Threat-Intelligence und Red-Teaming : Fundierte Bedrohungsinformationen und passgenaue Angriffssimulationen helfen dabei, sich besser auf echte Angriffe vorzubereiten

Security-Teams und -Entscheider* können sich dadurch auf reelle Daten stützen, um informierte Entscheidungen in der strategischen Ausrichtung oder der technischen Analyse zu treffen. Hierzu wird zwischen drei Arten der Threat-Intelligence unterschieden:

• Taktische Threat-Intelligence: Die technischen Indikatoren, die Angreifer(-gruppen) als Spuren hinterlassen, können unter anderem File-Hashes, IP-Adressen oder Logeinträge umfassen. Bei Detektion und Untersuchung können Analysten und ihre Tools anhand solcher Informationen Angriffe schneller erkennen und gezielter einordnen. Zugehörige Indikatoren sind jedoch in der Regel kurzlebig und im Kontext einer Angriffssimulation nur schwer reproduzierbar, weshalb dieser Artikel nicht näher hierauf eingeht.
• Operative Threat-Intelligence: Die Kapazitäten, die „Tactics, Techniques and Procedures“ (TTP) sowie verwendete Infrastruktur beschreiben das Vorgehen und die Möglichkeiten der Angreifer aus einer übergeordneten Betrachtungsweise. Sicherheitsteams verschiedener Disziplinen und technische Analysten können solche Erkenntnisse nutzen, um für die tatsächlich vorherrschende Bedrohungslage relevante Sicherheitsmaßnahmen zu treffen und diese angebracht zu priorisieren. Diese Informationen bilden den Kernpunkt der Threat-Intelligence in Bezug auf Angriffsimulationen.
• Strategische Threat-Intelligence: Aktuelle Trends und Motive von Angreifern umfassen die Zielgruppen und Sektoren sowie Angriffsarten und strategischen Ziele aus einer übergeordneten Betrachtungsweise. Entscheider und Führungsmitglieder können diese Informationen nutzen, um längerfristige Business- und Sicherheitsentscheidungen mit Blick auf die Bedrohungslage zu treffen. Aber auch für die Planung von Angriffsimulationen ist diese Art der Threat-Intelligence durchaus relevant.

Threat-Intelligence ermächtigt Organisationseinheiten auf unterschiedlichen Ebenen, gut informierte, zielgerichtete Entscheidungen zu treffen. Somit ermöglicht sie letztlich eine sinnvolle und effiziente Gefahrenabwehr.

TI-Quellen

Threat-Intelligence-Teams generieren verwertbare Informationen anhand des sogenannten „IntelligenceCycles“ – ein Vorgehen, das aus Prozessen entstanden ist, die im nachrichtendienstlichen und militärischen Kontext erarbeitet wurden. Dabei werden in sechs Phasen Ziele festgelegt, Daten gesammelt und ausgewertet:

1 Direction: Festlegen von Zielen

2 Collection: Sammeln von Rohdaten

3 Processing: Verarbeiten der Daten

4 Analysis: Gewinnen von Informationen

5 Dissemination: Teilen der Informationen

6 Feedback: Verarbeiten der Resonanz

Dies ist durchaus ein aufwendiger Prozess, der neben Zeit auch viel Erfahrung und Daten voraussetzt. Dennoch können Organisationen auch ohne ein vollwertiges TI-Team von Threat-Intelligence profitieren: Der Knackpunkt liegt in Phase 5 „Dissemination“ – dem Teilen der gewonnenen Informationen: Intelligence wird meist generiert, um einen Gewinn an Sicherheit für die Community zu schaffen – dann können auch andere Organisationen davon profitieren.

Zudem haben sich unzählige Firmen darauf spezialisiert, ihre Threat-Intelligence zu monetarisieren: In Form von Feeds oder Online-Portalen lässt sich dort gegen Zahlung von Lizenz- oder Abo-Kosten auf TI-Erkenntnisse zugreifen. Diese kann in Tools eingebunden oder zur manuellen Analyse herangezogen werden.

