{"id":31721,"date":"2019-10-31T21:42:43","date_gmt":"2019-10-31T18:42:43","guid":{"rendered":"https:\/\/prohoster.info\/blog\/threat-hunting-ili-kak-zashhititsya-ot-5-ugroz\/"},"modified":"2019-10-31T21:42:43","modified_gmt":"2019-10-31T18:42:43","slug":"threat-hunting-ili-kak-zashhititsya-ot-5-ugroz","status":"publish","type":"post","link":"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/threat-hunting-ili-kak-zashhititsya-ot-5-ugroz","title":{"rendered":"Threat Hunting \u2013 oder wie man sich vor 5% der Bedrohungen sch\u00fctzt.","gt_translate_keys":[{"key":"rendered","format":"text"}]},"content":{"rendered":"<p>95 % der Sicherheitsbedrohungen sind bekannt und k\u00f6nnen mit traditionellen Mitteln wie Antivirenprogrammen, Firewalls, IDS und WAF abgewehrt werden. Die restlichen 5 % der Bedrohungen sind unbekannt und \u00e4u\u00dferst gef\u00e4hrlich. Sie machen 70 % des Risikos f\u00fcr Unternehmen aus, da sie sehr schwer zu erkennen und noch schwieriger abzuwehren sind. Beispiele daf\u00fcr sind <noindex><a rel=\"nofollow\" href=\"https:\/\/www.nytimes.com\/2007\/04\/22\/books\/chapters\/0422-1st-tale.html?_r=0\">\u201eschwarze Schw\u00e4ne\u201c<\/a><\/noindex> wie die Ransomware-Epidemien WannaCry, NotPetya\/ExPetr, Krypto-Miner, das \u201eCyberwaffen\u201c-Programm Stuxnet (das iranische Nuklearanlagen traf) und zahlreiche andere Angriffe (wer erinnert sich noch an Kido\/Conficker?), gegen die sich mit klassischen Schutzma\u00dfnahmen nicht gut verteidigen l\u00e4sst. Dar\u00fcber, wie man diesen 5 % der Bedrohungen mit der Technologie des Threat Hunting begegnen kann, m\u00f6chten wir sprechen.<\/p>\n<p><img decoding=\"async\" alt=\"Threat Hunting \u2013 oder wie man sich vor 5% der Bedrohungen sch\u00fctzt.\" src=\"\/wp-content\/uploads\/2019\/04\/122d450514502e04bd5c9159dc5a5593.gif\" style=\"display:block;margin: 0 auto;\" \/><noindex><a rel=\"nofollow\" name=\"habracut\"><\/a><\/noindex><br \/>\n Die st\u00e4ndige Entwicklung von Cyberangriffen erfordert kontinuierliche Erkennung und Abwehr, was letztendlich zu der Erkenntnis f\u00fchrt, dass wir uns in einem endlosen Wettr\u00fcsten zwischen Angreifern und Verteidigern befinden. Klassische Schutzsysteme sind nicht mehr in der Lage, ein akzeptables Schutzniveau zu gew\u00e4hrleisten, bei dem das Risiko keine negativen Auswirkungen auf die zentralen Unternehmenskennzahlen (wirtschaftliche, politische, Reputation) hat, ohne dass sie f\u00fcr die jeweilige Infrastruktur angepasst werden. Insgesamt decken sie jedoch einen Teil der Risiken ab. Schon bei der Implementierung und Konfiguration \u00fcbernehmen moderne Schutzsysteme die Rolle des Nachz\u00fcgler und m\u00fcssen auf die Herausforderungen der neuen Zeit reagieren.<\/p>\n<p><img decoding=\"async\" alt=\"Threat Hunting \u2013 oder wie man sich vor 5% der Bedrohungen sch\u00fctzt.\" src=\"\/wp-content\/uploads\/2019\/04\/eb1d64ee67c7e36a506f450f6bc36f60.gif\" style=\"display:block;margin: 0 auto;\" \/><noindex>Quelle<\/noindex><\/p>\n<p>Eine der Antworten auf die Herausforderungen der modernen Welt f\u00fcr Fachkr\u00e4fte im Bereich IT-Sicherheit k\u00f6nnte die Technologie des Threat Hunting sein. Der Begriff Threat Hunting (im Folgenden TH) ist vor einigen Jahren aufgekommen. Die Technologie selbst ist durchaus interessant, hat jedoch bisher keine allgemein anerkannten Standards oder Regeln entwickelt. Zudem erschweren die Vielfalt der Informationsquellen und die begrenzte Anzahl russischsprachiger Quellen zu diesem Thema die Situation. Aus diesem Grund haben wir bei \"LANIT-Integration\" beschlossen, eine \u00dcbersicht \u00fcber diese Technologie zu erstellen. <\/p>\n<h2>Relevanz<\/h2>\n<p>\nDie Technologie TH basiert auf Prozessen zur \u00dcberwachung der Infrastruktur.<noindex><a rel=\"nofollow\" href=\"https:\/\/lukatsky.blogspot.com\/2016\/11\/mssp-mdr.html\"> Es gibt zwei Hauptszenarien f\u00fcr die interne \u00dcberwachung \u2013 Alerting und Hunting.<\/a><\/noindex>. Alerting (im Sinne von MSSP-Diensten) ist eine traditionelle Methode, bei der zuvor entwickelte Signaturen und Anzeichen von Angriffen identifiziert und darauf reagiert wird. Traditionelle signaturbasierte Sicherheitsl\u00f6sungen f\u00fchren dieses Szenario erfolgreich durch. Hunting (eine MDR-Dienstleistung) ist eine Monitoring-Methode, die die Frage beantwortet: \u201eWoher kommen die Signaturen und Regeln?\u201c. Es handelt sich um den Prozess der Erstellung von Korrelationsregeln durch die Analyse versteckter oder zuvor unbekannter Indikatoren und Angriffssymptome. Genau diese Art des Monitorings f\u00e4llt unter Threat Hunting.<\/p>\n<p><img decoding=\"async\" alt=\"Threat Hunting \u2013 oder wie man sich vor 5% der Bedrohungen sch\u00fctzt.\" src=\"\/wp-content\/uploads\/2019\/04\/5e1620075bc3ca68e5f42ed7ed91f730.gif\" style=\"display:block;margin: 0 auto;\" \/><br \/>\nNur durch die Kombination beider \u00dcberwachungsarten erhalten wir einen nahezu idealen Schutz, jedoch bleibt immer ein gewisses Ma\u00df an Restrisiko bestehen.<\/p>\n<p><img decoding=\"async\" alt=\"Threat Hunting \u2013 oder wie man sich vor 5% der Bedrohungen sch\u00fctzt.\" src=\"\/wp-content\/uploads\/2019\/04\/2b89edcf2141c1ea3ad789908a02819d.gif\" style=\"display:block;margin: 0 auto;\" \/><i>Schutz mit zwei Arten der \u00dcberwachung<\/i><\/p>\n<p>Und hier ist, warum TH (und Hunting insgesamt!) zunehmend an Bedeutung gewinnen wird:<\/p>\n<p><img decoding=\"async\" alt=\"Threat Hunting \u2013 oder wie man sich vor 5% der Bedrohungen sch\u00fctzt.\" src=\"\/wp-content\/uploads\/2019\/04\/4c27001f933e017550d38672089da08f.gif\" style=\"display:block;margin: 0 auto;\" \/><i>Bedrohungen, Schutzmittel, Risiken.<\/i> <noindex><a rel=\"nofollow\" href=\"https:\/\/lukatsky.blogspot.com\/2016\/11\/threat-hunting.html\">Quelle<\/a><\/noindex><\/p>\n<p><noindex><a rel=\"nofollow\" href=\"https:\/\/lukatsky.blogspot.com\/2016\/11\/threat-hunting.html\">95 % aller Bedrohungen sind bereits gut erforscht<\/a><\/noindex>. Dazu geh\u00f6ren Arten wie Spam, DDoS, Viren, Rootkits und andere klassische Malware. Gegen diese Bedrohungen kann man sich mit den gleichen klassischen Schutzma\u00dfnahmen sch\u00fctzen.