IT-Sicherheit 17.09.2020

Threat Hunting – Die moderne Schnitzeljagd.

In Zeiten, in denen sich Schadsoftware-Varianten rasant verbreiten, in Zeiten, in denen man nur noch darauf warten muss, gehackt zu werden oder einen Schadsoftware-Befall in seinem Netzwerk zu haben, ist es extrem wichtig, über die richtigen Tools und Skills zu verfügen, um schnellstmöglich die Gefahr zu erkennen, den „Patient Zero“ zu identifizieren und Gegenmaßnahmen einzuleiten. Genau diese Tools und Skills haben sich 17 Bechtle Security Engineers in einem Threat Hunting Workshop angeeignet …

Artikel teilen

Dirk Eberwein
Presales Security Consultant

Nach einer kurzen Einweisung in die verschiedenen Tools und Zugriffe auf die einzelnen Cisco Lösungen, wie Cisco AMP4Endpoint, Cisco Umbrella, Cisco Threat Response und Cisco Email Security, ging es schon zur Sache. Anhand einer realitätsnahen Case Study mussten die Bechtle Security-Profis den bekannten „Olympic Destroyer“ besiegen, der die IT-Infrastruktur der Olympischen Spiele in Pyeongchang im Jahr 2018 lahmlegen sollte.

Das Szenario.

"The day started like any other day. You're sitting at your desk, minding your own business. It's about 0930 on a cold, Tuesday morning. You're pounding your way through your SIEM alerts, and you're pounding your way through your second cup of coffee of the morning. So far, things are going well. And then she walks into the room. Jane Cosnowski, the CFO for your company, just stormed into your office, all pale and shaky, her laptop clutched in her trembling fists, and she says, "I just heard about this new threat called 'Olympic Destroyer' on the news this morning! This sounds terrible! Are we protected?" Now it's up to you. Let's give Jane the peace of mind she needs to get back to counting her beans and out of your hair. First of all, we need to figure out what the threat is. We're going to start by doing a Google search for Olympic Destroyer. Let's use Cisco Talos intelligence to determine what this threat is, and how to eradicate it."

Viele IT-Security-Administratoren sehen sich täglich mit den gleichen oder ähnlichen Problemen konfrontiert. Ein kleiner Hinweis aus der Presse oder ein unnormales Verhalten eines Notebooks im Netzwerk und schon beginnt die Suche nach der berühmten Nadel im Heuhaufen …

„CozyBear“ und „Fish the Phish“.

In dem Theat Hunting Workshop, der auf realistischen Szenarien basiert und einer modernen Schnitzeljagd gleicht, steigerte sich der Schwierigkeitsgrad der Aufgabenstellungen sukzessive. Wie im realen Leben erwirbt man sehr schnell neue Skills und kann sich dann vom Anfänger über den Junior Analyst zum Master Hunter hocharbeiten.

Weitere „Huntings“, neben dem Olympic Destroyer, waren die Jagd nach dem „CozyBear“ oder Phishing-Angriffe wie „Fish the Phish“, bei dem ein Unternehmen Opfer einer Phishing-Mail wurde. Die Security-Profis von Bechtle mussten in diesem Szenario, vom Einfallstor (Mail) bis hin zur internen Verbreitung und dem Befall von PCs, die komplette „Kill Chain“ durchsuchen und eine ausführliche Analyse vornehmen. Nach jedem Abschnitt wurden kursbezogene Fragen gestellt, die nur bei erfolgreicher Beantwortung den Zutritt ins nächste Level ermöglichten.

Der Cisco Threat Hunting Workshop zeigt die Aufgaben eines Security-Analysten auf und stellt zugleich einzelne Lösungen vor, die ein Unternehmen heutzutage benötigt, um für die aktuelle Gefahrenlage gewappnet zu sein.

Nach dem Workshop waren sich alle Teilnehmer einig, dass eine moderne Schnitzeljagd extrem viel Spaß macht und dass man in kürzester Zeit viel neues Wissen erwerben kann.

Wenn auch Sie an einem Threat Hunting Workshop teilnehmen möchten, dann kommen Sie gerne auf uns zu!