Ein anderes Modell sind private Gruppen zum Teilen solcher Informationen – sogenannte Sharing-Groups – diese können branchenunabhängig aufgestellt sein oder gezielt Organisationen eines Sektors ansprechen. Mittlerweile existiert für so gut wie jede Branche ein sogenanntes „Information Sharing and Analysis Center“ (ISAC) – ein Beispiel wäre das FS-ISAC für die Finanzbranche. Nach einer initialen Prüfung des Aufnahmeantrags und oftmals auch der Zahlung eines Mitgliedschaftsbeitrags, lassen sich über solche Gruppen Informationen zur Bedrohungslage beziehen und teilen.

Darüber hinaus kann man auch ohne finanzielle Verpflichtung von der Threat-Intelligence-Community profitieren: Einerseits gibt es sehr wohl kostenlose Feeds und öffentliche Sharing-Groups, andererseits existiert die sogenannte „Open-Source-Intelligence“ (OSINT), worunter die Auswertung öffentlich zugänglicher Informationen zu verstehen ist – beispielsweise aus sozialen Netzwerken, Presseberichten oder den unendlichen Weiten und Winkeln des World Wide Web. OSINT ist so breit gefächert, dass es genaugenommen eine eigene Disziplin ist und selbst mit einem nicht unerheblichen Aufwand verbunden ist – doch der Vorteil für Security-Teams und -Entscheider ist enorm.

Zu guter Letzt lassen sich natürlich auch aus eigenen Beobachtungen bei Sicherheitsvorfällen oder gezielten Recherchen brauchbare Informationen gewinnen. Hierbei gilt es, Informationen in den Kontext der vorherrschenden Bedrohungslage zu setzen und anzureichern – nur so können aus den Daten auch brauchbare TI-Informationen werden.

Auswahl hilfreicher TI

Die schiere Menge an Informationen die durch Threat-Intelligence tagtäglich bereitgestellt werden, kann schnell überwältigend wirken. Damit Organisationen die für sie relevanten Teile identifizieren können, sollten sie sich gewisse Fragen stellen. Allen voran die Frage nach dem Zweck:

Wozu sollen die Informationen erhoben werden?

Soll die Detektion auf den Endpunkten verbessert werden? Will man über eine Neuanschaffung von Netzkomponenten entscheiden? Oder soll eine möglichst realitätsnahe Angriffssimulation durchgeführt werden? Ist diese Frage beantwortet, ergibt sich auch, welche Art der Threat-Intelligence erhoben wird (operativ, taktisch, strategisch). Überdies wird dadurch der Umfang der zu erhebenden Threat-Intelligence eingeschränkt.

In welcher Branche operiert die Organisation?

Verschiedene Branchen unterliegen unterschiedlichen Bedrohungen. Während die meisten Firmen der Wirtschaft hauptsächlich von Cybercrime bedroht werden, sehen sich Organisationen der öffentlichen Versorgung auch Gefahren der Manipulation gegenübergestellt. Ferner sind etliche Unternehmen – beispielsweise in der Verteidigungs- und Luftfahrtbranche – auch Spionageoperationen ausländischer Akteure ausgesetzt.

Aus dem eigenen Sektor lässt sich oft auf die Motivation der Täter schließen. Zusätzlich können relevante Tätergruppierungen identifiziert werden, welche es besonders auf Unternehmen dieses Wirtschaftszweigs abgesehen haben.

Welche Angriffsfläche bietet die Organisation?

Sogenannte Attack-Surface-Analysen zeigen mit Schwachstellenscans, Umfeldanalysen oder OSINT auf, welche Angriffsfläche ein Unternehmen potenziellen Angreifern bietet. Da sich einzelne Gruppierungen auf bestimmte Technologien oder deren Schwachstellen spezialisieren, lässt sich hieraus auch ableiten, wer die eigene Organisation im Visier haben könnte.

Wie gehen die identifizierten Täter typischerweise vor?

Anhand von Analyseberichten können zu relevanten Gruppierungen die jeweils gängigen Tactics, Techniques and Procedures (TTP) abgeleitet werden. Diese beschreiben beispielsweise mithilfe des MITRE ATT&CK Frameworks das Vorgehen auf eine standardisierte Weise. Abgeglichen mit der exponierten Angriffsfläche ergeben sich dann mögliche Angriffsketten.

Mithilfe solcher und ähnlicher Fragen lässt sich der Umfang der zu verwertenden Threat-Intelligence auf ein brauchbares Minimum reduzieren. Nutzt man außerdem von vornherein gute Quellen, etwa das BSI oder nationale Computer-Emergency-Response-Teams (CERTs), spart man sich noch etwas mehr Arbeit in der Vorfilterung.

