Bedrohungssuche vs. reaktive Sicherheit: Warum Proaktivität wichtig ist

Wenn sich Unternehmen weiterentwickeln und größer werden, entwickeln sich auch ihre Technologie und Netzwerke weiter. Obwohl dies ein erwarteter Effekt auf das Geschäftswachstum ist, erfordert ein umfangreiches Netzwerk ein dediziertes Angriffsflächenmanagement.

Unternehmen müssen mehrere Schutzebenen implementieren, um Geräte, Daten, Netzwerke und Personen zu schützen. Neben der massiven Skalierung von Unternehmensnetzwerken entwickeln böswillige Akteure ständig ausgefeiltere Cyberangriffe, um ausnutzbare Schwachstellen zu finden und die Netzwerkverteidigung eines Unternehmens zu durchdringen.

Die Bekämpfung von Common Vulnerabilities and Exposures (CVE) und unbekannten Cyberbedrohungen ist mit einem reaktiven Sicherheitsansatz allein unmöglich zu erreichen. Es mag für gängige, bekannte Bedrohungen ausreichen, macht Ihr Netzwerk jedoch anfällig für verschiedene fortschrittliche Bedrohungen – Zero-Day-Schwachstellen, Advanced Persistent Threats (APTs) und ausgeklügelte Angriffsvektoren. Aus diesem Grund ist es am besten, reaktive Sicherheit mit einem proaktiven Ansatz zu kombinieren.

Im Folgenden werden wir reaktive und proaktive Sicherheit, ihre Funktionsweise, ihre Implementierungen und die Best Practices beider Ansätze untersuchen.

Reaktive Sicherheit nutzt Cybersicherheitstools und Best Practices, um robuste Abwehrmaßnahmen gegen gängige Angriffsansätze und Cyberbedrohungen aufzubauen. Es ermöglicht auch die Erkennung böswilliger Aktivitäten, wenn böswillige Dritte in Ihre Netzwerkverteidigung eindringen und unbefugten Zugriff auf Ihr System erhalten.

Zu den gebräuchlichsten reaktiven Sicherheitsfunktionen gehören Firewalls, Antiviren- und Spamfilter, eine realistische Schwachstellenbewertung und ein Notfallwiederherstellungsplan.

Reaktive Sicherheit eignet sich am besten, um traditionellere Cyberangriffe abzuwehren. Es stützt sich auf Intrusion-Detection-Systeme und Indicators of Compromise (IoCs), um böswillige Aktivitäten zu lokalisieren und im Nachhinein Maßnahmen zu ergreifen. Da Angreifer in der Regel mehr Zeit benötigen, um ein System zu beschädigen, als die Reaktion auf Vorfälle zu ergreifen, trägt reaktive Sicherheit dazu bei, negative Auswirkungen bekannter Viren und Malware zu verhindern. Selbst wenn es zu einem Sicherheitsvorfall kommt, können Sie die Angreifer erkennen und abwehren.

Auch wenn reaktive Sicherheit schlechter gerüstet ist, um ausgeklügelte Bedrohungen zu bekämpfen als proaktive Sicherheit, sollten Unternehmen dennoch sinnvolle reaktive Sicherheitspraktiken implementieren, um ihre Cybersicherheitsstrategie zu optimieren. Lassen Sie uns im Folgenden einige der gängigsten und effektivsten Ansätze für reaktive Sicherheit untersuchen.

Ein Disaster Recovery Plan (DRP) beschreibt die Schritte, die Unternehmen nach einem Cyberangriff unternehmen müssen. Es umfasst alle Richtlinien, Verfahren und Tools, die einem Unternehmen helfen, sich nach einem Cyberangriff, einer Naturkatastrophe oder einer Datenschutzverletzung zu erholen. Ein angemessenes DRP sollte die Identifizierung und Klassifizierung kritischer und sensibler Datenbestände, eine Bestandsaufnahme aller Unternehmensressourcen, eine allgemeine Versicherung und eine Versicherung gegen Cybersicherheitskriminalität, autorisiertes Schlüsselpersonal zur Unterstützung in einem DR-Szenario, Notfallmaßnahmen, Medien- und Rechtsreaktionspläne und vieles mehr umfassen.

Selbst wenn Bedrohungsakteure in die Netzwerksicherheit des Unternehmens eindringen und eine schwerwiegende Datenschutzverletzung verursachen, minimiert ein robuster Disaster-Recovery-Plan den Schaden, vermeidet Panik, hilft dabei, den normalen Betrieb schnell wieder aufzunehmen und sorgt letztendlich für einen optimierten Umsatzfluss.