<\/p>\n<p>Im Verlauf jedes Projekts<noindex><a rel=\"nofollow\" href=\"https:\/\/ru.wikipedia.org\/wiki\/%D0%97%D0%B0%D0%BA%D0%BE%D0%BD_%D0%9F%D0%B0%D1%80%D0%B5%D1%82%D0%BE\"> nehmen 20 % der Zeit 80 % der Arbeit in Anspruch<\/a><\/noindex>, und die verbleibenden 20 % der Arbeit nehmen 80 % der Zeit in Anspruch. In \u00e4hnlicher Weise werden unter der gesamten Bedrohungslandschaft 5 % der neuen Bedrohungen 70 % des Risikos f\u00fcr das Unternehmen ausmachen. In einem Unternehmen, in dem Prozesse zur Informationssicherheit organisiert sind, k\u00f6nnen wir 30 % des Risikos bekannter Bedrohungen in irgendeiner Weise steuern, indem wir es vermeiden (z. B. durch den grunds\u00e4tzlichen Verzicht auf drahtlose Netzwerke), akzeptieren (indem wir die erforderlichen Schutzma\u00dfnahmen implementieren) oder auf andere (z. B. auf den Integrator) \u00fcbertragen. Sich vor<noindex><a rel=\"nofollow\" href=\"https:\/\/threatpost.ru\/windows-0day-patched-by-third-party\/30640\/\"> Zero-Day-Schwachstellen<\/a><\/noindex>, APT-Angriffen, Phishing,<noindex><a rel=\"nofollow\" href=\"https:\/\/www.cloudav.ru\/mediacenter\/news\/business-risks-supply-chain-attacks\/\"> Lieferkettenangriffen<\/a><\/noindex>, Cyber-Spionage und nationalen Operationen sowie vor einer Vielzahl anderer Angriffe zu sch\u00fctzen, ist bereits viel komplizierter. Die Auswirkungen dieser 5 % der Bedrohungen werden weitaus schwerwiegender sein (<noindex><a rel=\"nofollow\" href=\"https:\/\/www.group-ib.ru\/brochures\/gib-buhtrap-report.pdf\">der durchschnittliche Verlust eines Unternehmens durch die Buhtrap-Gruppe liegt bei 143 Millionen<\/a><\/noindex>), als die Auswirkungen von Spam oder Viren, vor denen Antivirus-Software sch\u00fctzt.<\/p>\n<p>Fast allen Unternehmen begegnen 5% der Bedrohungen. K\u00fcrzlich mussten wir eine Open-Source-L\u00f6sung einrichten, die eine Anwendung aus dem PEAR-Repository (PHP Extension and Application Repository) verwendet. Der Versuch, diese Anwendung \u00fcber pear install zu installieren, war erfolglos, da<noindex><a rel=\"nofollow\" href=\"http:\/\/pear.php.net\/\"> Website<\/a><\/noindex> es nicht verf\u00fcgbar war (mittlerweile ist es gesperrt), sodass wir es von GitHub installieren mussten. Vor kurzem stellte sich heraus, dass PEAR das Opfer wurde<noindex><a rel=\"nofollow\" href=\"https:\/\/threatpost.ru\/intruders-modified-pear-installer\/30665\/\"> einer Lieferkettenattacke.<\/a><\/noindex>.<\/p>\n<p><img decoding=\"async\" alt=\"Threat Hunting \u2013 oder wie man sich vor 5% der Bedrohungen sch\u00fctzt.\" src=\"\/wp-content\/uploads\/2019\/04\/8fd5d8332c5f859fa07e4405a1bc3c73.gif\" style=\"display:block;margin: 0 auto;\" \/><\/p>\n<p>Man kann auch an<noindex><a rel=\"nofollow\" href=\"https:\/\/habr.com\/ru\/company\/cloud4y\/blog\/338980\/\"> die CCleaner-Attacke erinnern<\/a><\/noindex>, die Ransomware-Epidemie NePetya \u00fcber das Update-Modul der Steuerberatungssoftware<noindex><a rel=\"nofollow\" href=\"https:\/\/habr.com\/ru\/company\/cloud4y\/blog\/338980\/\"> M.E.Doc<\/a><\/noindex>. Die Bedrohungen werden immer raffinierter, und die naheliegende Frage lautet: \"Wie kann man diesen 5% der Bedrohungen entgegenwirken?\"<\/p>\n<h2>Definition von Threat Hunting.<\/h2>\n<p>\nThreat Hunting ist also der Prozess der proaktiven und iterativen Suche nach fortgeschrittenen Bedrohungen, die mit traditionellen Schutzma\u00dfnahmen nicht erkannt werden k\u00f6nnen. Zu den fortgeschrittenen Bedrohungen geh\u00f6ren beispielsweise Angriffe wie APT, Angriffe auf 0-Day-Schwachstellen, Living off the Land und so weiter.<\/p>\n<p>Man kann auch sagen, dass Threat Hunting ein Prozess zur \u00dcberpr\u00fcfung von Hypothesen ist. Dies ist haupts\u00e4chlich ein manueller Prozess mit Automatisierungselementen, bei dem der Analyst, gest\u00fctzt auf sein Wissen und seine Qualifikationen, gro\u00dfe Informationsmengen durchforstet, um Anzeichen von Kompromittierungen zu finden, die der urspr\u00fcnglich definierten Hypothese \u00fcber das Vorhandensein einer bestimmten Bedrohung entsprechen. Ein wesentliches Merkmal ist die Vielfalt der Informationsquellen.<\/p>\n<p>Es ist wichtig zu betonen, dass Threat Hunting kein Software- oder Hardwareprodukt ist. Es sind keine Alarme, die in einer bestimmten L\u00f6sung angezeigt werden. Es ist kein Prozess zur Suche nach IOC (Indicators of Compromise). Und es ist keine passive Aktivit\u00e4t, die ohne Beteiligung von IT-Sicherheitsexperten durchgef\u00fchrt wird. Threat Hunting ist in erster Linie ein Prozess.<\/p>\n<h2>Die Bestandteile des Threat Huntings<\/h2>\n<p>\n<img decoding=\"async\" alt=\"Threat Hunting \u2013 oder wie man sich vor 5% der Bedrohungen sch\u00fctzt.\" src=\"\/wp-content\/uploads\/2019\/04\/c80d0ff7d7446b0976013043b48be7c3.gif\" style=\"display:block;margin: 0 auto;\" \/><br \/>\nDrei Hauptbestandteile des Threat Huntings: Daten, Technologien, Menschen.<\/p>\n<p><b>Daten (was?)<\/b>, einschlie\u00dflich Big Data. Alle Arten von Datenstr\u00f6men, Informationen \u00fcber fr\u00fchere APTs, Analysen, Daten zur Benutzeraktivit\u00e4t, Netzwerkdaten, Informationen von Mitarbeitern, Informationen aus dem Darknet und vieles mehr.<\/p>\n<p><b>Technologien (wie?)<\/b> die Verarbeitung dieser Daten \u2013 alle m\u00f6glichen Arten der Verarbeitung dieser Daten, einschlie\u00dflich Machine Learning.<\/p>\n<p><b>Menschen (wer?)<\/b> \u2013 diejenigen, die \u00fcber umfassende Erfahrung in der Analyse verschiedener Angriffe verf\u00fcgen, \u00fcber ausgepr\u00e4gte Intuition und die F\u00e4higkeit, Angriffe zu erkennen. In der Regel handelt es sich dabei um Analysten der Informationssicherheit, die die F\u00e4higkeit haben sollten, Hypothesen zu bilden und deren Best\u00e4tigung zu finden. Sie sind das zentrale Element des Prozesses.<\/p>\n<h2>PARIS-Modell<\/h2>\n<p>\nAdam Bateman<noindex><a rel=\"nofollow\" href=\"http:\/\/threathunter.guru\/blog\/the-paris-model\/\"> beschreibt<\/a><\/noindex> das PARIS-Modell f\u00fcr den idealen TH-Prozess. Der Name spielt gewisserma\u00dfen auf eine bekannte Sehensw\u00fcrdigkeit in Frankreich an. Dieses Modell kann aus zwei Blickwinkeln betrachtet werden \u2013 von oben und unten.<\/p>\n<p>Bei der Bedrohungsjagd, die einem Bottom-up-Modell folgt, begegnen wir zahlreichen Hinweisen auf sch\u00e4dliche Aktivit\u00e4ten. Jeder Hinweis hat ein Ma\u00df f\u00fcr das Vertrauen \u2013 eine Eigenschaft, die das Gewicht dieses Hinweises widerspiegelt. Es gibt \"eindeutige\" Beweise f\u00fcr sch\u00e4dliche Aktivit\u00e4ten, anhand derer wir sofort die Spitze der Pyramide erreichen und eine Benachrichtigung \u00fcber eine eindeutig bekannte Infektion erstellen k\u00f6nnen. Und es gibt indirekte Beweise, deren Summe uns ebenfalls an die Spitze der Pyramide f\u00fchren kann. Wie immer gibt es viel mehr indirekte Hinweise als direkte, weshalb wir diese sortieren und analysieren, zus\u00e4tzliche Untersuchungen durchf\u00fchren und dies idealerweise automatisieren sollten.