Angriffssimulationen

SIEM-Systeme oder auch Security-OperationsCenter (SOCs) haben die Aufgabe, komplexe Angriffe aufzudecken, die traditionelle Ansätze allein nicht erkennen können. Dazu müssen aber die entsprechenden Datenquellen richtig konfiguriert, Detektionsregeln angemessen implementiert und die Analysten, welche die Meldungen analysieren und bewerten, entsprechend ausgebildet und trainiert werden.

Um herauszufinden, ob SOC und SIEM auch tatsächlich in der Lage sind, reelle Angreifer zu erkennen, sind simulierte Angriffe – basierend auf dem Vorgehen von realen Angreifergruppen – das Mittel der Wahl. Im Gegensatz zu klassischen Penetrationstests ist hierbei explizit nicht das breite Finden von Schwachstellen in den Systemen das Ziel. So lernen SOC-Analysten gleichzeitig, wie ein reeller Angriff in den Systemen und Protokolldaten aussieht und worauf bei der Analyse geachtet werden muss.

Formen simulierter Angriffe

Grundsätzlich lassen sich zwei Formen von Angriffssimulationen unterscheiden: verdeckte und offene Tests. Jede davon ist besonders gut für einen bestimmten Zweck geeignet: „Offen“ bedeutet in diesem Fall, dass im Rahmen der Simulation ein enger Austausch über aktuelle Aktivitäten zwischen den „Übungsangreifern“ (Red Team) und der Organisation stattfindet. Dies ist besonders gut geeignet, um zum Beispiel interne Sicherheitsteams auszubilden und zu trainieren, da diese direkt die Aktivitäten in ihren Systemen nachvollziehen können.

Die zweite Form stellen verdeckte Tests dar: Hierbei ist nur ein ausgewählter Kreis von Personen innerhalb der Organisation über die Durchführung der Simulation informiert. Wenn zum Beispiel ein nicht vorab informiertes internes Sicherheitsteam Aktivitäten des Red Teams entdeckt, reagiert es daher wie bei einem tatsächlichen Angriff. Erst nach Abschluss der Simulation wird das Sicherheitsteam über die Aktivitäten aufgeklärt. Dieses Vorgehen eignet sich besonders, um die Fähigkeiten einer Organisation, echte Angriffe zu erkennen und darauf zu reagieren, möglichst realitätsnah zu überprüfen.

Emulation oder Simulation?

Fachkreise unterscheiden zudem noch zwischen einer Emulation und einer Simulation: Der Unterschied liegt in der Freiheit des Red Teams innerhalb der abgesprochenen Szenarien. Eine Emulation ist eine Form, bei der versucht wird, das Vorgehen eines Angreifers möglichst strikt abzubilden: Wenn ein Angreifer zum Beispiel Schadcode in Office-Dateien verwendet, um initialen Zugang zu einer Organisation zu erlangen, dann versucht das Red Team auch nur auf diesem Weg, Zugang zu erlangen. Im Rahmen einer (offeneren) Simulation würden das Red Team hingegen beispielsweise auch andere Formate ausprobieren, die man per E‑Mail an einen Anwender verschicken kann. Eine Emulation eignet sich daher besonders gut, um eine ganz spezifische Angreifergruppe abzubilden – eine Simulation verwendet das Vorgehen dieser Gruppe eher als Leitfaden.

Ablauf einer Angriffssimulation

Am Anfang jeder Angriffssimulation steht die Klärung ihrer Rahmenbedingungen: Hierbei ist unter anderem genau festzulegen, welche Szenarien sie konkret darstellen soll. Dazu gehört unter anderem, welche Angriffstechniken und -Taktiken durchgeführt oder auch nicht durchgeführt werden dürfen, weil damit zum Beispiel eine zu hohe Gefahr einer Störung verbunden wäre.

Zudem werden die Ziele definiert, die das Red Team erreichen soll – diese sollten konkrete Schadensszenarien widerspiegeln. Ein relevantes Ziel kann zum Beispiel das Erlangen von Zugriff auf eine zentrale Datenbank mit sensiblen Daten sein. Das Red Team würde dabei nicht die sensiblen Daten an sich auslesen, sondern zum Beispiel vorher an ähnlicher Stelle platzierte Fake-Daten ausleiten, um das Erlangen des Zugriffs zu demonstrieren. Das Erreichen der festgelegten Ziele ist die zentrale Aufgabe des Red Teams im Rahmen der Angriffssimulation.

