Cyber Threat Intelligence an einem Fallbeispiel erklärt
Threat Intelligence identifiziert Cyberbedrohungen, um daraus SicherheitsmaĂźnahmen abzuleiten. Wir zeigen, wohin ein Mangel an Bedrohungsinformationen fĂĽhrt.
- Jörg Schauff
- Sascha Herzog
In meiner Zeit in einer Sicherheitsbehörde im Geschäftsbereich des Innenministeriums habe ich dutzende Fälle von Spionage gegen deutsche und internationale Regierungsstellen und die deutsche Wirtschaft untersucht. Ein Beispiel aus dieser Zeit soll zeigen, warum Threat Intelligence (TI), also jegliche Information über Bedrohungen, so wichtig ist. Das deutsche Hightechunternehmen, um das es geht, hatte zu dieser Zeit eine Antivirussoftware mit Hostfirewall von einem der seinerzeit größten AV-Hersteller auf seinen Windows-Systemen (Server und Clients) im Einsatz.
Einige dieser Maschinen wurden von einem – wahrscheinlich chinesischen – staatlichen Angreifer kompromittiert und es wurden Daten gestohlen. Bei der Untersuchung des Einbruchs stellte sich heraus, dass die Schadsoftware über Command-and-Control-Server (C2) gesteuert wurde, die schon über ein Jahr öffentlich als "maliziös" bekannt waren. Ein Pastebin-User mit dem Pseudonym "RSA Employee #15666" hatte über 850 C2-Domains mit IP-Adressen auf Pastebin aufgelistet und kontextualisiert. Er hatte also nicht nur beschrieben, dass die Domains und IPs schädlich sind, sondern konnte sie auch China zuordnen (Attribution). Aber offenbar hatte diese Information nicht den AV-Hersteller erreicht.
- Threat Intelligence, also Informationen zu Cyberbedrohungen und -angriffen nebst Kontext, kann dabei helfen, Angriffe zu entdecken und einzudämmen.
- Das Wissen, welche Bedrohungsakteure auf welche Art gegen welche Ziele vorgehen, hilft dabei, sich aktiv auf einen Angriff vorzubereiten und diesen schneller durchzustehen.
- Manche Informationen, wie kriminell genutzte IP-Adressen oder bekannte Hashwerte, werden automatisiert erfasst und mit Ereignissen auf Systemen und im Netzwerk abgeglichen. Andere mĂĽssen erst aufwendig mit Kontext angereichert und bewertet werden. Beide sind fĂĽr eine Angriffserkennung wertvoll.
Hätte das betroffene Unternehmen einen Prozess gehabt, Daten mit Einbruchsindikatoren (Indicators of Compromise, IoC-Feeds) als Ergänzung zum AV und zur Erstellung von Filtern auf der Perimeterfirewall oder dem Proxy zu nutzen, wäre der Angriff wahrscheinlich nicht erfolgreich gewesen oder hätte zumindest zu weniger Datenabfluss nach China geführt, da er nicht so lange unentdeckt geblieben wäre. Aktuelle und kontextualisierte IoCs sind eine wertvolle TI-Quelle.
Das war die Leseprobe unseres heise-Plus-Artikels "Cyber Threat Intelligence an einem Fallbeispiel erklärt". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
