Getty Images
Aufklärung von Cyberbedrohungen erfordert neue Ansätze
Kriminelle ändern ihre Methoden und Werkzeuge für Angriffe kontinuierlich. Unternehmen benötigen zeitnahe Erkenntnisse und Informationen, um den Bedrohungen begegnen zu können.
Der Einsatz von Cyber Threat Intelligence (CTI) in der Sicherheitsbranche ist weit verbreitet. Angreifer ändern häufig ihre Methoden, um nicht von Verteidigern entdeckt zu werden. Infolgedessen haben viele Sicherheitslösungen CTI implementiert, um Angriffe zu blockieren oder aufzudecken.
Um Signaturen und Aktualisierungen ihrer Lösungen bereitzustellen, führen die Bedrohungsteams der Hersteller ihre eigene Forschung durch, nutzen darüber hinaus aber auch CTI-Daten von anderen Urhebern. Der Bedarf an zeitnahen Erkenntnissen und die schiere Menge an Informationen erfordern eine Bereitstellung von CTI aus der Cloud in nahezu Echtzeit.
Die CTI bei traditionellen Sicherheitslösungen hat jedoch einige Beschränkungen. Die schiere Anzahl von Vorfallsindikatoren macht es schwierig, die Geräte über alle Angriffe in freier Wildbahn auf dem Laufenden zu halten. Beispielsweise gibt es nur so viele Blockierregeln, wie eine Firewall realistisch zu einem bestimmten Zeitpunkt implementieren kann.
Deshalb konzentrieren sich die Anbieter auf die am weitesten verbreiteten Bedrohungen, um die Anzahl der Signaturen zu begrenzen. Letztlich nimmt die Leistung mit zunehmendem Signatureinsatz ab. Weniger verbreitete Angriffe oder unbekannte Bedrohungsakteure schaffen sie möglicherweise nicht zu erkennen.
Ein weiterer Punkt betrifft die Geschwindigkeit der gegnerischen Aktivitäten. Sie führt zwangsweise zu Lücken, bevor Patches veröffentlicht und eingesetzt werden können. Es dauert auch einige Zeit, bis die Anbieter die Bedrohungsinformationen validiert haben – insbesondere bei Blockierungsaktionen. Um einen Angriff zu erkennen und dann blockieren zu können, muss sich die Signatur außerdem in der Sicherheitslösung befinden, bevor der Angriff stattfindet.
Cyberkriminelle nehmen Änderungen an der Malware oder an der Art und Weise vor, wie ihre Angriffe ausgeführt werden. Damit vermeiden sie eine Erkennung durch bereits vorhandene Regeln und Signaturen.
Die meisten Anbieter sammeln Informationen, formulieren Signaturen und leiten sie über geschlossene Regelkreise an ihre Produkte weiter. Sie teilen weder ihre CTI noch die Art und Weise, wie ihre Signaturen funktionieren mit. Es gibt keine Möglichkeit, zu überprüfen, ob ein bestimmter Angriff blockiert wird, ohne den Anbieter zu fragen oder das System auf die Attacke zu testen. Einige Anbieter bieten allerdings APIs (Programmierschnittstelle, Application Programming Interface) an, die es Unternehmen zumindest ermöglichen, die eigene CTI in ihr System zu integrieren.
Die Auswirkungen von Beschränkungen
Aus den oben genannten Gründen sind Kompromisse erfolgreich, weil die für ihre Blockierung erforderlichen Informationen zum Zeitpunkt des Angriffs nicht vorhanden sind. Deshalb brauchen Unternehmen eine zuverlässige und konsistente Methode, um nachträglich Kompromitierungen zu finden.
Ohne diese haben Angreifer praktisch unbegrenzt Zeit, um von der Kompromitierung zum Sicherheitsvorfall mit Datenverlust zu eskalieren. Die Statistiken, die die durchschnittliche Zeit und Anzahl der Sicherheitsvorfälle bis zu ihrer Entdeckung aufzeigen, lesen sich jedes Jahr schlimmer. Beispielsweise gibt die IBM Studie Cost of a Data Breach Report 2019 an, dass durchschnittlich 206 Tage bis zur Erkennung einer Kompromittierung vergehen.
Unternehmen investieren in eine Reihe verwandter Fähigkeiten, wie:
-
Verhaltens- und / oder TTP-Erkennung (Tactics, Techniques and Procedures), die sich nicht auf traditionelle statische Indikatoren und Signaturen stützt;
-
Sandboxing und dynamische Analyse zur Erkennung gezielter Angriffe, bei denen keine Signaturen vorhanden sind;
-
Mehr SOC-Personal, eine stärkere Spezialisierung innerhalb des SOC (Security Operations Center) und Werkzeuge, die die Effizienz des SOC verbessern, um mit der Menge der Alarme fertig zu werden;
-
Stärkere Konzentration auf die Reaktion auf Vorfälle, die Bedrohungsjagd und die Einteilung der Alarme, die zunehmend getrennte Funktionen mit der Sicherheitsgruppe darstellen;
-
eine Fähigkeit zur Erfassung und Nutzung von CTI außerhalb der von den meisten Sicherheitstechnologien verwendeten Signatursysteme.