Die eigentliche Angriffssimulation unterteilt sich in verschiedene Phasen – jede umfasst hierbei eine konkrete Taktik mit den dazugehörigen Angriffstechniken:

• Reconnaissance: Diese Phase umfasst die „Aufklärung“ der Zielorganisation – zum Beispiel durch das Durchsuchen externer Informationsquellen (z.B. durch Google) sowie aktive Maßnahmen (z.B. Portscans).
• Initial Access: Ziel dieser Phase ist das Erlangen eines ersten Zugriffs. Ein klassisches Beispiel hierfür wäre der Versand von E‑Mails mit Office-Dateien, die Schadcode enthalten, der dem Red Team Zugriff auf das Endgerät des Benutzers ermöglicht.
• Persistence: Anschließend versucht das Red Team, einen persistenten Zugang zu dem angegriffenen System oder Netzwerk zu etablieren. Hierzu kann zum Beispiel ein Systemdienst erstellt werden.
• Privilege-Escalation: Diese Phase umfasst Angriffstechniken, um die Rechte innerhalb des betroffenen Systems oder seiner Umgebung auszuweiten. Ein Beispiel hierfür ist das Auslesen von Zugangsdaten aus dem Arbeitsspeicher eines Systems.
• Lateral Movement: Anschließend versucht das Red Team, Zugriff auf weitere Systeme und Anwendungen zu etablieren – etwa durch die Erstellung eines Systemdienstes auf einem anderen System.
• Target-Execution: Die finale Phase umfasst das Erreichen des Ziels. Als Beispiel kann ein Red Team „Dummy“-Daten von einem Netzlaufwerk auslesen, um den erfolgreichen Zugriff auf das System zu beweisen.

Nach der Durchführung der eigentlichen Simulation findet in der Regel noch ein Workshop zwecks Vorstellung der Simulationsaktivitäten statt.

Realistisch und gezielt dank TI

Um eine Angriffssimulation zu designen, die auch wirklich zu den Bedürfnissen und Bedrohungsprofil eines Unternehmens passt, kommt wieder Threat-Intelligence ins Spiel: Hierzu werden zunächst Informationen zu bekannten Angreifergruppen analysiert – mit dem Ziel, die für die Organisation relevantesten Angreifer zu identifizieren. Diese Gruppen gelten als die wahrscheinlichsten Angreifer.

Anschließend wird die Vorgehensweise der vorher identifizierten Angreifergruppen anhand öffentlich bekannter Informationen detailliert analysiert. Hierbei sind vor allem Taktiken und Techniken von Interesse, welche die Angreifer verwenden, um ihre Ziele zu erreichen. Diese Informationen müssen strukturiert erfasst werden und bilden so die Grundlage für die Durchführung der Angriffssimulation. Konkret versucht man, die vorher identifizierten Techniken und Taktiken zu simulieren.

Das bietet im Wesentlichen zwei Vorteile: Zum einen wird hierdurch sichergestellt, dass die Angriffssimulation die konkrete Bedrohungslage der Organisation so realistisch wie möglich darstellt. Zum anderen reduziert man so den Umfang der Simulation: Die Beschränkung auf Techniken und Vorgehensweisen, die relevante reelle Angreifer tatsächlich verwenden, senkt den Aufwand für das Red Team. So werden zum Beispiel keine aufwendigen physischen Angriffe ausgeführt, wenn die identifizierten Angreifergruppen diese nicht auch einsetzen. Ein derart verringerter Aufwand für das Red Team führt dazu, dass auch die Kosten aufseiten der Organisation geringer ausfallen als bei „klassischen“ Projekten, die das Red Team nicht so stark in den verfügbaren Methoden einschränken.

All das macht letztlich TI-basierte Angriffssimulationen auch für Organisationen bezahlbar, denen die Mittel für klassischen Red-Teaming-Projekte fehlen.

Florian Moß, Maik Würth und Tobias Goldschmidt sind Berater der HiSolutions AG im Bereich Security Consulting.