Die Schwachstellenbewertung (oder Schwachstellenanalyse) ist ein systematischer Ansatz, der verwendet wird, um Sicherheitslücken in einem Zielnetzwerk oder -system zu erkennen, zu bewerten, zu priorisieren und zur Minderung und Behebung vorzuschlagen. Das Hauptaugenmerk der Schwachstellenanalyse liegt auf der Überprüfung aller Sicherheitsschwachstellen im IT-System eines Unternehmens.

Der Ansatz umfasst in der Regel vier Hauptschritte:

• Sicherheitstests

Wird verwendet, um alle Schwachstellen in einer Zielanwendung, einem Server oder einem gesamten System zu erkennen.

• Schwachstellenanalyse

Wird verwendet, um die Grundursache(n) für vorhandene Schwachstellen zu ermitteln.

• Risikobewertung

Wird verwendet, um Sicherheitslücken basierend auf der Datensensibilität und den betroffenen Systemen, dem Angriffspotenzial und dem potenziellen Schaden, der mit einem erfolgreichen Angriff verbunden ist, zu kategorisieren und zu priorisieren.

• Sanierung

Wird verwendet, um geeignete Schritte und Abhilfemaßnahmen zu skizzieren, die in einer bestimmten Reihenfolge implementiert werden müssen, um Sicherheitslücken zu schließen.

Die Schwachstellenanalyse ist eine komplexe Methodik, die viele Prozesse umfasst. Einige können als reaktiv angesehen werden, während andere als proaktiv angesehen werden können. Da sich alle VA-Taktiken jedoch in erster Linie auf bestehende Schwachstellen konzentrieren, werden sie als reaktive Sicherheitsmaßnahmen wahrgenommen.

Sicherheitsvorfälle können sich schnell zu einer ausgewachsenen Datenschutzverletzung ausweiten, wenn sie falsch gehandhabt werden. Ein solcher Verstoß kann zu einem Zusammenbruch des Betriebs und zu erheblichen finanziellen Verlusten führen. Die Reaktion auf Vorfälle konzentriert sich auf Richtlinien und Verfahren zur Bewältigung und Abwehr eines Cyberangriffs und seiner möglichen Folgen.

Ein robuster IR-Plan umfasst in der Regel sechs Phasen:

• Präparat

Ein effizienter IR-Plan skizziert die Schritte, die Unternehmen im Voraus unternehmen müssen, um disruptiven Ereignissen entgegenzuwirken. Die IR-Planung beginnt mit einem geeigneten Plan zur Minderung von Datenschutzverletzungen.

In der Vorbereitungsphase sollten Unternehmen ihre Datenschutzrichtlinien mit den Cybersicherheitszielen und der Abwehr der IT-Infrastruktur in Einklang bringen. Sie müssen sicherstellen, dass alle Mitarbeiter des Unternehmens über die erforderliche IR-Schulung informiert sind. Sie sollten auch ein umfassendes Systemaudit durchführen, um sicherzustellen, dass sensible Daten angemessen gesichert sind.

• Identifizierung, Erkennung und Reaktion auf böswillige Aktivitäten

Nach der Vorbereitung sollte Ihr Unternehmen einen zuverlässigen Prozess zur Identifizierung von Schwachstellen erstellen, um zu erkennen, wenn Systeme kompromittiert wurden. Wenn Sie eine Sicherheitsverletzung früh genug erkennen können, sind Sie besser gerüstet, um den Angriff abzuwehren. Selbst wenn Sie Cyberbedrohungen nicht vollständig entschärfen können, können Sie den Erkennungs- und Reaktionsprozess beschleunigen, um Schäden zu minimieren und Zeit und Geld zu sparen.

Bei der Analyse eines Sicherheitsvorfalls sollten Sie sich darauf konzentrieren, wer die Sicherheitsverletzung entdeckt hat, ihr Ausmaß, wie sie sich auf Ihren Betrieb auswirkt und die Quelle (Grundursache) für die Kompromittierung.

• Eindämmung und Eindämmung

Die Eindämmung bezieht sich auf die Schritte, die Ihr Unternehmen unternimmt, um den Schaden nach einem Verstoß zu mindern. Je nach Vorfallszenario müssen Sie möglicherweise kompromittierte Endpunkte oder Daten isolieren oder einen böswilligen Akteur aus Ihren Systemen entfernen. Während der Eindämmungsphase sollten Sie in der Lage sein, zu bestimmen, ob ein System online bleiben oder gelöscht werden soll. Außerdem sollten Sie die möglichen Sofortmaßnahmen kennen, die Sie ergreifen können, um Schwachstellen zu schließen.

