Quelle: Maxam & Davis (2024), "An Interview Study on Third-Party Cyber Threat Hunting Processes in the U.S. Department of Homeland Security", arXiv:2402.12252
Die meisten Organisationen haben ein SIEM. Sie haben Regeln. Sie bekommen Alerts. Sie glauben, damit Threat Hunting zu betreiben.
Das ist kein Vorwurf, es ist ein Missverständnis. Ein Alert-System ist notwendig. Aber es ist nicht hinreichend. Der Teil, der wirklich funktioniert, fehlt bei den meisten: die zweite Schleife.
Was eine Threat-Hunt-Mission wirklich ist
Eine Mission dauert ein bis vier Wochen. Die Teams des US-Heimatschutzministeriums, die in der Studie von Maxam und Davis beschrieben werden, verbringen diese Zeit vor Ort beim Kunden, mit direktem Zugang zu den Systemen, den Logs und der Umgebung.
In dieser Zeit laufen zwei Analyse-Prozesse gleichzeitig und kontinuierlich:
Ein Analyst beschreibt es so: "Those two processes are our constant back and forth over a couple weeks that we're doing on-site until we can either find something or not."
Es ist kein Nacheinander. Es ist ein paralleles Arbeiten, zwei unterschiedliche Blickwinkel auf dieselbe Umgebung.
Loop 1: Der Alert-Pfad
Der erste Loop ist das, was viele für das Ganze halten.
Sensoren schlagen an. IOC-Treffer werden gemeldet. Signaturen matchen auf bekannte Angriffsmuster. Das Team triagiert: falsch positiv oder echter Fund? Bei echtem Fund: wie weit reicht die Kompromittierung?
Das ist solide Arbeit. Notwendige Arbeit. Aber sie hat eine strukturelle Einschränkung: Sie findet nur, was man bereits sucht. Bekannte Angriffsmuster. Bekannte Indikatoren. Bekannte Signaturen.
Gegen einen Angreifer, der seine Methoden angepasst hat, hilft dieser Pfad allein nicht.
Loop 2: Der Baseline-Pfad
Der zweite Loop beginnt ohne Vorannahme.
Das Team baut zunächst ein Bild davon auf, wie sich die Umgebung normal verhält. Welche Prozesse laufen auf welchen Systemen? Welche Verbindungen sind üblich? Welche Konten haben welche Aktivitätsmuster?
Ein Analyst formuliert es so: "The first path is your alerting path, those are your indicators and signature based detections. The second path starts with understanding the environment, which is some baseline analysis. That feeds into your two core detections: behavioral analysis and anomaly based analysis."
Aus der Baseline entstehen zwei Erkennungsformen: Verhaltensanalyse, passt das beobachtete Verhalten eines Accounts, Prozesses oder Systems zu dem, was man in dieser Umgebung erwarten würde?, und Anomalie-Erkennung, was weicht statistisch oder strukturell von der Norm ab?
Diese Erkennungsformen greifen nicht auf Signaturen zurück. Sie suchen nach dem, was anders ist, auch wenn niemand vorher wusste, dass es sich lohnt, danach zu suchen.
Arbeitsteilung nach Stärken
Der Team Lead verteilt die Rollen bewusst. Nicht alle Hunter arbeiten an beiden Schleifen gleichzeitig. Wer stärker im Alert-Pfad ist, schnelle Triage, IOC-Korrelation, bekannte TTPs, arbeitet dort. Wer stärker im analytischen Denken und in der Musterentwicklung ist, übernimmt den Baseline-Pfad.
Das klingt nach Effizienz-Optimierung. Es ist mehr als das. Die zwei Modi erfordern unterschiedliche Denkweisen. Der Alert-Pfad belohnt Geschwindigkeit und Vertrautheit mit Werkzeugen. Der Baseline-Pfad belohnt Geduld, Systematik und die Fähigkeit, Normalität erst zu verstehen, bevor man nach Abweichungen sucht.
Beide Fähigkeiten im selben Kopf zu haben ist selten. Gute Teams bauen auf beiden.
Der blinde Fleck in regulierten Branchen
Im Versicherungsumfeld, in dem ich arbeite, in einem regulierten Umfeld. Versicherungsbranche, DORA-Anforderungen, klare Dokumentationspflichten. Das schafft eine Tendenz zu dem, was messbar ist: Alerts, Tickets, Kennzahlen.
Was schwerer messbar ist: der Aufbau von Baseline-Verständnis. Wer dokumentiert, dass ein Analyst drei Tage damit verbracht hat, das normale Verhalten einer kritischen Anwendung zu verstehen? Das erscheint in keiner SLA-Auswertung.
Genau das ist der blinde Fleck. In regulierten Umgebungen wird der Alert-Pfad bevorzugt, weil er Spuren hinterlässt. Der Baseline-Pfad hinterlässt erst dann Spuren, wenn er etwas findet, oder wenn man ihn bewusst dokumentiert.
Viele Organisationen haben faktisch nur den ersten Loop. Sie merken es nicht, weil der erste Loop regelmäßig Ergebnisse produziert. Was sie nicht sehen: was der zweite Loop hätte finden können.
Was sich daraus ableiten lässt
Wer Threat Hunting aufbauen oder bewerten will, sollte eine ehrliche Bestandsaufnahme machen:
Haben wir einen Baseline-Prozess? Wissen wir, was in unserer Umgebung normal ist, konkret, dokumentiert, aktuell? Haben wir jemanden, der die Zeit und den Auftrag hat, Anomalien zu suchen, ohne vorher zu wissen, welche Anomalien er sucht?
Wenn die Antwort nein ist: Das ist kein technisches Problem. Es ist ein organisatorisches. Die Werkzeuge sind meist vorhanden. Was fehlt, ist der Prozess, und das Verständnis dafür, dass beide Schleifen zusammen mehr leisten als jede für sich.
Der vollständige Paper: arXiv:2402.12252
Gregor Lyttek ist Security Architect & AI Strategist und Threat Hunter im Versicherungsumfeld.