Cyber Threat Intelligence – Angreifer und Angriffe verstehen
Threat Intelligence identifiziert Cyberbedrohungen, um daraus Sicherheitsmaßnahmen abzuleiten. In meiner Zeit bei der Spionageabwehr habe ich gesehen, wohin ein Mangel an Bedrohungsinformationen führen kann.
In meiner Zeit in einer Sicherheitsbehörde im Geschäftsbereich des Innenministeriums habe ich dutzende Fälle von Spionage gegen deutsche und internationale Regierungsstellen und die deutsche Wirtschaft untersucht. Ein Beispiel aus dieser Zeit soll zeigen, warum Threat Intelligence (TI), also jegliche Information über Bedrohungen, so wichtig ist. Das deutsche Hightechunternehmen, um das es geht, hatte zu dieser Zeit eine Antivirussoftware mit Hostfirewall von einem der seinerzeit größten AV-Hersteller auf seinen Windows-Systemen (Server und Clients) im Einsatz.
Einige dieser Maschinen wurden von einem – wahrscheinlich chinesischen – staatlichen Angreifer kompromittiert und es wurden Daten gestohlen. Bei der Untersuchung des Einbruchs stellte sich heraus, dass die Schadsoftware über Command-and-Control-Server (C2) gesteuert wurde, die schon über ein Jahr öffentlich als „maliziös“ bekannt waren. Ein Pastebin-User mit dem Pseudonym „RSA Employee #15666“ hatte über 850 C2-Domains mit IP-Adressen auf Pastebin aufgelistet und kontextualisiert. Er hatte also nicht nur beschrieben, dass die Domains und IPs schädlich sind, sondern konnte sie auch China zuordnen (Attribution). Aber offenbar hatte diese Information nicht den AV-Hersteller erreicht.