<\/p>\n<p><img decoding=\"async\" alt=\"Threat Hunting \u2013 oder wie man sich vor 5% der Bedrohungen sch\u00fctzt.\" src=\"\/wp-content\/uploads\/2019\/04\/05de6420a8dec35f0bec3002ee812cdc.gif\" style=\"display:block;margin: 0 auto;\" \/><i>Das PARIS-Modell.<\/i> <noindex><a rel=\"nofollow\" href=\"http:\/\/threathunter.guru\/blog\/the-paris-model\/\">Quelle<\/a><\/noindex><\/p>\n<p>Der obere Teil des Modells (1 und 2) basiert auf Automatisierungstechnologien und vielf\u00e4ltigen Analysen, w\u00e4hrend der untere Teil (3 und 4) auf qualifizierten Fachkr\u00e4ften beruht, die den Prozess steuern. Man kann das Modell von oben nach unten betrachten, wobei im oberen blauen Bereich die Warnmeldungen von traditionellen Schutzmitteln (Antivirus, EDR, Firewall, Signaturen) mit hoher Zuverl\u00e4ssigkeit und Vertrauen angezeigt werden, w\u00e4hrend darunter Indikatoren (IOC, URL, MD5 und andere) zu finden sind, die weniger Vertraulichkeit bieten und weiterer Untersuchung bed\u00fcrfen. Der unterste und dickste Level (4) befasst sich mit der Hypothesengenerierung und der Schaffung neuer Szenarien f\u00fcr die Arbeit traditioneller Schutzmittel. Dieser Level beschr\u00e4nkt sich nicht nur auf die genannten Quellen von Hypothesen. Je niedriger der Level, desto h\u00f6her sind die Anforderungen an die Qualifikation des Analysten.<\/p>\n<p>Es ist von entscheidender Bedeutung, dass Analysten nicht nur einen festen Satz von zuvor definierten Hypothesen \u00fcberpr\u00fcfen, sondern kontinuierlich daran arbeiten, neue Hypothesen und Pr\u00fcfungsvarianten zu generieren.<\/p>\n<h2>TH-Nutzungsreife-Modell<\/h2>\n<p>\nIn einer idealen Welt ist TH ein kontinuierlicher Prozess. Da es jedoch keine ideale Welt gibt, lassen Sie uns analysieren<noindex><a rel=\"nofollow\" href=\"http:\/\/threathunter.guru\/blog\/threat-hunting-maturity-model\/\"> das Reifegradmodell<\/a><\/noindex> und die Methoden im Hinblick auf Menschen, Prozesse und verwendete Technologien. Lassen Sie uns das Modell des idealen sph\u00e4rischen TH betrachten. Es gibt 5 Stufen der Nutzung dieser Technologie. Wir werden diese anhand der Evolution eines bestimmten Analystenteams untersuchen.<\/p>\n<p><b>Reifegradstufen<\/b><br \/>\n<b>Menschen<\/b><br \/>\n<b>Prozesse<\/b><br \/>\n<b>Technologien<\/b><\/p>\n<p><b>Stufe 0<\/b><br \/>\nSOC-Analysten<br \/>\n24\/7<br \/>\nTraditionelle Werkzeuge:<\/p>\n<p>Traditionell<br \/>\nSet von Alarmen<br \/>\nPassives Monitoring<br \/>\nIDS, AV, Sandboxing,<\/p>\n<p><i>Ohne TH<\/i><br \/>\nArbeiten mit Alarmen<\/p>\n<p>Signaturanalyse-Tools, Threat-Intelligence-Daten.<\/p>\n<p><b>Stufe 1<\/b><br \/>\nSOC-Analysten<br \/>\nEinmaliges TH<br \/>\nEDR<\/p>\n<p>Experimentell<br \/>\nGrundkenntnisse der Forensik<br \/>\nIOC-Suche<br \/>\nTeilweise Datenerfassung von Netzwerkger\u00e4ten<\/p>\n<p><i>Experimente mit TH<\/i><br \/>\nGutes Wissen \u00fcber Netzwerke und Anwendungen<\/p>\n<p>Teilweise Anwendung<\/p>\n<p><b>Stufe 2<\/b><br \/>\nTempor\u00e4re Anstellung<br \/>\nSprints<br \/>\nEDR<\/p>\n<p>Periodisch<br \/>\nMittlere Kenntnisse der Forensik<br \/>\nEine Woche im Monat<br \/>\nVollst\u00e4ndige Anwendung<\/p>\n<p><i>Tempor\u00e4res TH<\/i><br \/>\nExzellente Kenntnisse \u00fcber Netzwerke und Anwendungen<br \/>\nRegelm\u00e4\u00dfiges TH<br \/>\nVollautomatisierte Nutzung von EDR-Daten<\/p>\n<p>Teilweise Nutzung erweiterter EDR-Funktionen<\/p>\n<p><b>Stufe 3<\/b><br \/>\nDediziertes TH-Team<br \/>\n24\/7<br \/>\nTeilweise M\u00f6glichkeit, Hypothesen zu \u00fcberpr\u00fcfen TH<\/p>\n<p>Pr\u00e4ventiv<br \/>\nHervorragende Kenntnisse in Forensik und Malware<br \/>\nPr\u00e4ventiv TH<br \/>\nVollst\u00e4ndige Nutzung der erweiterten EDR-Funktionen<\/p>\n<p><i>Einzelf\u00e4lle TH<\/i><br \/>\nAusgezeichnetes Wissen \u00fcber Angreifer<br \/>\nEinzelf\u00e4lle TH<br \/>\nVollst\u00e4ndige Abdeckung von Daten aus Netzwerkger\u00e4ten<\/p>\n<p>Konfiguration nach Bedarf<\/p>\n<p><b>Level 4<\/b><br \/>\nDediziertes TH-Team<br \/>\n24\/7<br \/>\nVollst\u00e4ndige M\u00f6glichkeit, Hypothesen zu \u00fcberpr\u00fcfen TH<\/p>\n<p>F\u00fchrend<br \/>\nHervorragende Kenntnisse in Forensik und Malware<br \/>\nPr\u00e4ventiv TH<br \/>\nLevel 3, plus:<\/p>\n<p><i>Nutzung von TH<\/i><br \/>\nAusgezeichnetes Wissen \u00fcber Angreifer<br \/>\n\u00dcberpr\u00fcfung, Automatisierung und Validierung von Hypothesen TH<br \/>\nengere Integration von Datenquellen;<\/p>\n<p>F\u00e4higkeit zur Forschung<\/p>\n<p>Entwicklung nach Bed\u00fcrfnissen und ma\u00dfgeschneiderte Nutzung von APIs.<\/p>\n<p><i>Reifegrade von TH in Bezug auf Menschen, Prozesse und Technologien<\/i><\/p>\n<p><b>Level 0:<\/b> traditionell, ohne Nutzung von TH. \u00dcbliche Analysten arbeiten mit einem standardisierten Satz an Alarmen im passiven \u00dcberwachungsmodus unter Verwendung standardm\u00e4\u00dfiger Werkzeuge und Technologien: IDS, AV, Sandboxes, Signaturanalyse-Tools.<\/p>\n<p><b>Level 1:<\/b> experimentell, unter Verwendung von TH. Die gleichen Analysten mit grundlegenden Kenntnissen der Forensik sowie einem soliden Verst\u00e4ndnis von Netzwerken und deren praktischen Anwendungen k\u00f6nnen einmalige Threat-Hunting-Aktivit\u00e4ten durch die Suche nach Anzeichen von Kompromittierungen durchf\u00fchren. Die Tools umfassen EDR mit teilweise abgedeckten Daten von Netzwerkger\u00e4ten. Diese Werkzeuge werden teilweise eingesetzt.<\/p>\n<p><b>Stufe 2:<\/b> Regelm\u00e4\u00dfige, tempor\u00e4re TH. Den gleichen Analysten, die bereits ihre Kenntnisse in Forensik, Netzwerken und praktischen Aspekten vertieft haben, wird die regelm\u00e4\u00dfige Besch\u00e4ftigung mit Threat Hunting auferlegt, sagen wir, eine Woche pro Monat. Zu den Werkzeugen geh\u00f6ren umfassende Datenanalysen von Netzwerkinfrastrukturen, die Automatisierung der Datenanalyse von EDR und die teilweise Nutzung erweiterter Funktionen von EDR.