Durchblick oder Nebelfahrt : Warum die Auswahl der richtigen Quellen für Threat-Intelligence entscheidend ist
Informationen über technische Bedrohungen und potenzielle Übeltäter zu sammeln, welche die eigene Organisation gefährden, ist Aufgabe der Threat-Intelligence. Doch wie wählt man dabei die richtigen Informationsquellen aus? Und welche Ziele will man damit genau verfolgen?
Aufgrund der rasanten Entwicklung der Cyberbedrohungen, die immer komplexer und raffinierter werden, ist das Wissen über bösartige Akteure und Techniken zu einem Schlüsselelement der Sicherheitspolitik von Unternehmen geworden. Threat-Intelligence (TI), also die Anpassung nachrichtendienstlicher Techniken in einer digitalen Welt, beschreibt die konkrete Umsetzung dieses Konzepts. Im weiteren Sinne dreht es sich hierbei um eine wertvolle, wenn nicht sogar unverzichtbare Hilfe bei der Entscheidungsfindung in Bezug auf die Architektur und die Sicherheit von Informationssystemen.
Nach der Definition von Gartner ist Threat-Intelligence „evidenzbasiertes Wissen, einschließlich Kontext, Mechanismen, Indikatoren, Implikationen und konkreter Ratschläge, über eine neue oder bestehende Bedrohung oder Gefahr für die Vermögenswerte einer Organisation, das verwendet werden kann, um Entscheidungen darüber zu erhellen, wie das Subjekt auf diese Bedrohung oder Gefahr reagieren soll“. Es geht also darum, Informationen zu sammeln, zu organisieren und zu analysieren, um Trends zu erkennen (Zielbranchen, verwendete Werkzeuge und Methoden usw.). Dieses Profiling ermöglicht es, die Verteidigungsmechanismen anzupassen und die verschiedenen Sicherheitsvorfälle durch den Einsatz von Erkennungssystemen oder durch die Priorisierung der Eindämmung bestimmter Risiken im Hinblick auf die Bedrohungen, die auf die Organisation abzielen, bestmöglich zu antizipieren.
Ein großer Teil der Wirksamkeit jedes Threat-Intelligence-Dienstes hängt dabei von der Sammlung relevanter Informationen ab. Diese können unterschiedlicher Art sein: Es kann sich um Kompromittierungsindikatoren (IOCs), wie Hashes, Domainnamen, IP-Adressen und vollständige Angriffsmuster, handeln, aber auch um Signale, welche die Identifizierung bösartiger Aktivitäten ermöglichen, wie die erneute Verwendung von Architekturen oder Plattformen, die in der Vergangenheit genutzt wurden, oder um die Nutzung bestimmter Dienste, Techniken oder Methoden.
Die Quellen ihrerseits lassen sich zum Großteil wie folgt kategorisieren:
- Open-Source-Intelligence (OSINT)
- kommerzielle und gemeinschaftliche Datenströme
- soziale Medien (SOCMINT)
- von Menschen stammende Informationen sowie Analyse- und Korrelationsfähigkeiten
- Informationen aus dem Deep und Dark Web
Top-Quellen
Zu den wertvollsten kostenlos verfügbaren Quellen gehören:
- AlienVault Open Threat Exchange: Bei AlienVault handelt es sich um einen der größten Akteure im Bereich, der über einen qualitativ hochwertigen kostenlosen Open-Source-Informationsaustausch verfügt. Er ermöglicht es Unternehmen, Sicherheitsforschern und Regierungsbehörden, offen zusammenzuarbeiten und Informationen ganz einfach auszutauschen (https://otx.alienvault.com).
- Cisco Talos Intelligence: Das Talos-Threat-Intelligence-Team schützt Cisco-Kunden, bietet aber auch eine kostenlose Version seiner Dienste an, die Nachforschungen über Bedrohungen, Schwachstellen und aufkommende Gefahren liefert (https://talosintelligence.com).
- Spamhaus Project: eine europäische gemeinnützige Organisation, die Cyber-Bedrohungen verfolgt und Bedrohungsdaten in Echtzeit bereitstellt. Spamhaus hat Blocklisten für bekannte Spammer und Malware-Verbreiter entwickelt, die sie Internetdienstleistern, E-Mail-Anbietern und Organisationen zur Verfügung stellt (www.spamhaus.org).
- Department of Homeland Security (DHS) – Cybersecurity and Infrastructure Security Agency (CISA) Automated Indicator Sharing (AIS): Dieser Dienst zum Austausch von Informationen ermöglicht es Unternehmen, dem DHS Indikatoren für Cyber-Bedrohungen zu melden, die dann über die Website zum automatischen Austausch von Indikatoren verbreitet werden. Auf diese Weise lassen sich Indicators of Compromise (IOCs), wie IP-Adressen, E-Mail-Absender, Domänen und mehr, finden (www.cisa.gov/ais/).
- FBI InfraGard: Dieses Portal umfasst Informationen zu zahlreichen Sektoren kritischer Infrastrukturen. Unternehmen des privaten und öffentlichen Sektors können darauf zurückgreifen, um Informationen über verschiedene Cyberbedrohungen auszutauschen und zu finden. Das FBI stellt die über dieses Portal gesammelten Informationen ebenfalls zur Verfügung (www.infragard.org).
- SANS Internet Storm Center: Die Datenbank des SANS Institute verwendet ein Sensornetzwerk, das täglich über 20 Millionen Einträge in Intrusion-Detection-Logs erfasst, um Warnungen zu Sicherheitsbedrohungen zu generieren. Zusätzlich zu den reinen Warnmeldungen bietet es auch Analysen, Tools und Foren für Sicherheitsexperten an (https://isc.sans.edu).
- Google Alerts: Mit dieser kostenlosen Google-Funktion lassen sich Warnmeldungen auf Basis von Schlüsselwörtern oder Schlüsselwortphrasen einrichten, die alle von Google indizierten Websites erfassen und dem Nutzer relevante Links per E-Mail zusenden (www.google.de/alerts/).
- VirusTotal: Über diese Website kann man Dateien, URLs oder IP-Adressen recherchieren, um zu prüfen, ob das eigene Unternehmen mit irgendeiner Art von bösartigem Verhalten in Verbindung gebracht wurde. VirusTotal liefert zwar keine proaktiven Bedrohungsdaten, kann aber während einer Untersuchung sehr nützlich sein, um verdächtige Elemente zu überprüfen. Darüber hinaus greift es auf das Wissen der Community zurück, um endgültige Entscheidungen über die Anfragen zu treffen(www.virustotal.com).
TI-Richtlinie
Um die eigene Threat-Intelligence-Policy richtig zu definieren, müssen Unternehmen zunächst eine Bestandsaufnahme ihrer aktuellen Situation vornehmen, die sich ebenso an den gesteckten Zielen wie an den verfügbaren Ressourcen orientiert. Hierbei stellen sich folgende Fragen, die Unternehmen dabei unterstützen können, sich zu positionieren und somit ihre Informationsquellen besser auszuwählen:
- Welche technischen und personellen Mittel stehen zur Verfügung?
- Vor welchen Arten von Akteuren/Angriffen gilt es, sich vorrangig zu schützen?
- Soll Threat-Intelligence eher dazu genutzt werden, um Risikoanalysen zu präzisieren, Sicherheitsvorfälle zu erkennen, die Entscheidungsträger zu sensibilisieren oder um technische Architekturen zu verbessern?
Die größte Herausforderung beim Sammeln von Daten besteht darin, nicht einfach nur wenige besonders populäre Quellen auszuwählen – in der Annahme, dass damit schon alle notwendigen Informationen bereitgestellt werden können. In Wirklichkeit ist es von entscheidender Bedeutung, seine Quellen sorgfältig nach individuellen Zielen und Mitteln der jeweiligen Organisation auszuwählen, da keine Quelle das gesamte Spektrum – technisch, operativ und strategisch – abdeckt.
Quellenforschung
Die Kenntnis der Besonderheiten jedes Quellentyps hilft dabei, diejenigen Quellen auszuwählen, die am besten zu den individuellen Zielen passen und gleichzeitig die zur Verfügung stehenden Ressourcen berücksichtigen – letztlich ist jede Quelle anders. Beispielsweise liefern Kompromittierungsindikatoren Daten, die auf den ersten Blick leicht zu verarbeiten sind, im Laufe der Zeit aber ein höheres Maß an Verarbeitung und Analyse erfordern, um False Positives zu vermeiden und ihren Lebenszyklus richtig zu verwalten. Um andere Quellen voll auszuschöpfen, muss man wiederum die gesammelten Daten analysieren, damit sie in umsetzbare und für das Unternehmen nützliche Ergebnisse umgewandelt werden können – das setzt voraus, dass ein Unternehmen über entsprechende Ressourcen verfügt.
Öffentliche oder kommerzielle Quellen?
Es gibt zahlreiche öffentliche Quellen (OSINT, soziale Medien usw.) und einige kommerzielle Anbieter von Threat-Intelligence-Lösungen. Die Nutzung öffentlicher Quellen erfordert in jedem Fall eine konsequente Verarbeitung und Filterung. Wer sich hierfür entscheidet, muss in der Lage sein, die Mobilisierung von Ressourcen und speziellen Werkzeugen zu gewährleisten.
Die Wahl eines kommerziellen Anbieters ermöglicht hingegen den gesammelten Zugang zu einem breiteren Spektrum von Quellen und erfordert weniger interne Ressourcen. Dennoch sollten Unternehmen den oder die Anbieter wählen, deren Abdeckung für ihren Tätigkeitsbereich am relevantesten ist. Auch hier gilt:
Eine gute Threat-Intelligence-Politik stützt sich auf spezifische Informationen, die für das eigene Unternehmen relevant sind.
Fazit
Da die Grenzen zwischen den zahlreichen Bedrohungsarten und den unterschiedlichen Typen bösartiger Akteure zunehmend verschwimmen und klassische Methoden und Tools nicht mehr greifen, führt kein Weg an einem proaktiven Ansatz vorbei, um den ausgefeilten und zielgerichteten Angriffen der Cyberkriminellen die Stirn zu bieten. Darüber hinaus gilt es, Sicherheitskontrollen regelmäßig an die sich stets verändernde Bedrohungslage anzupassen.
Wer mit der Entwicklung Schritt halten will, sollte über eine effektive Threat-Intelligence verfügen, die an seine individuellen Bedürfnisse anpasst ist. Mit der sorgfältigen Auswahl relevanter Informationsquellen sind Unternehmen in der Lage, die richtigen Daten zu sammeln, die nach eingehender Analyse eine wertvolle Hilfe bei der Entscheidungsfindung darstellen – allem voran bei der Wahl der geeignetsten Gegenmaßnahmen, je nach Typologie der potenziellen Angreifer.
Zentrale Endpoint-Management-Plattformen, die TI-Daten aufgreifen und im gesamten Unternehmen nach Indicators of Compromise (IOCs) suchen, können einen zusätzlichen Mehrwert bieten. Denn damit sind Unternehmen in der Lage, Probleme und Schwachstellen automatisiert zu finden. So oder so: Indem man Angreifern die Arbeit deutlich erschwert, kommen Unternehmen weg von einer Kultur der Angst und sind in der Lage, das Risiko für ihr Business erheblich zu reduzieren.
Zac Warren ist Senior Director Cybersecurity Advisory, EMEA bei Tanium.