Quelle: Maxam & Davis (2024), "An Interview Study on Third-Party Cyber Threat Hunting Processes in the U.S. Department of Homeland Security", arXiv:2402.12252
Bevor ein Threat Hunter auch nur eine einzige Abfrage absetzt, hat er sich vorbereitet. Nicht grob, sondern gezielt. Die DHS-Teams, die Maxam und Davis für ihre Studie interviewt haben, zeigen einen klaren Muster: Intelligence-Sammlung ist kein Schritt am Rande. Sie ist der Ausgangspunkt jeder Mission.
Was sie nutzen, ist für die meisten Organisationen weitgehend erreichbar, auch ohne staatliches Budget.
Die vier Quellen der DHS-Teams
Die Studie dokumentiert vier wiederkehrende Intelligence-Quellen, die die Teams vor und während einer Hunt-Mission verwenden.
Erstes: ein dediziertes Intelligence-Team. Die DHS-Teams haben eine eigene Einheit, die sich ausschließlich mit Threat Intelligence beschäftigt und die Hunt-Teams unterstützt. Das ist Luxus. Für die meisten Organisationen, auch mittelgroße, ist das nicht realistisch.
Zweites: Publicly Available Information (PAI). Nachrichten, Social Media, aktuelle Exploit-Berichte, alles, was öffentlich zugänglich ist. Einer der Befragten bringt es direkt auf den Punkt: "If there's a current prevalent exploit that's being used, like that you're seeing in the news... we're gonna go ahead and look for those." Das ist keine Methode nur für Regierungsbehörden. Das ist gesunder Menschenverstand mit Struktur.
Drittes: Open-Source-Repositories. IOC-Datenbanken wie die von InQuest, freie Indicator-Feeds, strukturierte Bedrohungsinformationen aus der Security-Community. Diese Quellen sind öffentlich, aktuell und von Fachleuten gepflegt.
Viertes: Klassifizierte oder Abo-basierte Feeds. Bezahlte Threat Intelligence von kommerziellen Anbietern, ergänzt durch staatliche Quellen mit eingeschränktem Zugang. Zusätzlich laden die Teams IOCs von mehreren Threat-Intelligence-Providern hoch, um die Abdeckung zu erhöhen, nicht um eine einzelne Quelle zu überschätzen.
Trigger oder proaktiv, die Quelle richtet sich nach dem Anlass
Die Art der Intelligence hängt davon ab, wie eine Mission entsteht.
Kommt der Trigger von außen, eine neue CVE taucht in den Nachrichten auf, ein Advisory wird veröffentlicht, dann wird die Intelligence-Sammlung darauf zugeschnitten. Man sucht gezielt nach Indikatoren, die mit diesem spezifischen Angriffsmuster zusammenhängen.
Proaktive Missionen ohne konkreten Anlass orientieren sich an aktuellen Angriffstrends. Was wird gerade aktiv ausgenutzt? Welche Gruppen sind aktiv? Was passt zu den Systemen im Scope?
Beide Wege führen zum gleichen ersten Schritt: strukturierte Informationssammlung, bevor man anfängt zu suchen.
Was der Mittelstand davon nutzen kann
Ein eigenes Intelligence-Team ist für die meisten Organisationen nicht machbar. Aber die anderen drei Quellen sind zugänglich, heute, kostenlos oder günstig.
PAI ist kostenlos. BSI-Warnmeldungen, CISA Advisories, Heise Security, die Security-Community auf Twitter/X, das ist alles öffentlich. Man muss es nur systematisch lesen. Ich habe in vCISO-Projekten gute Ergebnisse damit erzielt, einfach einen wöchentlichen Rhythmus zu etablieren: Welche Advisories sind diese Woche erschienen? Was betrifft unsere Umgebung?
Open-Source-Feeds sind strukturiert und integrierbar. MISP, OpenCTI, AlienVault OTX, abuse.ch, das sind Plattformen, die IOCs in maschinenlesbarer Form liefern. Im Versicherungsumfeld nutze ich solche Feeds als Input für SIEM-Regeln. Man muss nicht alles nehmen. Aber ein kuratierter Feed mit klarer Relevanz für die eigene Umgebung ist besser als keiner.
Kommerzielle Feeds erst, wenn die Grundlagen stehen. Bezahlte Threat Intelligence macht Sinn ab einer gewissen Reife. Wer noch keine Prozesse hat, um IOCs zu verarbeiten und zu prüfen, zahlt für Informationen, die er nicht nutzen kann. Reihenfolge: erst PAI und Open Source einführen, Workflows etablieren, dann skalieren.
MITRE ATT&CK ist dabei ein nützlicher Strukturrahmen, nicht als Checkliste, sondern als gemeinsame Sprache. Wenn ich einen IOC einordne, hilft ATT&CK dabei, den Kontext zu verstehen: Welche Technik steckt dahinter? In welcher Phase eines Angriffs taucht das auf?
Die eigentliche Lektion
Die DHS-Teams kombinieren alle vier Quellen. Sie laden von mehreren Providern, um Lücken zu schließen. Sie reagieren auf Trigger, aber sie warten nicht darauf.
Der Mittelstand kann nicht alles davon replizieren. Aber der Ansatz, systematisch, mehrere Quellen, angepasst an den konkreten Auslöser, ist übertragbar. Eine Organisation, die BSI-Advisories liest, OTX-Feeds ins SIEM einbindet und daraus Suchabfragen ableitet, betreibt bereits den Kern dessen, was die DHS-Teams beschreiben.
Kein Budget für ein Intelligence-Team. Aber auch keine Entschuldigung, ohne Vorbereitung in eine Hunt-Mission zu gehen.
Der vollständige Paper: arXiv:2402.12252
Gregor Lyttek ist Security Architect & AI Strategist und Threat Hunter im Versicherungsumfeld.