Threat Intelligence Abwehr gezielter Angriffe durch Wissen

Autor / Redakteur: Vishal Salvi / Peter Schmitz

Die rasante Zunahme gezielter Angriffe gibt Unternehmen vermehrt Anlass zur Sorge. Gezielte Attacken sind raffiniert, hartnäckig, spezifisch motiviert und in den meisten Fällen finanziell gut abgesichert. Die Gründe von Cyber-Kriminellen sind vielfältig und reichen von strategischen Geschäftsinteressen bis hin zu nationalen Interessen, Spionage oder finanziellen Gewinnen.

Firmen zum Thema

Threat Intelligence erkennt die Sicherheitslage und bietet erweiterte Kenntnisse über feindliche Angriffstechniken, -taktiken und -verfahren.
Threat Intelligence erkennt die Sicherheitslage und bietet erweiterte Kenntnisse über feindliche Angriffstechniken, -taktiken und -verfahren.
(Bild: gemeinfrei / Pixabay )

Viele Angriffe zielen aber auch darauf ab, die persönlichen Informationen von Einzelpersonen abzuschöpfen. So wurde beispielsweise das Mobiltelefon des CEO von Amazon, Jeff Bezos, gehackt, nachdem er eine WhatsApp-Nachricht erhalten hatte. Diese war laut des offiziellen Untersuchungsberichts offenbar vom saudi-arabischen Kronprinzen gesendet worden. Es ist auch offensichtlich, dass die Angriffe nicht nur Zero-Day-Schwachstellen ausnutzen, sondern auch gezielt nach falschen Security-Konfigurationen Ausschau halten. Es gibt zum Beispiel eine Reihe von Datenverletzungen, die die Fehlkonfiguration der Amazon S3-Buckets ausnutzt. Dadurch wurden bereits mehrere Millionen Datensätze mit sensiblen und vertraulichen Details offengelegt.

Unabhängig von der Motivation und der Art des Angriffs sind gezielte Attacken oft sehr schwer zu erkennen und zu beheben. Ein detailliert geplanter, gezielter Angriff kann auch zu den technisch versiertesten oder erfahrensten Anwendern durchdringen. Sie werden als Advanced Persistent Threats (APT) bezeichnet. Cyber-Kriminelle setzen hoch entwickelte Technologien ein, um wiederholt anzugreifen – und zwar so lange, bis der Angriff erfolgreich ist.

Ein erfolgreicher Angriff kann eine Organisation in die Knie zwingen. So lassen sich beispielsweise die Produktionslinien eines Automobilunternehmens unterbrechen oder vertrauliche Daten einer Bank oder im Gesundheitswesen kompromittieren. Das Ergebnis sind erhebliche betriebliche wie Reputationsschäden.

Cyber Security ist bei allen Unternehmen eines der wichtigsten strategischen Themen, wie eine aktuelle Studie von Infosys zeigt: 83 Prozent der Befragten betrachten Cyber Security als eine kritische Komponente ihres Unternehmens. Führungskräfte aller Branchen sind der festen Überzeugung, dass Cyber Security-Risiken eine der fünf größten Herausforderungen ist, die die Zukunft von Unternehmen verändern.

Um diese zu bewältigen, müssen Unternehmen eine skalierbare Cyber Security-Infrastruktur aufbauen, die sich nahtlos an die sich entwickelnde Bedrohungslandschaft anpassen und auf diese reagieren kann.

Threat Intelligence

Während Organisationen einen Defense-in-Depth-Ansatz verfolgen, um opportunistische Angriffe abzuwehren, müssen sie gezielte Angriffe erkennen und durch den Einsatz entsprechender Informationen über die Attacken eindämmen.

Threat Intelligence wird als evidenzbasiertes Wissen definiert, das kontextbezogen relevant ist. Es lässt sich in Plattformen und Tools integrieren, um Bedrohungen für Personen, Organisationen oder Vermögenswerte in einem standardisierten und einfach verständlichen Format schnell und genau zu erkennen. Es lässt sich in interne (innerhalb der Organisation gesammelte) und externe (von außerhalb der Organisation erworbene) Erkenntnisse wie Nachrichtenabonnements, Community-Feeds usw. unterteilen.

Es gibt drei Arten von Threat Intelligence:

  • Strategische Informationen helfen Führungskräften, sich einen Überblick über die Bedrohungslage zu verschaffen und ihre Sicherheitsstrategie zu planen.
  • Die taktischen Informationen werden vorwiegend von Analysten genutzt – und zwar für ihre täglichen Sicherheitseinschätzungen im laufenden Betrieb. Auch um Machine-to-Machine-Bedrohungen zu erkennen, sind sie nützlich. Sie können außerdem taktische Entscheidungen unmittelbar beeinflussen.
  • Operative Aufklärung liefert Kontext für Sicherheitsereignisse und Zwischenfälle.

