[2024-05-28 00:00:00 +0000 UTC] Workshop Meeting "Threat Hunting Use Case"
Autor(en): Daniel Mahrenholz

Im ersten großen Workshop wurden am 28.05.2024 die angestrebten Use Cases der zu entwickelnden Threat-Hunting-Methoden diskutiert, spezifiziert und priorisiert. Diese legen die grundlegenden Anforderungen an die weiteren Arbeiten fest. Priorisiert werden für den OT-Bereich dabei die forensischen Use Cases, die davon ausgehen, dass Systeme bereits kompromittiert sein können.

Threat Hunting im OT-Umfeld

“Threat Hunting” bzw. “Cyber Threat Hunting” bezeichnet verschiede Vorgehensweisen, die alle das Ziel haben, proaktiv nach bisher unbekannten oder nicht behobenen Bedrohungen zu suchen. Viele etablierte Methoden gehen dabei von einer zentralen Protokollierung aus, d.h. der Möglichkeit, an zentraler Stelle einen umfangreichen Bestand sicherheitsrelevanter Logdaten zur Analyse zu haben. Dies ist selbst in vielen Organisationen im klassischen IT-Umfeld nicht gegeben und erst recht nicht im OT-Umfeld.

Threat Hunter in Factory

Threat Hunting Use Cases

Im Rahmen des Workshops wurden verschiedene Anwendungsfälle und Ausprägungsformen für das Threat Hunting analysiert und die für den OT-Bereich relevantesten ausgewählt und priorisiert. Um eine bisher wenig bedachte Lücke zu füllen, wurde entschieden, den forensischen Use Cases die höchste Priorität einzuräumen. Dabei wird davon ausgegangen, dass keine zentrale Protokollierung besteht und die Datenquellen vor der Analyse noch erschlossen werden müssen. Hierbei sind zwei Randbedingungen zu berücksichtigen, die den Schwierigkeitsgrad zusätzlich erhöhen. Zum ersten muss davon ausgegangen werden, dass die Systeme bereits kompromittiert sind und nicht sichergestellt werden kann, dass es “saubere” Vergleichdaten gibt. Zum zweiten muss bei der Datengewinnung darauf geachtet werden, dass die Aktivitäten der Threat Hunter für einen möglichen Angreifer möglichst unsichtbar oder unauffällig sind, um ihn nicht zu alarmieren.

Als wesentliche Ergebnisse des Workshops wurden neben der Auswahl und Priorisierung der Anwendungsfälle auch ein Katalog mit Anforderungen an die Umsetzung sowie eine Plan für geeignete Experimente erstellt, um den weiteren Verlauf des Projektes zielgerichtet zu steuern.