• Ausrottung

Die Beseitigungsphase eines Incident-Response-Plans konzentriert sich auf die Behebung der Schwachstellen, die den Verstoß überhaupt erst ermöglicht haben. Welche Schritte Sie im Einzelnen unternehmen, hängt vom Angriffsszenario ab. Ihr IR-Plan sollte jedoch Prozesse skizzieren, die in der Lage sind, zu identifizieren, wie Daten kompromittiert wurden und wie das Sicherheitsrisiko in allen potenziellen Szenarien beseitigt werden kann.

Angenommen, Ihre Systeme wurden mit Malware infiziert. Sie entfernen den bösartigen Code und isolieren alle betroffenen Geräte, Apps und Systeme von Ihrem primären Netzwerk. Wenn es einem Angreifer gelingt, die Netzwerksicherheit über kompromittierte Anmeldeinformationen von Mitarbeitern zu verletzen, würden Sie das entsprechende Konto sofort einfrieren.

• Daten- und Systemwiederherstellung

Sobald Sie die Bedrohung entfernt haben, können Sie sich auf die Wiederherstellung Ihrer Systeme konzentrieren. Abhängig von der Schwere des Angriffs und der Komplexität Ihrer Umgebung kann dieser Prozess eine Herausforderung darstellen. Ein dedizierter IR-Plan sollte das Risiko eliminieren, dass ähnliche Angriffe erfolgreich sind, um Bedrohungen weiter zu neutralisieren und kumulative Schäden zu negieren.

Sie sollten alle betroffenen Systeme testen und überwachen, sobald die Standardisierung abgeschlossen ist. Dadurch wird sichergestellt, dass Ihre Incident-Response-Maßnahmen wie beabsichtigt funktioniert haben, und Sie haben die Zeit, hartnäckige Schwachstellen zu beheben.

• IR-Berichte und Zusammenfassung

Sobald Sie den vorherigen Schritt abgeschlossen haben, sollten Ihre Sicherheitsteams den Vorfall überprüfen und Möglichkeiten zur Verbesserung identifizieren. Ihr IR-Team sollte bewerten, welche Teile Ihres IR-Plans funktioniert haben und welche Probleme aufgetreten sind.

Es ist wichtig, jeden Schritt des Prozesses zu bewerten - besprechen Sie, was passiert ist, warum es passiert ist, wie Sie es geschafft haben, die Situation einzudämmen, und was hätte anders ausgeführt werden können. Es ist wichtig, Lücken in Ihrem Plan zu identifizieren und festzustellen, ob er leicht zu verstehen und zu befolgen ist.

In der Regel ist es am besten, einen vergangenen Vorfall ein oder zwei Wochen nach seinem Auftreten zu bewerten, damit Ihre Teams genügend Zeit haben, die Situation aus jedem Blickwinkel zu betrachten, wobei der Vorfall noch frisch in ihrer Erinnerung ist.

Der Hauptzweck der letzten Phase besteht darin, Probleme und Lücken in Ihrem IR-Plan zu identifizieren, die verantwortlichen Mitglieder auf gemachte Fehler hinzuweisen und sicherzustellen, dass in Zukunft keine Ineffizienzen auftreten. Wenn der IR-Prozess nicht wie geplant verlief, kann dies auf eine unklare Dokumentation, unzureichende Mitarbeiterschulung oder schlecht skizzierte Reaktionsmaßnahmen hindeuten.

So komfortabel die reaktive Sicherheit auch sein mag, sie hat einen großen Nachteil. Bedrohungsakteure entwerfen und verbessern ausgeklügelte Bedrohungen, die oft auf unbekannte Schwachstellen abzielen und von herkömmlichen Sicherheitslösungen unbemerkt bleiben. Wenn eine solche Bedrohung die Netzwerksicherheit umgeht, kann Ihre gesamte IT-Umgebung gefährdet sein. Und wenn reaktive Tools darauf reagieren, erleben Sie möglicherweise bereits Sicherheitsverletzungen, die zu Datenverlusten, Ausfallzeiten und behinderten Geschäftsprozessen führen. Aus diesem Grund ist es wichtig, zusätzlich zu den traditionellen Cybersicherheitsmitteln proaktive Sicherheitsmaßnahmen einzusetzen.