Der traditionelle Threat Intelligence-Zyklus besteht außerdem aus sechs verschiedenen Phasen:

  • Ausrichtung: Definition der Ziele des Threat Intelligence-Programms
  • Sammlung: Sammeln von Informationen, um die Anforderungen des Threat Intelligence-Programms zu erfüllen
  • Verarbeitung: Umwandlung von Informationen in ein Format, dass sich breit verwenden lässt
  • Analyse: Umwandlung von verarbeiteten Informationen mit menschlichem Input in Threat Intelligence-Informationen. So lassen sich bessere Entscheidungen treffen
  • Verbreitung: Verteilen der Informationen an die richtigen Ziele
  • Rückmeldung: Prioritäten und Bedürfnisse der Security-Teams verstehen

Threat Intelligence wird für den aktiven Schutz vor Bedrohungen verwendet. Sie reduziert Bedrohungen und erkennt historische bösartige Ereignisse besser. Diese unterstützen die Reaktion auf den jeweiligen Vorfall.

In den meisten Sicherheitsoperationszentren (Security Operations Center, SOCs) verursachen die falsch-positiven Alarme eine hohe Aufmerksamkeit und binden Ressourcen. Die Gründe dafür sind vielseitig, darunter die unzureichende Kenntnis der Angriffstechniken, -taktiken und -verfahren (TTPs) oder der Indikatoren für Gefährdungen (IOC) oder der vom Gegner benutzten Angriffsfläche. Dies ist auf die hohe Zahl der täglichen Alarme und Zwischenfällen zurückzuführen. Threat Intelligence liefert die benötigten Kontextinformationen zu den Indikatoren. Die Security-Analysten erhalten so ein situatives Bewusstsein, während sie den Vorfall untersuchen. Dies unterstützt auch andere damit verbundenen Indikatoren, Kampagnen, Betrieb usw. für eine umfassende Reaktion auf den Vorfall. Dies ist einer der größten Vorteile, den der Zugriff auf taktische und operative Informationen bietet.

Die Vorteile von Threat Intelligence sind im Überblick:

Strategische Intelligenz

Sie liefert ein hohes Niveau an Informationen über die sich verändernden Risiken in der Cyber-Landschaft. Sie liefert aber auch Informationen über neu aufkommende Bedrohungen, den Expositionsindikator der Organisation (Indicator of Exposure, IOE) und ihr Risiko für aktuelle und neu aufkommende Bedrohungen. Dies hilft Führungskräften bei der Entwicklung und Institutionalisierung ihrer Verteidigungsstrategie.

Erkenntnisse

Threat Intelligence erkennt die Sicherheitslage und bietet erweiterte Kenntnisse über feindliche TTPs. Organisationen sind dadurch in der Lage, Bedrohungen wirksam zu begegnen. Sie liefert Details zu bösartigen Domänen, von Gegnern kontrollierten IP-Adressen und allen Schwachstellen, die sich ausnutzen lassen. Auf Basis von Threat Intelligence lässt sich das Bewusstsein schärfen und Wissen über neue Arten von Malware sowie die Indikatoren eines Angriffs vertiefen – und darüber, wie Malware Unternehmen potenziell schaden könnte. So können Organisationen entsprechende Maßnahmen vorbereiten.

Dank des Einsatzes von Treat Intelligence Feeds ist eine moderne Threat Protection-Software in der Lage, Bedrohungen zu suchen und diese zu blockieren, bevor sie Schaden anrichtet. Dazu muss die Anwendung auf Systemen, Netzwerken, E-Mails und Servern für einen umfassenden Schutz implementiert sein.

Threat Intelligence-Informationen zu entwickeln und darauf zu reagieren, ist die Basis einer Cyber Security-Strategie sowie aller Gegenmaßnahmen. Organisationen können gezielte Angriffe effizient erkennen und mindern, indem sie Threat Intelligence nutzen. Diese wird durch kontextbezogene Datenschutz- und Sicherheitstools erweitert, die menschliche Analysten über einen bevorstehenden Cyberangriff informieren.

Da die Welt aus IoT- und physischen Cyber-Systemen besteht, müssen Unternehmen die perfekte Mischung aus Teams, Prozessen und Technologien entwickeln. Sie werden durch Threat Intelligence-Daten ergänzt, um die Cyber-Abwehr gegen gezielte Angriffe in den kommenden Jahren zu stärken und zu verbessern.

Threat Intelligence und Management von Schwachstellen

Threat Intelligence erstreckt sich nicht nur auf die Indikatoren der Bedrohung, sondern auch auf Schwachstellen und Exploits. Diese Informationen werden von den OEMs und auch aus dem Dark Web zusammengetragen. Sie werden dazu verwendet, die Daten über die Schwachstellen hinweg mit Kontextinformationen zu überlagern und helfen so dem Team, Gegenmaßnahmen zu priorisieren. Auf diese Weise erhält die Organisation auch eine Perspektive darüber, wie sie solchen ihrer Exposition gegenüber solchen Schwachstellen ausgesetzt sind – und den Bedrohungen, die diese ausnutzen.

Über den Autor: Vishal Salvi ist CISO und Head of Cybersecurity Practice bei Infosys.

(ID:47304871)