<\/p>\n<p><b>Stufe 3:<\/b> pr\u00e4ventiv, h\u00e4ufige F\u00e4lle von TH. Unser Analytikteam hat sich in einer speziellen Gruppe organisiert und verf\u00fcgt \u00fcber umfassende Kenntnisse in Forensik und Malware sowie \u00fcber Kenntnisse der Methoden und Taktiken der Angreifer. Der Prozess wird bereits rund um die Uhr durchgef\u00fchrt. Das Team ist in der Lage, Hypothesen zu TH teilweise zu \u00fcberpr\u00fcfen, indem es die erweiterten M\u00f6glichkeiten von EDR mit vollst\u00e4ndiger Datenerfassung von Netzwerkinfrastrukturen nutzt. Zudem k\u00f6nnen die Analysten die Tools nach ihren Bed\u00fcrfnissen konfigurieren.<\/p>\n<p><b>Stufe 4:<\/b> f\u00fchrend, Nutzung von TH. Das gleiche Team hat die F\u00e4higkeit zu Forschungsarbeiten erlangt und ist in der Lage, den Prozess der Hypothesenpr\u00fcfung zu generieren und zu automatisieren. Zu den Tools kommt nun eine enge Integration der Datenquellen, die Entwicklung von Software entsprechend den Bed\u00fcrfnissen und eine unkonventionelle Nutzung von APIs hinzu.<\/p>\n<h2>Techniken des Threat Hunting<\/h2>\n<p>\n<img decoding=\"async\" alt=\"Threat Hunting \u2013 oder wie man sich vor 5% der Bedrohungen sch\u00fctzt.\" src=\"\/wp-content\/uploads\/2019\/04\/2ce2c8a58773444790a03f7d0c163d76.gif\" style=\"display:block;margin: 0 auto;\" \/><i>Grundlegende Techniken des Threat Hunting<\/i><\/p>\n<p>Zu<noindex><a rel=\"nofollow\" href=\"https:\/\/www.anti-malware.ru\/analytics\/Technology_Analysis\/Cyber-Threat-Hunting-Data-Science\"> Techniken<\/a><\/noindex> des TH entsprechend dem Reifegrad der verwendeten Technologie geh\u00f6ren: grundlegende Suche, statistische Analyse, Visualisierungstechniken, einfache Aggregationen, maschinelles Lernen und bayesianische Methoden. <\/p>\n<p>Die einfachste Methode ist die grundlegende Suche, die verwendet wird, um durch spezifische Anfragen den Forschungsbereich einzugrenzen. Statistische Analysen werden beispielsweise genutzt, um ein typisches Benutzer- oder Netzwerkverhalten in Form eines statistischen Modells darzustellen. Visualisierungstechniken helfen, Daten klar darzustellen und die Analyse durch Grafiken und Diagramme zu erleichtern, in denen Muster in der Stichprobe viel einfacher zu erkennen sind. Die Technik einfacher Aggregationen nach Schl\u00fcsselbereichen wird verwendet, um die Suche und Analyse zu optimieren. Je reifer der TH-Prozess in einer Organisation wird, desto relevanter wird der Einsatz von Machine-Learning-Algorithmen. Diese werden auch vielfach zur Spamfilterung, zur Erkennung von sch\u00e4dlichem Traffic und zur Betrugserkennung eingesetzt. Eine fortgeschrittenere Art von Machine-Learning-Algorithmen sind die bayesischen Methoden, die Kategorisierungen, Dimensionsreduktionen von Stichproben und Themenmodellierungen erm\u00f6glichen.<\/p>\n<h2>Das Diamantenmodell und TH-Strategien<\/h2>\n<p>\nSergio Kaltagirone, Andrew Pendergast und Christopher Betz haben in ihrer Arbeit \u201e<noindex><a rel=\"nofollow\" href=\"https:\/\/digital-forensics.sans.org\/summit-archives\/cti_summit2014\/The_Diamond_Model_for_Intrusion_Analysis_A_Primer_Andy_Pendergast.pdf\">Das Diamantenmodell der Eindringungsanalyse<\/a><\/noindex>\u201c die wesentlichen Schl\u00fcsselelemente b\u00f6sartiger Aktivit\u00e4ten und die grundlegenden Verbindungen zwischen ihnen aufgezeigt.<\/p>\n<p><img decoding=\"async\" alt=\"Threat Hunting \u2013 oder wie man sich vor 5% der Bedrohungen sch\u00fctzt.\" src=\"\/wp-content\/uploads\/2019\/04\/2c6c165553be60a836383b1b52cb8987.gif\" style=\"display:block;margin: 0 auto;\" \/><i>Das Diamantenmodell f\u00fcr b\u00f6sartige Aktivit\u00e4ten<\/i><\/p>\n<p>Laut diesem Modell gibt es 4 Strategien f\u00fcr Threat Hunting, die sich auf die entsprechenden Schl\u00fcsselelemente st\u00fctzen.<\/p>\n<p>1. Opferorientierte Strategie. Wir nehmen an, dass das Opfer Feinde hat, die \u201eM\u00f6glichkeiten\u201c \u00fcber E-Mails verschicken. Wir suchen nach Informationen des Feindes in den E-Mails. Suche nach Links, Anh\u00e4ngen usw. Wir \u00fcberpr\u00fcfen diese Hypothese \u00fcber einen bestimmten Zeitraum (einen Monat, zwei Wochen); wenn wir nichts finden, hat die Hypothese nicht funktioniert.<\/p>\n<p>2. Infrastrukturorientierte Strategie. Es gibt mehrere Methoden zur Umsetzung dieser Strategie. Je nach Zugriff und Sichtbarkeit sind einige leichter als andere. Beispielsweise \u00fcberwachen wir Server von Domainnamen, die daf\u00fcr bekannt sind, b\u00f6sartige Domains zu hosten. Oder wir verfolgen alle neuen Domainregistrierungen auf bekannte Muster, die vom Gegner verwendet werden.<\/p>\n<p>3. Chancenorientierte Strategie. Neben der opportunistisch orientierten Strategie, die von den meisten Netzwerksch\u00fctzern verwendet wird, gibt es eine strategie, die auf M\u00f6glichkeiten fokussiert ist. Diese ist die zweith\u00e4ufigste und konzentriert sich auf die Erkennung von Gelegenheiten seitens des Gegners, insbesondere \u201eMalware\u201c und die M\u00f6glichkeit, dass der Gegner legitime Tools wie psexec, powershell, certutil und andere einsetzt.<\/p>\n<p>4. Gegnerorientierte Strategie. Der gegnerorientierte Ansatz konzentriert sich auf den Gegner selbst. Dazu geh\u00f6rt die Nutzung \u00f6ffentlicher Informationen aus allgemein zug\u00e4nglichen Quellen (OSINT), das Sammeln von Daten \u00fcber den Gegner, seine Techniken und Methoden (TTP), die Analyse fr\u00fcherer Vorf\u00e4lle, Threat Intelligence-Daten usw.<\/p>\n<h2>Informationsquellen und Hypothesen im TH<\/h2>\n<p>\n<img decoding=\"async\" alt=\"Threat Hunting \u2013 oder wie man sich vor 5% der Bedrohungen sch\u00fctzt.\" src=\"\/wp-content\/uploads\/2019\/04\/d2d586c4e52ee73a45c7eb151298e866.gif\" style=\"display:block;margin: 0 auto;\" \/><i>Einige Informationsquellen f\u00fcr Threat Hunting<\/i><\/p>\n<p>Es gibt eine Vielzahl von Informationsquellen. Ein idealer Analyst sollte in der Lage sein, Informationen aus allem zu beschaffen, was ihn umgibt. Typische Quellen in nahezu jeder Infrastruktur sind Daten von Sicherheitsl\u00f6sungen: DLP, SIEM, IDS\/IPS, WAF\/FW, EDR. Dazu kommen diverse Indikatoren f\u00fcr Kompromittierungen, Threat Intelligence-Dienste, Daten von CERT und OSINT. Zus\u00e4tzlich kann auch Informationen aus dem Darknet genutzt werden (zum Beispiel wenn pl\u00f6tzlich ein Auftrag zum Hacken des E-Mail-Postfachs des Gesch\u00e4ftsf\u00fchrers vorliegt, oder wenn ein Kandidat f\u00fcr die Position eines Netzwerkingenieurs auff\u00e4llt), Informationen von HR (Bewertungen \u00fcber den Kandidaten von fr\u00fcheren Arbeitsstellen) und Informationen von der Sicherheitsabteilung (zum Beispiel Ergebnisse einer \u00dcberpr\u00fcfung des Vertragspartners).<\/p>\n<p>Aber bevor man alle verf\u00fcgbaren Quellen nutzt, sollte man mindestens eine Hypothese aufstellen.