Lassen Sie uns untersuchen, was das ist, wie es funktioniert und wie Sie es am effizientesten in Ihrem Unternehmen implementieren können.

Threat Hunting (oder "Cyber Threat Hunting") ist ein proaktiver Sicherheitsansatz, der sich auf die Erkennung und Reaktion auf potenzielle Bedrohungen konzentriert, die in Ihrem Netzwerk lauern. Ein Programm zur Suche nach Cyberbedrohungen überwacht die Endpunktaktivitäten, sammelt Telemetriedaten, sucht nach Angriffsindikatoren (IoAs) und analysiert gesammelte Bedrohungsinformationen, um verdächtige Aktivitäten zu lokalisieren und Bedrohungen zu beheben, bevor sie zu einer ausgewachsenen Datenschutzverletzung werden.

Wenn sich Angreifer Zugang zu Ihrem System verschaffen, können sie monatelang verborgen bleiben, akribisch Sicherheitsdaten und vertrauliche Materialien sammeln oder Anmeldedaten erhalten, um Ihr gesamtes Netzwerk zu infiltrieren. Wenn ein Angreifer eine Sicherheitsverletzung verursacht, benötigt Ihr Unternehmen eine zuverlässige, proaktive Sicherheitsstrategie, um komplexe Bedrohungen aufzuspüren und zu stoppen.

In der heutigen Bedrohungslandschaft ist die Bedrohungssuche notwendig, um die Erkennung verdächtiger Aktivitäten, die langfristige Risikobewertung und die Identifizierung von Sicherheitslücken zu gewährleisten.

Bei der Suche nach Cyberbedrohungen wird die Verarbeitungsleistung großer Datenmengen mit dem menschlichen Element kombiniert. Hier verfügen wir über automatisierte Sicherheitstools, die immense Mengen an Endpunktaktivitätsdaten sammeln, um potenzielle Bedrohungen zu erkennen, zu identifizieren und zu untersuchen und menschliche Bedrohungsjäger über mögliche Abhilfemaßnahmen und Incident-Response-Maßnahmen zu informieren.

Ein erfolgreiches Programm zur Bedrohungssuche führt zu einer komplexen Untersuchung von Sicherheitsvorfällen, um die Taktiken, Techniken und Verfahren (TTP) von Cyberakteuren zu untersuchen und Sicherheitsexperten fundierte Kenntnisse über einen laufenden Angriff zu vermitteln. Es wird auch bei der Verwaltung von Angriffsflächen, Penetrationstests, Schwachstellenbewertungen, Endpunkterkennung und -reaktion sowie Strategien zur Verhinderung von Datenverlust helfen.

Da automatisierte Bedrohungsjäger auf maschinelles Lernen angewiesen sind, um alle Komponenten der Angriffsfläche in Ihrem Netzwerk zu untersuchen, können sie den Faktor menschlicher Fehler bei der Erkennung von Bedrohungen umgehen. Nichtsdestotrotz ist die proaktive Bedrohungssuche darauf angewiesen, dass Ihre Sicherheitsteams zuverlässigen Erkenntnissen nachgehen und Bedrohungen so schnell wie möglich abwehren.

Bedrohungsjäger gehen davon aus, dass sich ein Angreifer bereits in einem Zielsystem befindet, und leiten daher Threat Intelligence-Untersuchungen ein, um verdächtiges Verhalten zu ermitteln, das mit bösartigen Aktivitäten in Verbindung gebracht werden kann. In der Regel werden Untersuchungen zur Bedrohungssuche in drei Hauptkategorien unterteilt.

Dieser Ansatz kombiniert umfangreiche Datenanalysen und maschinelles Lernen, um riesige Mengen an Informationen zu analysieren und verdächtige Aktivitäten zu erkennen, die auf böswillige Aktionen hindeuten könnten. Sobald Anomalien erkannt wurden, können Sicherheitsteams mit der Bedrohungssuche beginnen, um potenzielle Bedrohungen zu neutralisieren.

Dieser Ansatz der Bedrohungssuche stützt sich häufig auf neue Bedrohungsdaten, die durch eine große Menge an Crowdsourcing-Bedrohungsinformationen als bösartig identifiziert wurden und Einblicke in die Taktiken, Techniken und Verfahren (TTP) potenzieller Angreifer bieten.

Sobald die Sicherheitstechnologie ein neues TTP identifiziert, untersuchen Bedrohungsjäger ihre eigene Umgebung auf die spezifischen TTP-Indikatoren und mindern potenzielle Risiken.