Die Anzahl der CTI-Anbieter ist in den letzten Jahren rapide gestiegen, da nationalstaatliche aber auch cyberkriminelle Akteure sich besser organisieren sowie kommerzieller und damit professioneller auftreten. Die Sicherheitsforscher sind aber ebenfalls hochspezialisiert und konzentrieren sich auf unter anderem auf bestimmte Klassen von Bedrohungsakteuren oder sogar auf spezifische Bedrohungsgruppen. Sie verwenden dabei Begriffe wie Surface Web, Deep and Dark Web (DDW), Advanced Persistent Threats (APTs) und Organized Crime Groups (OCGs).
Ein Großteil dieser Sicherheitsforschung produziert fertige Threat Intelligence-Berichte zusammen mit CTI-Echtzeit-„Feeds“ für die Nutzung von System zu System. Industriegruppen wie IT-ISAC, Regierungsstellen, Aufsichtsbehörden, Hersteller, befreundete Organisationen und Gleichgesinnte tragen alle zu diesem wachsenden Volumen spezialisierter Bedrohungsforschung bei.
Damit ergänzen sie die Informationen, die von bezahlten Threat-Intelligence-Diensten bereitgestellt werden. Dazu kommen interne Informationen, die aus der Reaktion auf Vorfälle, des Threat Huntings und dem SOC selbst generiert werden.
Die Herausforderung der Datenflut bewältigen
Von den SOCs wird erwartet, dass sie einen Prozess für den Umgang mit diesen verschiedenen Quellen und den in verschiedenen Formaten bereitgestellten Daten haben. Traditionell haben Organisationen Tabellenkalkulationen, Word-Dokumente, kleine Datenbanken, Open-Source-Tools und ähnliches verwendet. Aber keiner dieser Ansätze ist skalierbar oder automatisiert. Infolgedessen ist der Markt für Threat-Intelligence-Plattformen (TIP), die Organisationen bei der Verwaltung ihrer CTI unterstützen gewachsen.
„Unternehmen brauchen eine zuverlässige und konsistente Methode, um nachträglich Kompromitierungen zu finden. Ohne diese haben Angreifer praktisch unbegrenzt Zeit, um von der Kompromitierung zum Sicherheitsvorfall mit Datenverlust zu eskalieren.“
Markus Auer, ThreatQuotient
Die erste Funktion einer TIP besteht darin, Bedrohungsinformationen zu speichern und zu verwalten, unabhängig davon, woher sie stammen. Die zweite Funktion besteht darin, alle Daten in einen Kontext zu stellen, indem dem kleinen Teil der relevanten Informationen Priorität eingeräumt und sie so in nützliche Informationen umgewandelt werden.
Die dritte Funktion besteht darin, sofort verwertbare Informationen an nachgelagerte Systeme weiterzugeben, die diese für die Erkennung nach Kompromittierungen, präventive Blockierung, Patch-Priorisierung, Reaktion auf Zwischenfälle, Threat Hunting und viele andere Anwendungsfälle nutzen.
Die folgenden Punkte fassen zusammen, wie eine Plattform für Threat Intelligence zur Erkennung und Aufklärung von Sicherheitsvorfällen beiträgt:
-
Umfang: Eine TIP kann Dutzende von Millionen von Identicators of Compromise (IOCs) speichern, und ihre Leistung lässt nicht mit dem Umfang nach.
-
Relevanz: Eine TIP kann im Gegensatz zu Einheitslösungen eine granulare Reihe von Auswahlkriterien auf CTI anwenden, die die gleichen Informationen an alle Produkte gleichermaßen senden.
-
Zeitplanung und Aktualität: Eine TIP macht es überflüssig, die Threat Intelligence-Erkenntnisse vor dem Angriff einzusetzen - die Integration mit Log-Quellen (zum Beispiel SIEM) ermöglicht eine rückwirkende Erkennung, unabhängig davon, wann der Angriff stattfand oder wann die Threat Intelligence-Erkenntnisse in der TIP eintrafen. Während der Einsatz von Sperrsignaturen immer eine Vertrauensprüfung erfordert, kann eine TIP dies automatisieren oder Analysten mit Informationen versorgen, um den Verurteilungsprozess zu beschleunigen.
-
Maßgeschneiderte Angriffe: Eine TIP kann IOCs und Angriffsindikatoren (Indicators of Attack, IoAs) aus Sandboxen, Phishing-E-Mails, Honeypots und einer Reihe anderer interner Systeme sammeln und die Überprüfung auf erfolgreiche frühere Angriffe oder die Blockierung ähnlicher zukünftiger Angriffe automatisieren.
-
Geschlossene Informationskreisläufe: Viele Anbieter haben ihre Ökosysteme mit APIs geöffnet, die es einer TIP ermöglichen, neue Informationen an eine Reihe von Systemen wie AV, EDR (Endpoint Detection and Response), IPS (Intrusion Prevention Systems), DNS, Web und E-Mail weiterzugeben.
Fazit
Es besteht kein Zweifel, dass die Sicherheitsindustrie dank CTI besser gegen Cyberbedrohungen gewappnet ist. Aber CTI an und für sich ist keine Patentlösung für den Umgang mit Cyberbedrohungen.
Organisationen brauchen eine Möglichkeit, alle Daten zu speichern und zu verwalten, sie für eine bessere Entscheidungsfindung zu kontextualisieren und nach Prioritäten zu ordnen und umsetzbar zu machen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.