-Teams beginnen, ihre Prozesse und Verfahren zu formalisieren - ein Trend, der für die Branche insgesamt in die richtige Richtung geht, auch wenn die Nutzung von automatisierten Tools wie Threat Intelligence-Plattformen noch ausbaufähig ist,“ erklärt Mathias Fuchs, SANS-Instructor für den Kurs FOR508: Advanced Incident Response, Threat Hunting, and Digital Forensics und Studienautor.