<\/p>\n<p><img decoding=\"async\" alt=\"Threat Hunting \u2013 oder wie man sich vor 5% der Bedrohungen sch\u00fctzt.\" src=\"\/wp-content\/uploads\/2019\/04\/2169b4ac3393626d1810770c9d107f90.gif\" style=\"display:block;margin: 0 auto;\" \/><noindex><a rel=\"nofollow\" href=\"https:\/\/www.anti-malware.ru\/analytics\/Technology_Analysis\/generation-hypotheses-Threat-Hunting\">Quelle<\/a><\/noindex><\/p>\n<p>Um Hypothesen zu \u00fcberpr\u00fcfen, m\u00fcssen sie zun\u00e4chst formuliert werden. Und um viele qualitativ hochwertige Hypothesen aufzustellen, ist ein systematischer Ansatz erforderlich. Der Prozess der Hypothesenbildung wird ausf\u00fchrlicher beschrieben in<noindex><a rel=\"nofollow\" href=\"https:\/\/www.anti-malware.ru\/analytics\/Technology_Analysis\/generation-hypotheses-Threat-Hunting\"> Artikel<\/a><\/noindex>, als Grundlage f\u00fcr den Hypothesenbildungsprozess ist es sehr praktisch, dieses Schema zu verwenden.<\/p>\n<p>Die Hauptquelle f\u00fcr Hypothesen wird sein <b>die ATT&amp;CK-Matrix<\/b> (Adversarial Tactics, Techniques and Common Knowledge). Sie ist im Wesentlichen eine Wissensdatenbank und ein Modell zur Bewertung des Verhaltens von Angreifern, die ihre Aktivit\u00e4ten in den letzten Phasen eines Angriffs durchf\u00fchren, typischerweise beschrieben durch das Konzept der Kill Chain. Das bedeutet, in den Phasen nach dem Eindringen des Angreifers in das interne Netzwerk eines Unternehmens oder auf ein mobiles Ger\u00e4t. Urspr\u00fcnglich umfasste die Wissensdatenbank die Beschreibung von 121 Taktiken und Techniken, die bei Angriffen verwendet werden, von denen jede detailliert im Wiki-Format beschrieben ist. Eine Vielzahl von Threat Intelligence-Analysen dient gut als Quelle zur Generierung von Hypothesen. Besonders hervorzuheben sind die Ergebnisse von Infrastruktur-Analysen und Penetrationstests \u2013 dies sind die wertvollsten Daten, die uns solide Hypothesen liefern k\u00f6nnen, da sie sich auf konkrete Infrastrukturen mit ihren spezifischen Schw\u00e4chen st\u00fctzen.<\/p>\n<h2>Der Prozess der \u00dcberpr\u00fcfung von Hypothesen<\/h2>\n<p>\nSerguei Soldatov pr\u00e4sentierte<noindex><a rel=\"nofollow\" href=\"http:\/\/reply-to-all.blogspot.com\/2016\/10\/bis-summit.html\"> ein gutes Schema<\/a><\/noindex> Mit einer detaillierten Beschreibung des Prozesses veranschaulicht sie die \u00dcberpr\u00fcfung von Hypothesen TH in einem bestimmten System. Ich werde die wichtigsten Schritte mit einer kurzen Beschreibung angeben.<\/p>\n<p><img decoding=\"async\" alt=\"Threat Hunting \u2013 oder wie man sich vor 5% der Bedrohungen sch\u00fctzt.\" src=\"\/wp-content\/uploads\/2019\/04\/62721f0baea687467566949b4d22c4d2.gif\" style=\"display:block;margin: 0 auto;\" \/><noindex><a rel=\"nofollow\" href=\"https:\/\/www.anti-malware.ru\/analytics\/Technology_Analysis\/generation-hypotheses-Threat-Hunting\">Quelle<\/a><\/noindex> <\/p>\n<p><b>Schritt 1: TI Farm<\/b><\/p>\n<p>In diesem Schritt m\u00fcssen <b>Objekte<\/b> identifiziert werden (durch Analyse aller Bedrohungsdaten) und mit den entsprechenden Attributtags versehen werden. Dies k\u00f6nnen Dateien, URLs, MD5-Hashes, Prozesse, Tools oder Ereignisse sein. Sie sollten durch die Systeme der Bedrohungsanalyse geleitet und entsprechend markiert werden. Das bedeutet, dass diese Website in einem bestimmten Jahr in CNC beobachtet wurde, dieser MD5-Hash mit einer bestimmten Malware assoziiert war und dieser MD5-Hash von einer Website heruntergeladen wurde, die Malware verbreitete.<\/p>\n<p><b>Schritt 2: F\u00e4lle<\/b><\/p>\n<p>Im zweiten Schritt betrachten wir die Interaktionen zwischen diesen Objekten und identifizieren die Zusammenh\u00e4nge. Wir erhalten gekennzeichnete Systeme, die etwas Unerw\u00fcnschtes tun.<\/p>\n<p><b>Schritt 3: Analytiker<\/b><\/p>\n<p>Im dritten Schritt wird der Fall einem erfahrenen Analysten \u00fcbergeben, der \u00fcber umfangreiche Erfahrung in der Analyse verf\u00fcgt. Er wird die Situation bis ins kleinste Detail untersuchen: was, woher, wie, warum dieser Code agiert. Dieser K\u00f6rper war b\u00f6sartig, dieser Computer war infiziert. Er deckt die Verbindungen zwischen den Objekten auf und \u00fcberpr\u00fcft die Ergebnisse der Ausf\u00fchrung im Sandbox-Umfeld.<\/p>\n<p>Die Ergebnisse der Analystenarbeit werden weitergegeben. Digital Forensics untersucht die Images, Malware Analysis analysiert die gefundenen \"K\u00f6rper\", w\u00e4hrend das Incident Response-Team vor Ort entsendet werden kann, um bereits vorhandenere Elemente zu untersuchen. Das Ergebnis dieser Arbeit wird eine best\u00e4tigte Hypothese, eine identifizierte Bedrohung und Ma\u00dfnahmen zu deren Bek\u00e4mpfung sein.<\/p>\n<p><img decoding=\"async\" alt=\"Threat Hunting \u2013 oder wie man sich vor 5% der Bedrohungen sch\u00fctzt.\" src=\"\/wp-content\/uploads\/2019\/04\/94dcee9918011a6f7c32551c09a6e600.gif\" style=\"display:block;margin: 0 auto;\" \/><noindex><a rel=\"nofollow\" href=\"https:\/\/www.flickr.com\/photos\/megane_wakui\/22066181186\/\">Quelle<\/a><\/noindex><br \/>\n \u00a0<\/p>\n<h2>Ergebnisse<\/h2>\n<p>\nThreat Hunting ist eine relativ neue Technologie, die effektiv gegen ma\u00dfgeschneiderte, neue und unkonventionelle Bedrohungen vorgehen kann. Angesichts des Anstiegs solcher Bedrohungen und der Komplexit\u00e4t von Unternehmensinfrastrukturen bietet sie gro\u00dfes Potenzial. Sie erfordert drei Komponenten \u2013 Daten, Werkzeuge und Analysten. Der Nutzen von Threat Hunting beschr\u00e4nkt sich nicht nur auf die Vorbeugung von Bedrohungen. Es ist wichtig zu beachten, dass wir im Suchprozess unsere Infrastruktur und deren Schwachstellen durch die Augen eines Sicherheitsexperten analysieren und dabei diese Schwachstellen zus\u00e4tzlich verst\u00e4rken k\u00f6nnen.<\/p>\n<p>Die ersten Schritte, die wir f\u00fcr notwendig halten, um den Prozess des Threat Hunting in Ihrer Organisation zu initiieren.<\/p>\n<ol>\n<li>Sichern Sie die Endger\u00e4te und die Netzwerkinfrastruktur. Stellen Sie die Sichtbarkeit (NetFlow) und Kontrolle (Firewall, IDS, IPS, DLP) aller Prozesse in Ihrem Netzwerk sicher. Kennen Sie Ihr Netzwerk vom Grenzrouter bis zum letzten Host.<\/li>\n<li>Erforschen<noindex><a rel=\"nofollow\" href=\"https:\/\/attack.mitre.org\/\"> MITRE ATT&amp;CK<\/a><\/noindex>.