Die dedizierte Bedrohungssuche kann taktische Bedrohungsinformationen nutzen, um ein Inventar aller bekannten Kompromittierungsindikatoren (Indicators of Compromise, IoCs) und Angriffsindikatoren (IoAs) zu erstellen, die mit dem aktuellen Cyber-Bedrohungspool verbunden sind.

Alle katalogisierten IoCs und IoAs fungieren als Auslöser, die Cyber-Bedrohungsjäger vor potenziellen laufenden Angriffen oder ungewöhnlichem Netzwerkverkehr auf dem Zielsystem warnen. Sich auf Bedrohungsindikatoren für Kompromittierungen zu verlassen, ist jedoch eher eine reaktive Sicherheitsmaßnahme. (Ein solcher Intel-basierter Ansatz prüft auch Hashwerte, IP-Adressen und Domainnamen)

"Proaktiv" zu sein bezieht sich darauf, zukünftige Bedürfnisse, Probleme, Veränderungen oder Probleme zu antizipieren und entsprechende Maßnahmen zu ergreifen. Wenn es um Cyberbedrohungen geht, bedeutet proaktive Sicherheit dasselbe: Sie umfasst alles, was Sie tun müssen, bevor es zu einem Angriff auf Ihr Netzwerk kommen kann. Im Gegensatz zur reaktiven Sicherheit, die auf einen Angriff reagiert, nachdem er bereits stattgefunden hat, konzentriert sich die proaktive Sicherheit in erster Linie auf die Abwehr von Angriffen.

Proaktive Sicherheitsmethoden umfassen alle Prozesse und Aktivitäten, die regelmäßig innerhalb eines Unternehmens durchgeführt werden, um Risiken zu vermeiden. Solche Prozesse können Folgendes umfassen:

• Identifizierung und Patching von Schwachstellen in der Netzwerkinfrastruktur, um Sicherheitslücken zu schließen
• Verhinderung von Sicherheits- und Datenschutzverletzungen
• Regelmäßige Schwachstellenanalysen und Sicherheitstests
• Penetrationstests

Die Entwicklung eines herausragenden Programms zur Jagd nach Cyberbedrohungen ist ein komplexer und sehr intensiver Prozess. Unternehmen sollten darauf abzielen, kritische Aufgaben zu rationalisieren, um Genauigkeit und Skalierbarkeit zu gewährleisten. Während moderne Tools für die Bedrohungssuche einen erheblichen Unterschied machen werden, ist ein gut organisierter, angemessen strukturierter Ansatz für die Bedrohungssuche unerlässlich.

Damit ein Threat Hunter effektiv ist, müssen Unternehmen die erforderlichen Vorbereitungen treffen. Das Sammeln von Informationen, das Festlegen einer Bedrohungshierarchie und das Skizzieren von Ansätzen zur Bedrohungsminderung sind von entscheidender Bedeutung.

Lassen Sie uns untersuchen, wie Sie den Prozess aufschlüsseln können, um Zeit und Ressourcen zu sparen.

Die erste Phase eines robusten Plans zur Bedrohungssuche ist die Bestandsaufnahme kritischer Informationen. Unternehmen sollten eine Cyber-Bedrohungsanalyse durchführen, um relevante Daten im Unternehmensnetzwerk zu ermitteln, wo sie sich befinden, wer darauf zugreifen kann und welche Schutzmaßnahmen vorhanden sind.

Das Sammeln von so vielen Sicherheitsdaten wie möglich, bevor Bedrohungsjäger das Programm starten, vereinfacht und beschleunigt den Prozess. Im besten Fall deckt Ihr Inventar alle kritischen Daten ab und enthält die folgenden Details:

• Physische und logische Topologien
• Sicherheitskontrolldaten – Marke, Modell, Betriebssystem und Konfiguration
• Daten von Netzwerkgeräten - Marke, Modell, Betriebssystem, Konfiguration
• Hostdaten – Marke, Modell, Betriebssystem und Konfiguration sowie Hardwarekonfiguration
• Infrastrukturübergreifende Daten für Content-Management-Systeme, Hypervisoren und Datenaustauschsysteme (die Informationen sollten Versionen, Zugriffslisten und Sicherheitskontrollen enthalten)
• Zugriffskontrolle und Zugriffsliste für alle kritischen digitalen Assets (einschließlich mobiler Geräte)
• App-to-Hosts-Datenfluss für Lösungen und Dienste
• Primäre Anlaufstellen für alle kritischen Assets
• Protokollformate, -speicherorte und -typen für alle kritischen Assets

Nachdem Sie über ein vollständiges Inventar kritischer Ressourcen verfügen, sollten Sie diese kategorisieren und priorisieren, um die wichtigsten Ressourcen zu ermitteln, die durch die Bedrohungssuche geschützt werden müssen.

