Informationen über Angriffe sammeln Cyber-Intelligence richtig nutzen

Autor / Redakteur: Wolfgang Kandek, Qualys. / Stephan Augsten

Ohne umfassende Präventivmaßnahmen und eine Cyber-Intelligence-Strategie kann ein Unternehmen leicht einer professionellen Attacke zum Opfer fallen. In diesem Beitrag erörtern wir, wie man sich durch Erfahrungswerte für zukünftige Angriffe rüstet.

Firmen zum Thema

Das Sammeln von Informationen über Sicherheitsvorfälle helfen bei der Abwehr künftiger Angriffe.
Das Sammeln von Informationen über Sicherheitsvorfälle helfen bei der Abwehr künftiger Angriffe.
(Bild: alphaspirit - Forolia.com)

Im Februar veröffentlichte die amerikanische

Wolfgang Kandek: „Leider ist die Ursachenforschung bei Sicherheitsvorfällen meist zweitrangig.“
Wolfgang Kandek: „Leider ist die Ursachenforschung bei Sicherheitsvorfällen meist zweitrangig.“
(Bild: Qualys)
Computersicherheitsfirma Mandiant ein ausführliches Dossier über die chinesische Cyber-Spionagegruppe APT1. Der Bericht zeigt unter anderem, dass moderne Cyberangriffe strukturierte, von gut organisierten Teams durchgeführte Aktionen sind.

Tatsächlich belegen jüngste Vorfälle, dass selbst technologisch führende Unternehmen wie Facebook und Apple, die über umfangreiche Abwehrsysteme verfügen, erfolgreich angegriffen werden können. Gleichzeitig haben diese Vorfälle aber auch demonstriert, dass Früherkennung von entscheidender Bedeutung ist.

Unternehmen könnten aus den Hintergründen der Angriffe lernen – unglücklicherweise ist die Ursachenforschung in solchen Vorfällen aber meist zweitrangig. Wenn heute ein Computer als gehackt entdeckt wird, konzentriert man sich auf die Wiederherstellung der Funktionsweise der Maschine, nicht auf die Analyse des Vorgehens der Angreifer.

So gehen wertvolle Informationen verloren, die genutzt werden könnten, Computer anderer Abteilungen zu härten und das Unternehmen für einen weiteren Angriff gleicher Machart vorzubereiten. Obwohl außer Frage steht, dass diese Informationen sehr brauchbar sind, werden sie nur selten strukturiert erfasst und innerhalb des Unternehmens weitergegeben – von einer Publikation über die Unternehmensgrenzen hinaus muss schon gar nicht geredet werden.

Wissen ist Macht

Wenngleich es heute schon unabhängige Institutionen gibt, die sich mit Cyberangriffen befassen, sind trotzdem Unternehmen selbst für ihre Computersicherheit verantwortlich. Sie müssen sich individuell eine Verteidigungsstrategie aufbauen und diese dann auch an neueste Tendenzen anpassen.

Dieser ganze Vorgang wäre um einiges leichter, wenn wir Daten zu Angriffen untereinander austauschen würden. Angreifer selbst stehen in konstanter Kommunikation miteinander über Foren und ihre Social Networks. Sie besprechen sich über erfolgreiche Taktiken und das Ausnutzen von Schwachstellen – warum sollten also die angegriffenen Unternehmen nicht ähnlich vorgehen?

Oft ist es die Angst vor einer Kompromittierung vertraulicher Geschäftsinformationen, die den Austausch verhindert; und wenn er doch stattfindet, dann nur im kleinen vertraulichen Kreis, zum Beispiel bei brancheninternen Veranstaltungen. Aber selbst die wenigen Daten solch kleiner Communities lassen schon darauf schließen, dass sich der Wissenstransfer lohnt und dass er ohne Preisgabe vertraulicher Informationen möglich ist.

Die aktuelle Cyber-Intelligence-Landschaft

Viele IT-Security-Spezialisten glauben, dass ein Eingriff seitens des Gesetzgebers unvermeidlich ist. Regierungen müssten den Internetverkehr überwachen, um anomale Verhaltensweisen zu identifizieren und dann angriffsrelevante Erkenntnisse an die Unternehmen bereitstellen.

Die öffentliche Meinung zu Themen wie der Privatsphäre und dem Recht auf freie Meinungsäußerung sowie der grundsätzlich globale Charakter des Internets lassen diese Option allerdings unrealistisch erscheinen. Es gibt jedoch Organisationen, die schon an Lösungen arbeiten. Einige Beispiele:

  • Information Sharing and Analysis Centres (ISAC) sind vor allem im Finanzdienstleistungssektor zu finden. Sie versetzen Banken in die Lage, auf sichere Weise Informationen darüber auszutauschen, wann und wo sie angegriffen wurden. Mithilfe dieser Kenntnisse können die Banken die am stärksten gefährdeten Bereiche besser absichern und Bedrohungen effizienter neutralisieren.
  • Eine weitere Einrichtung zum Austausch von Informationen sind die Computer Emergency Response Teams (CERTs). Dabei handelt es sich um spezielle Abteilungen, die Unternehmen und Organisationen einrichten, um Daten zu Cyberangriffen zu analysieren und auf Probleme unverzüglich zu reagieren.
  • Incident-Response-Spezialisten wie Mandiant werden herangezogen, wenn Unternehmen von Hackern erfolgreich angegriffen wurden. Diese Spezialisten konzentrieren sich auf die Beseitigung hartnäckiger Probleme, wie sie etwa die New York Times kürzlich erlebte, und können nützliche Post-Mortem-Informationen in anonymisierter Form veröffentlichen.

Ergänzend zu diesen Gruppen stellen im Übrigen auch die Massenmedien eine wertvolle Informationsquelle dar. Die sogenannte „Public Threat Intelligence“, also das öffentliche Wissen über die neuesten Angriffe und Trends, kann ausgesprochen nützlich sein.

Als beispielsweise Facebook in diesem Jahr Opfer von Hackern wurde, konnten Unternehmen der Medienberichterstattung entnehmen, dass der Angriff gegen Entwicklerworkstations ausgerichtet war. Der verwendete Exploit visierte eine der neuesten Java-Schwachstellen an und wurde durch Analyse von DNS-Logdateien vom Facebook-Sicherheitsteam erkannt.

Unternehmen, die solchen veröffentlichten Informationen Beachtung schenken, können sich auf potenzielle Angriffe vorbereiten und auch generelle Sicherheitstrends im Blick behalten.

Perspektive für die Zukunft

Ein System, in dem eine vertrauenswürdige Organisation Warnungen ausgibt, die auf Daten basieren, die sie von allen Unternehmen erhält – also nicht nur von den eisbrechenden Vorreitern wie Twitter, Facebook und Google –, könnte sich als unschätzbare Ressource erweisen.

Diese Daten müssen unbedingt detailliert und verlässlich sein, da sich die verteilende Stelle andernfalls kein Vertrauen erwerben wird. Noch Zukunftsmusik, aber Unternehmen können heute schon anfangen, um dabei eine Rolle zu spielen.

Angriffsinformationen müssen erfasst werden und dann an eine übergeordnete Institution weitergeleitet werden - fragen Sie das für ihre Region zuständige CERT oder suchen sie eine Industrieorganisation, die vielleicht schon eine Verteilungsfunktion hat. Hilfreich können auch gewisse Initiativen der Computersicherheitsindustrie sein, z.B. das Open Threat Exchange (OTX) und das Open Indicator of Compromise (OpenIOC) Format.

Wolfgang Kandek ist Chief Technical Officer bei Qualys.

(ID:40159090)