Eine Wunde desinfiziert man, bedeckt sie mit Pflaster oder Verband, wartet eine Weile und das Problem verschwindet meist von allein. Was zuhause als gute Praxis gilt, ist aber für Profis oft nur der erste Schritt.

Denn nicht immer ist die Ursache eines solchen Problems offensichtlich. Es gibt auch Wunden, die nicht durch offensichtliche Ursachen entstanden sind. Hier ist es dann wichtig, den richtigen Auslösern auf den Grund zu gehen, um sicherzustellen, dass die Wunde nachhaltig geschlossen bleibt und nicht wieder aufbricht oder an einer anderen Stelle wieder zu Tage tritt. Ärzte versuchen daher nicht nur Symptome zu heilen, sondern ihre Ursachen zu behandeln. Es gibt gute Gründe, dass Security-Profis das auch tun sollten.

Hoffen und Daumen drücken reicht nicht aus

Ein Beispiel aus der Praxis: Dem Security-Team einer Organisation fallen unautorisierte Zugriffe auf ein bestimmtes Konto auf – offenbar war das Passwort kompromittiert worden (Symptom). Das Team ändert das Passwort (behandelt das Symptom) und hält die Sache für erledigt. Aber ist sie das wirklich?

Vielleicht wurden ja längst andere Systeme ebenfalls infiziert? Auch zunächst harmlose, aber nicht rechtzeitig behandelte Wunden können ja Eintrittspforten für Erreger sein, deren schädliche Machenschaften man erst später entdeckt. Unsere Experten haben festgestellt, dass Cyberkriminelle nur noch ca. 80 Minuten benötigen, um sich von einer ersten Kompromittierung lateral im System zu bewegen, um so möglichen Gegenmaßnahmen zu entwischen. Vielleicht kam der Angreifer aber auch gar nicht zuerst über das betreffende Konto ins Netzwerk, sondern hatte sich von einem anderen, unüberwachten System aus dorthin vorgearbeitet und die Theorie über den initialen Zugriff ist falsch?

Ähnlich wie in der Medizin kann ein Cybersecurity-Symptom viele verschiedene Ursachen haben. Wer einfach nur das Passwort ändert, folgt dem Prinzip Hoffnung: Sicher war einfach das Passwort zu schwach und das Leck wurde bestimmt rechtzeitig entdeckt, sodass kein weiterer Schaden entstehen konnte. Aber was, wenn nicht?

Mediziner verlassen sich nicht auf Hoffnungen: Sie sammeln im Zweifelsfall Informationen, die Rückschlüsse auf das tatsächliche Krankheitsgeschehen erlauben. Je unspezifischer die Symptomatik, desto mehr brauchen sie davon, zum Beispiel über weitere Symptome, Laborwerte, erkrankte Familienmitglieder, aktuelle Epidemien etc.

Und Security-Profis? Auch sie sollten versuchen, so viele Informationen wie möglich zu sammeln. Aber wo anfangen? Jede Anwendung, jeder Service, jeder Mitarbeiter mit Internetzugang ist eine mögliche Schwachstelle, und es gibt zahllose mögliche Wege, auf denen Angreifer ins Netzwerk und auf ein bestimmtes System gelangen können. Die Antwort: Cyber Threat Intelligence (CTI).

Cyber Threat Intelligence: Bedrohungen verstehen

Cyber Threat Intelligence identifiziert und analysiert Cyberbedrohungen. Dazu sammeln und analysieren CTI-Lösungen große Datenmengen, um das Verhalten und die Motive von Angreifern zu erkennen und rechtzeitige Gegenmaßnahmen zu ermöglichen. Die genutzten Daten stammen aus verschiedenen Quellen, etwa aus öffentlich verfügbaren Datenbanken und Webseiten, von Deep-Web- und Darknet-Seiten oder Social-Media-Diensten sowie Feeds mit Bedrohungsinformationen. Sie bieten Unternehmen damit eine Vielzahl von Informationen, etwa über kompromittierte Passwörter und Accounts, gestohlene Bank- und Kreditkartendaten, Datenlecks aber auch den TTPs (Tactics, Techniques & Procedures) von Angreifern.

Bis hierhin bewegen wir uns aber immer noch auf der Ebene der Symptome. Mit Cyber-Threat-Intelligence-Tools wie dem Threat Compass von Outpost24 sind aber tiefer gehende Analysen möglich: Sie sind so konzipiert, dass sie Organisationen ein umfassendes Verständnis der Bedrohungslandschaft vermitteln. Über das einzelne kompromittierte Passwort hinaus können Sie und Ihre Sicherheitsexperten anhand der kontextbezogenen Informationen und den Daten auf der Threat Intelligence Plattform mögliche Muster, Korrelationen und den Kontext konkreter Sicherheitsverletzungen analysieren, um deren wahre Ursachen aufzudecken und die tatsächliche Bedrohungslage abzuschätzen. Für ein möglichst ganzheitliches und aktuelles Bild verwendet der Threat Compass von Outpost24 dabei nicht nur automatisiert abgerufene Daten, die Experten von Outpost24 beobachten auch permanent Darknet-Seiten, Hacker-Foren oder einschlägige Telegram-Kanäle, analysieren neue Malware und stehen im Austausch mit anderen Sicherheitsexperten.