Um festzustellen, welche digitalen Assets das höchste Schutzniveau erfordern, sollte jedes Unternehmen seine spezifischen Bedürfnisse, Ziele und potenziellen Bedrohungen für seine Daten untersuchen. Ganz gleich, ob es sich um geistiges Eigentum, Kundenkonten oder eine Serviceplattform handelt, jedes Unternehmen sollte ein einzigartiges Programm zur Bedrohungssuche entwickeln.

Bedrohungsjäger in Ihrem Unternehmen profitieren in hohem Maße von einer Roadmap für die Bedrohungssuche. Wenn Sie wissen, welche Bedrohungen da draußen lauern, wie sie sich auf Ihr Netzwerk auswirken können und wie Sie sie am effizientesten abwehren können, wird der Prozess der Bedrohungssuche erheblich vereinfacht.

Wenn Sie über die Ressourcen verfügen, können Sie ein dediziertes Team für die Bedrohungssuche mit einer robusten Cybersicherheitslösung kombinieren, um Tonnen von Sicherheitsdaten zu sammeln. Ihre Sicherheitsteams können diese Daten dann nutzen, um einen hochgradig maßgeschneiderten Ansatz für die Suche nach Cyberbedrohungen und das Aufrufen automatischer Warnungen basierend auf der Bedrohungslandschaft Ihres Unternehmens und den wesentlichen Ressourcen in Ihrem Bestand zu entwickeln.

Sobald die Inventarisierung, die Priorisierung von Ressourcen und die Berichte über Bedrohungsaktivitäten abgeschlossen sind, kann ein Bedrohungsanalyst eine ausgeklügelte Roadmap mit den dringendsten zu untersuchenden Bedrohungen erstellen.

In der Regel umfasst der Prozess die Erstellung einer Liste von Priority Intelligence Requirements (PIRs), die Ihnen spezifische Fragen zu Cyberbedrohungen (und Bedrohungsakteuren) stellt, um Ihr Programm zur Bedrohungssuche zu steuern.

Ein proaktiver Bedrohungsjäger führt in der Regel drei Hauptschritte aus, um eine Suche durchzuführen: einen Auslöser, eine Untersuchung und eine Lösung. Ein erfolgreiches Programm zur Bedrohungssuche trägt wesentlich dazu bei, komplexe Bedrohungen abzuwehren und eine zuverlässige Strategie zur Verhinderung von Datenverlust zu gewährleisten.

Bedrohungsjäger verwenden Triggerpunkte, um einen bestimmten Netzwerkbereich oder ein bestimmtes System zu identifizieren und weiter zu untersuchen, wenn EDR-Tools verdächtige Aktivitäten erkennen, die auf böswillige Aktionen hindeuten könnten. Ein hypothesenbasierter Ansatz für eine neue Bedrohung ist oft ein Auslöser für eine proaktive Bedrohungssuche.

Bedrohungsjäger verwenden fortschrittliche Threat-Intelligence-Technologien, wie z. B. EDR-Tools (Endpoint Detection and Response), um potenzielle bösartige Aktivitäten (oder Kompromittierungen) innerhalb eines Zielsystems zu analysieren. Die Untersuchungsphase wird fortgesetzt, bis die böswilligen Aktionen vollständig untersucht und behoben oder als gutartig eingestuft wurden, um eine erfolgreiche Bedrohungssuche abzuschließen.

Die letzte Phase bezieht sich auf die effiziente Kommunikation relevanter Informationen über bösartige Aktivitäten an Sicherheitsteams, damit diese angemessen auf den Vorfall reagieren und Cyberbedrohungen abwehren können. Die gesammelten Informationen über unschädliche und bösartige Aktivitäten werden in der Regel in die automatisierte Sicherheitstechnologie eingespeist, um die Effektivität zu verbessern und Fehlalarme ohne weiteres menschliches Eingreifen zu minimieren.

In der letzten Phase sammeln Cyber-Bedrohungsjäger so viele Daten wie möglich über das Verhalten, die Angriffsmuster und die Betriebstechniken der Angreifer, um Trends in der Sicherheitsumgebung des Unternehmens zu ermitteln, aktuelle Lücken zu schließen und Verbesserungen der Cybersicherheitsstrategie für die Zukunft vorzuschlagen.