<\/li>\n<li>F\u00fchren Sie regelm\u00e4\u00dfige Penetrationstests mindestens f\u00fcr wichtige externe Ressourcen durch, analysieren Sie die Ergebnisse, identifizieren Sie die Hauptziele f\u00fcr Angriffe und schlie\u00dfen Sie deren Schwachstellen.<\/li>\n<li>Implementieren Sie ein Open-Source-Threat-Intelligence-System (z. B. MISP, Yeti) und f\u00fchren Sie gemeinsam mit diesem eine Protokollanalyse durch.<\/li>\n<li>Implementieren Sie eine Incident-Response-Plattform (IRP): R-Vision IRP, The Hive, eine Sandbox f\u00fcr die Analyse verd\u00e4chtiger Dateien (FortiSandbox, Cuckoo).<\/li>\n<li>Automatisieren Sie Routineprozesse. Protokollanalysen, Ereigniserfassung, Information des Personals \u2013 hier gibt es enormes Automatisierungspotenzial.<\/li>\n<li>Lernen Sie, effektiv mit Ingenieuren, Entwicklern und dem technischen Support zusammenzuarbeiten, um gemeinsam an Vorf\u00e4llen zu arbeiten.<\/li>\n<li>Dokumentieren Sie den gesamten Prozess, wichtige Punkte und erzielte Ergebnisse, um sp\u00e4ter darauf zur\u00fcckzugreifen oder diese Informationen mit Kollegen zu teilen.<\/li>\n<li>Denken Sie an die soziale Dimension: Seien Sie sich bewusst, was mit Ihren Mitarbeitern passiert, wen Sie einstellen und wem Sie Zugang zu den Informationsressourcen der Organisation gew\u00e4hren.<\/li>\n<li>Bleiben Sie \u00fcber Trends in Bezug auf neue Bedrohungen und Schutzma\u00dfnahmen informiert, erh\u00f6hen Sie Ihr technisches Wissen (einschlie\u00dflich \u00fcber IT-Services und Subsysteme), besuchen Sie Konferenzen und tauschen Sie sich mit Kollegen aus.<\/li>\n<\/ol>\n<p>\nIch bin bereit, die Organisation des TH-Prozesses in den Kommentaren zu diskutieren.<\/p>\n<p><b class=\"spoiler_title\">Oder kommen Sie zu uns ins Team!<\/b><\/p>\n<ul>\n<li><noindex><a rel=\"nofollow\" href=\"https:\/\/job.lanit.ru\/vacancy\/Pages\/MM-31.aspx?utm_source=habr&amp;utm_medium=post-2019-04-16&amp;utm_campaign=dsi\">Leitender Berater f\u00fcr Informationssicherheit<\/a><\/noindex><\/li>\n<li><noindex><a rel=\"nofollow\" href=\"https:\/\/job.lanit.ru\/vacancy\/Pages\/MM-163.aspx?utm_source=habr&amp;utm_medium=post-2019-04-16&amp;utm_campaign=dsi\">Systemarchitekt f\u00fcr Informationssicherheit<\/a><\/noindex><\/li>\n<li><noindex><a rel=\"nofollow\" href=\"https:\/\/job.lanit.ru\/vacancy\/Pages\/MM-4.aspx?utm_source=habr&amp;utm_medium=post-2019-04-16&amp;utm_campaign=dsi\">Leitender Ingenieur f\u00fcr Netzwerksicherheit<\/a><\/noindex><\/li>\n<li><noindex><a rel=\"nofollow\" href=\"https:\/\/job.lanit.ru\/vacancy\/Pages\/MM-136.aspx?utm_source=habr&amp;utm_medium=post-2019-04-16&amp;utm_campaign=dsi\">Leitender Ingenieur f\u00fcr Informationssicherheit (SIEM)<\/a><\/noindex><\/li>\n<li><noindex><a rel=\"nofollow\" href=\"https:\/\/job.lanit.ru\/vacancy\/Pages\/MM-100.aspx?utm_source=habr&amp;utm_medium=post-2019-04-16&amp;utm_campaign=dsi\">Sicherheitsarchitekt (Anwendungsbereich)<\/a><\/noindex><\/li>\n<\/ul>\n<p>\n<b class=\"spoiler_title\">Quellen und Materialien zum Lernen<\/b><\/p>\n<ul>\n<li><noindex><a rel=\"nofollow\" href=\"http:\/\/threathunter.guru\/\">threathunter.guru<\/a><\/noindex><\/li>\n<li><noindex><a rel=\"nofollow\" href=\"https:\/\/attack.mitre.org\/\">attack.mitre.org<\/a><\/noindex><\/li>\n<li><noindex><a rel=\"nofollow\" href=\"https:\/\/digital-forensics.sans.org\/summit-archives\/cti_summit2014\/The_Diamond_Model_for_Intrusion_Analysis_A_Primer_Andy_Pendergast.pdf\">digital-forensics.sans.org<\/a><\/noindex><\/li>\n<li><noindex><a rel=\"nofollow\" href=\"https:\/\/resources.infosecinstitute.com\/category\/enterprise\/threat-hunting\/\">resources.infosecinstitute.com<\/a><\/noindex><\/li>\n<li><noindex><a rel=\"nofollow\" href=\"https:\/\/www.redcanary.com\/blog\/threat-hunting-not-a-magical-unicorn\/\">www.redcanary.com<\/a><\/noindex><\/li>\n<li><noindex><a rel=\"nofollow\" href=\"https:\/\/www.cybereason.com\/blog\/blog-the-eight-steps-to-threat-hunting\">www.cybereason.com<\/a><\/noindex><\/li>\n<li><noindex><a rel=\"nofollow\" href=\"https:\/\/www.anti-malware.ru\/analytics\/Technology_Analysis\/generation-hypotheses-Threat-Hunting\">www.anti-malware.ru<\/a><\/noindex><\/li>\n<li><noindex><a rel=\"nofollow\" href=\"https:\/\/www.anti-malware.ru\/analytics\/Technology_Analysis\/Cyber-Threat-Hunting-Data-Science\">www.anti-malware.ru<\/a><\/noindex><\/li>\n<li><noindex><a rel=\"nofollow\" href=\"http:\/\/reply-to-all.blogspot.com\/2016\/10\/bis-summit.html\">reply-to-all.blogspot.com<\/a><\/noindex><\/li>\n<li><noindex><a rel=\"nofollow\" href=\"https:\/\/lukatsky.blogspot.com\/2016\/11\/threat-hunting.html\">lukatsky.blogspot.com<\/a><\/noindex><\/li>\n<li><noindex><a rel=\"nofollow\" href=\"https:\/\/whitepapers.theregister.co.uk\/paper\/view\/6965\/threat-hunting-for-dummies\">whitepapers.theregister.co.uk<\/a><\/noindex><\/li>\n<\/ul>\n<p>Quelle: <a content=\"nofollow\" rel=\"nofollow\" href=\"https:\/\/habr.com\/ru\/company\/lanit\/blog\/447580\/\">habr.com<\/a><\/p>","protected":false,"gt_translate_keys":[{"key":"rendered","format":"html"}]},"excerpt":{"rendered":"<p>95% \u0443\u0433\u0440\u043e\u0437 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u043e\u043d\u043d\u043e\u0439 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u044f\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u044b\u043c\u0438, \u0438 \u0437\u0430\u0449\u0438\u0442\u0438\u0442\u044c\u0441\u044f \u043e\u0442 \u043d\u0438\u0445 \u043c\u043e\u0436\u043d\u043e \u0442\u0440\u0430\u0434\u0438\u0446\u0438\u043e\u043d\u043d\u044b\u043c\u0438 \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0430\u043c\u0438 \u0442\u0438\u043f\u0430 \u0430\u043d\u0442\u0438\u0432\u0438\u0440\u0443\u0441\u043e\u0432, \u043c\u0435\u0436\u0441\u0435\u0442\u0435\u0432\u044b\u0445 \u044d\u043a\u0440\u0430\u043d\u043e\u0432, IDS, WAF. \u041e\u0441\u0442\u0430\u043b\u044c\u043d\u044b\u0435 5% \u0443\u0433\u0440\u043e\u0437 \u2013 \u043d\u0435\u0438\u0437\u0432\u0435\u0441\u0442\u043d\u044b\u0435 \u0438 \u0441\u0430\u043c\u044b\u0435 \u043e\u043f\u0430\u0441\u043d\u044b\u0435. \u041e\u043d\u0438 \u0441\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u044e\u0442 70% \u0440\u0438\u0441\u043a\u0430 \u0434\u043b\u044f \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0438 \u0432 \u0441\u0438\u043b\u0443 \u0442\u043e\u0433\u043e, \u0447\u0442\u043e \u043e\u0447\u0435\u043d\u044c \u043d\u0435\u043f\u0440\u043e\u0441\u0442\u043e \u0438\u0445 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0442\u044c \u0438 \u0443\u0436 \u0442\u0435\u043c \u0431\u043e\u043b\u0435\u0435 \u043e\u0442 \u043d\u0438\u0445 \u0437\u0430\u0449\u0438\u0442\u0438\u0442\u044c\u0441\u044f. \u041f\u0440\u0438\u043c\u0435\u0440\u0430\u043c\u0438 \u00ab\u0447\u0435\u0440\u043d\u044b\u0445 \u043b\u0435\u0431\u0435\u0434\u0435\u0439\u00bb \u044f\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u044d\u043f\u0438\u0434\u0435\u043c\u0438\u0438 \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043b\u044c\u0449\u0438\u043a\u043e\u0432 WannaCry, [&hellip;]<\/p>\n","protected":false,"gt_translate_keys":[{"key":"rendered","format":"html"}]},"author":1,"featured_media":23622,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[688],"tags":[],"class_list":["post-31721","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-administrirovanie"],"aioseo_notices":[],"aioseo_head":"\n\t\t<!-- All in One SEO 4.9.10 - aioseo.com -->\n\t<meta name=\"description\" content=\"95% \u0443\u0433\u0440\u043e\u0437 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u043e\u043d\u043d\u043e\u0439 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u044f\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u044b\u043c\u0438, \u0438 \u0437\u0430\u0449\u0438\u0442\u0438\u0442\u044c\u0441\u044f \u043e\u0442 \u043d\u0438\u0445 \u043c\u043e\u0436\u043d\u043e \u0442\u0440\u0430\u0434\u0438\u0446\u0438\u043e\u043d\u043d\u044b\u043c\u0438 \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0430\u043c\u0438 \u0442\u0438\u043f\u0430 \u0430\u043d\u0442\u0438\u0432\u0438\u0440\u0443\u0441\u043e\u0432, \u043c\u0435\u0436\u0441\u0435\u0442\u0435\u0432\u044b\u0445 \u044d\u043a\u0440\u0430\u043d\u043e\u0432, IDS, WAF. \u041e\u0441\u0442\u0430\u043b\u044c\u043d\u044b\u0435 5% \u0443\u0433\u0440\u043e\u0437 \u2013 \u043d\u0435\u0438\u0437\u0432\u0435\u0441\u0442\u043d\u044b\u0435 \u0438 \u0441\u0430\u043c\u044b\u0435 \u043e\u043f\u0430\u0441\u043d\u044b\u0435. \u041e\u043d\u0438 \u0441\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u044e\u0442 70% \u0440\u0438\u0441\u043a\u0430 \u0434\u043b\u044f \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0438 \u0432 \u0441\u0438\u043b\u0443 \u0442\u043e\u0433\u043e, \u0447\u0442\u043e \u043e\u0447\u0435\u043d\u044c \u043d\u0435\u043f\u0440\u043e\u0441\u0442\u043e \u0438\u0445 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0442\u044c \u0438 \u0443\u0436 \u0442\u0435\u043c \u0431\u043e\u043b\u0435\u0435 \u043e\u0442 \u043d\u0438\u0445 \u0437\u0430\u0449\u0438\u0442\u0438\u0442\u044c\u0441\u044f. \u041f\u0440\u0438\u043c\u0435\u0440\u0430\u043c\u0438 \u00ab\u0447\u0435\u0440\u043d\u044b\u0445 \u043b\u0435\u0431\u0435\u0434\u0435\u0439\u00bb \u044f\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u044d\u043f\u0438\u0434\u0435\u043c\u0438\u0438 \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043b\u044c\u0449\u0438\u043a\u043e\u0432 WannaCry,\" \/>\n\t<meta name=\"robots\" content=\"max-image-preview:large\" \/>\n\t<meta name=\"author\" content=\"Yuri Gagarin\"\/>\n\t<link rel=\"canonical\" href=\"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/threat-hunting-ili-kak-zashhititsya-ot-5-ugroz\" \/>\n\t<meta name=\"generator\" content=\"All in One SEO (AIOSEO) 4.9.10\" \/>\n\t\t<meta property=\"og:locale\" content=\"de_DE\" \/>\n\t\t<meta property=\"og:site_name\" content=\"ProHoster | \u041a\u0443\u043f\u0438\u0442\u044c \u043d\u0430\u0434\u0435\u0436\u043d\u044b\u0439 \u0445\u043e\u0441\u0442\u0438\u043d\u0433 \u0434\u043b\u044f \u0441\u0430\u0439\u0442\u043e\u0432 \u0441 \u0437\u0430\u0449\u0438\u0442\u043e\u0439 \u043e\u0442 DDoS, VPS VDS \u0441\u0435\u0440\u0432\u0435\u0440\u044b\" \/>\n\t\t<meta property=\"og:type\" content=\"article\" \/>\n\t\t<meta property=\"og:title\" content=\"\ud83e\udd47Threat Hunting, \u0438\u043b\u0438 \u041a\u0430\u043a \u0437\u0430\u0449\u0438\u0442\u0438\u0442\u044c\u0441\u044f \u043e\u0442 5% \u0443\u0433\u0440\u043e\u0437 | ProHoster\" \/>\n\t\t<meta property=\"og:description\" content=\"95% \u0443\u0433\u0440\u043e\u0437 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u043e\u043d\u043d\u043e\u0439 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u044f\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u044b\u043c\u0438, \u0438 \u0437\u0430\u0449\u0438\u0442\u0438\u0442\u044c\u0441\u044f \u043e\u0442 \u043d\u0438\u0445 \u043c\u043e\u0436\u043d\u043e \u0442\u0440\u0430\u0434\u0438\u0446\u0438\u043e\u043d\u043d\u044b\u043c\u0438 \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0430\u043c\u0438 \u0442\u0438\u043f\u0430 \u0430\u043d\u0442\u0438\u0432\u0438\u0440\u0443\u0441\u043e\u0432, \u043c\u0435\u0436\u0441\u0435\u0442\u0435\u0432\u044b\u0445 \u044d\u043a\u0440\u0430\u043d\u043e\u0432, IDS, WAF. \u041e\u0441\u0442\u0430\u043b\u044c\u043d\u044b\u0435 5% \u0443\u0433\u0440\u043e\u0437 \u2013 \u043d\u0435\u0438\u0437\u0432\u0435\u0441\u0442\u043d\u044b\u0435 \u0438 \u0441\u0430\u043c\u044b\u0435 \u043e\u043f\u0430\u0441\u043d\u044b\u0435. \u041e\u043d\u0438 \u0441\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u044e\u0442 70% \u0440\u0438\u0441\u043a\u0430 \u0434\u043b\u044f \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0438 \u0432 \u0441\u0438\u043b\u0443 \u0442\u043e\u0433\u043e, \u0447\u0442\u043e \u043e\u0447\u0435\u043d\u044c \u043d\u0435\u043f\u0440\u043e\u0441\u0442\u043e \u0438\u0445 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0442\u044c \u0438 \u0443\u0436 \u0442\u0435\u043c \u0431\u043e\u043b\u0435\u0435 \u043e\u0442 \u043d\u0438\u0445 \u0437\u0430\u0449\u0438\u0442\u0438\u0442\u044c\u0441\u044f. \u041f\u0440\u0438\u043c\u0435\u0440\u0430\u043c\u0438 \u00ab\u0447\u0435\u0440\u043d\u044b\u0445 \u043b\u0435\u0431\u0435\u0434\u0435\u0439\u00bb \u044f\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u044d\u043f\u0438\u0434\u0435\u043c\u0438\u0438 \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043b\u044c\u0449\u0438\u043a\u043e\u0432 WannaCry,\" \/>\n\t\t<meta property=\"og:url\" content=\"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/threat-hunting-ili-kak-zashhititsya-ot-5-ugroz\" \/>\n\t\t<meta property=\"og:image\" content=\"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg\" \/>\n\t\t<meta property=\"og:image:secure_url\" content=\"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg\" \/>\n\t\t<meta property=\"og:image:width\" content=\"350\" \/>\n\t\t<meta property=\"og:image:height\" content=\"350\" \/>\n\t\t<meta property=\"article:published_time\" content=\"2019-10-31T18:42:43+00:00\" \/>\n\t\t<meta property=\"article:modified_time\" content=\"2019-10-31T18:42:43+00:00\" \/>\n\t\t<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/prohoster\" \/>\n\t\t<meta property=\"article:author\" content=\"https:\/\/www.facebook.com\/prohoster\" \/>\n\t\t<!-- All in One SEO -->\n\n","aioseo_head_json":{"title":"\ud83e\udd47Threat Hunting, oder Wie man sich gegen 5 % der Bedrohungen sch\u00fctzt | ProHoster","description":"95 % der Sicherheitsbedrohungen sind bekannt und k\u00f6nnen mit herk\u00f6mmlichen Mitteln wie Antiviren-Programmen, Firewalls, IDS und WAF abgewehrt werden. Die verbleibenden 5 % der Bedrohungen sind unbekannt und die gef\u00e4hrlichsten. Sie verursachen 70 % des Risikos f\u00fcr Unternehmen, da sie schwer zu erkennen und noch schwieriger zu bek\u00e4mpfen sind. Beispiele f\u00fcr solche \"schwarzen Schw\u00e4ne\" sind die WannaCry-Ransomware-Epidemien.","canonical_url":"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/threat-hunting-ili-kak-zashhititsya-ot-5-ugroz","robots":"max-image-preview:large","keywords":"","webmasterTools":{"miscellaneous":""},"schema":null,"og:locale":"de_DE","og:site_name":"ProHoster | \u041a\u0443\u043f\u0438\u0442\u044c \u043d\u0430\u0434\u0435\u0436\u043d\u044b\u0439 \u0445\u043e\u0441\u0442\u0438\u043d\u0433 \u0434\u043b\u044f \u0441\u0430\u0439\u0442\u043e\u0432 \u0441 \u0437\u0430\u0449\u0438\u0442\u043e\u0439 \u043e\u0442 DDoS, VPS VDS \u0441\u0435\u0440\u0432\u0435\u0440\u044b","og:type":"article","og:title":"\ud83e\udd47Threat Hunting, \u0438\u043b\u0438 \u041a\u0430\u043a \u0437\u0430\u0449\u0438\u0442\u0438\u0442\u044c\u0441\u044f \u043e\u0442 5% \u0443\u0433\u0440\u043e\u0437 | ProHoster","og:description":"95% \u0443\u0433\u0440\u043e\u0437 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u043e\u043d\u043d\u043e\u0439 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u044f\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u044b\u043c\u0438, \u0438 \u0437\u0430\u0449\u0438\u0442\u0438\u0442\u044c\u0441\u044f \u043e\u0442 \u043d\u0438\u0445 \u043c\u043e\u0436\u043d\u043e \u0442\u0440\u0430\u0434\u0438\u0446\u0438\u043e\u043d\u043d\u044b\u043c\u0438 \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0430\u043c\u0438 \u0442\u0438\u043f\u0430 \u0430\u043d\u0442\u0438\u0432\u0438\u0440\u0443\u0441\u043e\u0432, \u043c\u0435\u0436\u0441\u0435\u0442\u0435\u0432\u044b\u0445 \u044d\u043a\u0440\u0430\u043d\u043e\u0432, IDS, WAF. \u041e\u0441\u0442\u0430\u043b\u044c\u043d\u044b\u0435 5% \u0443\u0433\u0440\u043e\u0437 \u2013 \u043d\u0435\u0438\u0437\u0432\u0435\u0441\u0442\u043d\u044b\u0435 \u0438 \u0441\u0430\u043c\u044b\u0435 \u043e\u043f\u0430\u0441\u043d\u044b\u0435. \u041e\u043d\u0438 \u0441\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u044e\u0442 70% \u0440\u0438\u0441\u043a\u0430 \u0434\u043b\u044f \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0438 \u0432 \u0441\u0438\u043b\u0443 \u0442\u043e\u0433\u043e, \u0447\u0442\u043e \u043e\u0447\u0435\u043d\u044c \u043d\u0435\u043f\u0440\u043e\u0441\u0442\u043e \u0438\u0445 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0442\u044c \u0438 \u0443\u0436 \u0442\u0435\u043c \u0431\u043e\u043b\u0435\u0435 \u043e\u0442 \u043d\u0438\u0445 \u0437\u0430\u0449\u0438\u0442\u0438\u0442\u044c\u0441\u044f. \u041f\u0440\u0438\u043c\u0435\u0440\u0430\u043c\u0438 \u00ab\u0447\u0435\u0440\u043d\u044b\u0445 \u043b\u0435\u0431\u0435\u0434\u0435\u0439\u00bb \u044f\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u044d\u043f\u0438\u0434\u0435\u043c\u0438\u0438 \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043b\u044c\u0449\u0438\u043a\u043e\u0432 WannaCry,","og:url":"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/threat-hunting-ili-kak-zashhititsya-ot-5-ugroz","og:image":"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg","og:image:secure_url":"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg","og:image:width":350,"og:image:height":350,"article:published_time":"2019-10-31T18:42:43+00:00","article:modified_time":"2019-10-31T18:42:43+00:00","article:publisher":"https:\/\/www.facebook.com\/prohoster","article:author":"https:\/\/www.facebook.com\/prohoster"},"aioseo_meta_data":{"post_id":"31721","title":null,"description":null,"keywords":null,"keyphrases":null,"primary_term":null,"canonical_url":null,"og_title":null,"og_description":null,"og_object_type":"default","og_image_type":"default","og_image_url":null,"og_image_width":null,"og_image_height":null,"og_image_custom_url":null,"og_image_custom_fields":null,"og_video":null,"og_custom_url":null,"og_article_section":null,"og_article_tags":null,"twitter_use_og":false,"twitter_card":"default","twitter_image_type":"default","twitter_image_url":null,"twitter_image_custom_url":null,"twitter_image_custom_fields":null,"twitter_title":null,"twitter_description":null,"schema":{"blockGraphs":[],"customGraphs":[],"default":{"data":{"Article":[],"Course":[],"Dataset":[],"FAQPage":[],"Movie":[],"Person":[],"Product":[],"ProductReview":[],"Car":[],"Recipe":[],"Service":[],"SoftwareApplication":[],"WebPage":[]},"graphName":"","isEnabled":true},"graphs":[]},"schema_type":null,"schema_type_options":null,"pillar_content":false,"robots_default":true,"robots_noindex":false,"robots_noarchive":false,"robots_nosnippet":false,"robots_nofollow":false,"robots_noimageindex":false,"robots_noodp":false,"robots_notranslate":false,"robots_max_snippet":null,"robots_max_videopreview":null,"robots_max_imagepreview":"large","priority":null,"frequency":null,"local_seo":null,"seo_analyzer_scan_date":"2026-01-21 07:30:20","breadcrumb_settings":null,"limit_modified_date":false,"reviewed_by":null,"ai":null,"created":"2021-03-01 03:12:32","updated":"2026-01-21 07:30:20"},"gt_translate_keys":[{"key":"link","format":"url"}],"_links":{"self":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/posts\/31721","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/comments?post=31721"}],"version-history":[{"count":0,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/posts\/31721\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/media\/23622"}],"wp:attachment":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/media?parent=31721"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/categories?post=31721"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/tags?post=31721"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}