Indicators of Compromise

Cyber Threat Intelligence Lösungen liefern in Echtzeit detaillierte Bedrohungsdaten zu Millionen von IoCs (Indicators of Compromise). Das können etwa bekannte IP-Adressen, URLs oder Domainnamen sein, die von Cyberkriminellen genutzt werden, Virensignaturen oder auch ungewöhnliche Muster bei Datenverkehr und Anmeldeversuchen. Zudem können gute CTI-Lösungen an vorhandene Security-Systeme angebunden werden, zum Beispiel für das Security Information and Event Management (SIEM). Solche Systeme sammeln ihrerseits eine Vielzahl von Daten, mit deren Analyse und korrekter Deutung Security-Teams aber schnell überfordert sein können – Cyper Threat Intelligence liefert dafür einen aktuellen Kontext und erleichtert somit ihre Nutzung.

In der Zusammenschau ermöglichen es solche Daten, potenzielle Bedrohungen im Vorfeld abzuschätzen – etwa weil das eigene Unternehmen in das Opferprofil einer aktuellen Phishing-Kampagne passt – oder aber konkrete Vorfälle evidenzbasiert in die aktuelle Bedrohungslage einzuordnen. Auf das oben erwähnte Beispiel bezogen könnte das beispielsweise heißen, dass das Passwort des kompromittierten Accounts tatsächlich im Darknet in einer Datenbank mit gestohlenen Anmeldedaten aufgetaucht ist – aber in Verbindung mit einem Konto auf einer anderen Plattform. Der erfolgreiche Angriff erfolgte per Credential Stuffing, und gezielte Analysen zeigen, dass auch noch weitere Konten desselben Benutzers betroffen sind. Bliebe es dabei, wären in diesem Fall das Ändern der Passwörter – und eine gezielte Mitarbeiterschulung zum Thema „Keine Mehrfachverwendung von Passwörtern“ – eine angemessene Reaktion. Kommen allerdings andere verdächtige IoCs hinzu, etwa Verbindungsaufnahmen zu externen Servern, muss geprüft werden, ob das erste Konto nicht als nur ein Startpunkt für weitere Übernahmeversuche der Angreifer fungierte. Dennoch raten wir eine ausfürliche Überprüfung der Systeme und Daten auf die der kompromittierte Account Zugriff hatte, um sicherzustellen, dass wirklich nicht irgendwo noch versteckte Gefahren schlummern.

Rückschlüsse auf die Angreifer

Cyber Threat Intelligence kann auch etwa feststellen, dass ein kompromittiertes Passwort von einer Malware gestohlen wurde. Dann wäre davon auszugehen, dass sich diese unbemerkt auf dem System verankert hat und auch ein geändertes Passwort bald wieder in der Hand der Angreifer wäre. In einem solchen Fall müssten nicht nur gründliche Virenscans stattfinden, es wären auch weitere Untersuchungen nötig, wie die Malware auf das betroffene System gelangen konnte.

Auch dabei hilft CTI: Durch die Analyse früherer Angriffe bietet sie wertvolle Einblicke in die Motivationen und Methoden verschiedener Angreifer. Die verfügbaren Informationen über die gefundene Malware und ihr Verhalten erlauben möglicherweise Rückschlüsse auf eine bestimmte Angreifergruppe, und deren übliche Ziele und Vorgehensweise (TTPs: Tactics, Techniques and Procedures) können wiederum Hinweise auf den Ablauf des Angriffs und mögliche nächste Maßnahmen der Täter geben.

Zum Beispiel listet der Bereich „Threat Actors“ im Threat Context Modul alle Outpost24 bekannte Angreifergruppen auf – inkl. Stärken, Schwächen, Vorgehensweisen und in welchen Branchen sie aktiv sind. Anwender können nach ihrer Branche oder einzelnen Gruppen filtern, deren IoCs in ihren Systemen konfigurieren und bekannte Angriffsvektoren blockieren. Mit solchem Wissen können Unternehmen unter Umständen großen Schaden abwenden: Eine gängige Strategie von Ransomware-Erpressern ist es, sich zunächst per Social Engineering Zugang zu verschaffen – zum Beispiel Mitarbeiter dazu zu bewegen, eine Malware zu installieren – oder sich Zugänge von darauf spezialisierten Initial Access Brokers zu besorgen. Sie bewegen sich dann oft längere Zeit auf den kompromittierten Systemen, um wertvolle oder sensible Daten zu identifizieren und diese dann zu verschlüsseln. Wer hier, gewarnt von einem Malware-Fund, rechtzeitig eingreift, kann den Angriff abwehren, bevor die Verschlüsselung beginnt. Ohne CTI ist das aber alles andere als einfach: Die Angreifer versuchen mit ausgefeilten Methoden, unerkannt zu bleiben – wie ein Krankheitserreger, der sich vor dem Immunsystem versteckt.

Proaktiv statt reaktiv

Im fiktiven Beispiel wäre es wahrscheinlich Glücksache, ob das Security-Team noch rechtzeitig reagieren kann. In der Realität stehen die Chancen dafür aber gar nicht schlecht: Denn eine besondere Stärke von Cyber Threat Intelligence ist die Fähigkeit, damit proaktiv zu handeln statt nur zu reagieren. Echtzeit-Wissen über auftauchende Passwörter im Darknet und über aktuelle Phishing- oder Hacker-Kampagnen, aber auch erkannte Anomalien, die mögliche Kompromittierungen anzeigen, liefern eine ganzheitliche Sicht auf das Geschehen im eigenen Netzwerk und verknüpfen auch scheinbar unzusammenhängende Ereignisse in einem passenden Kontext.

Cyber Threat Intelligence macht so die individuelle Bedrohungslage transparent und ermöglicht es im Verbund mit professionellen Security-Prozessen, zielgerichtet und effizient zu handeln, gefundene Schwachstellen aus dem Schwachstellenmanagement zu priorisieren und gefährliche Einfallstore schnell zu schließen.

Finden Sie jetzt heraus, wie Cyber Threat Intelligence von Outpost24 Ihrer IT-Sicherheit helfen kann: