Bedrohung / Threat-Intelligence

Threat-Intelligence

Neues Buzzword, alter Hut – oder doch viel mehr?

 „Know your Enemy“ ist an sich keine neue Strategie – doch in Bezug auf Cyber-Angriffe sind deutsche Unternehmen noch vergleichsweise zurückhaltend, wenn es um das Sammeln oder Einkaufen von Informationen zu potenziellen Angreifern geht. Dabei kann das durchaus einen wichtigen Informationsvorsprung bedeuten.

Von Stefan Strobel, Heilbronn

Threat-Intelligence meint typischerweise Hintergrundinformationen und Kontext zu Angreifergruppen, ihren Werkzeugen, Methoden und Vorgehensweisen, die von den Gruppen verwendeten Server, IP-Adressen und Domainnamen, zudem auch Informationen zu Schwachstellen sowie zu aktuellen Angriffen und vieles mehr. Sind solche Dinge bekannt, so lassen sich Angriffe erfolgreicher erkennen und in vielen Fällen sogar verhindern.

Eigentlich ist die Idee überhaupt nicht neu: Schon Sun Tsu schrieb vor zirka 2500 Jahren in seinem Werk über die Kunst des Krieges: „Kenne deinen Feind und kenne dich selbst und in hundert Schlachten wirst du nie in Gefahr geraten.“ Die Anwendung solcher Ideen auf den Bereich der Cyber-Angriffe wurde in den letzten Jahren immer relevanter, da Hackertechniken immer mehr von kriminellen Vereinigungen, Terroristen oder auch Staaten und deren Nachrichtendiensten genutzt werden: Statt mit Hobby-Hackern hat man es heute vor allem mit Profis zu tun, die Daten stehlen, mit Erpressung Geld verdienen oder die Kontrolle über kritische Systeme übernehmen wollen.

Es gibt somit „Feinde“, die organisiert sind und immer wieder mit ähnlichen Methoden und Angriffswerkzeugen arbeiten, solange sie Erfolg damit haben. Daher liegt es nahe, sich mit der Frage zu beschäftigen, wie man Angriffe dieser Gruppen erkennen und verhindern kann – und es liegt auch nahe, diese Informationen dann weiterzugeben.

Rund um Threat-Intelligence ist ein neuer Markt entstanden: Er besitzt viele Berührungspunkte mit gezielten Angriffen beziehungsweise „Advanced Persistent Threats“ (APTs) und mit den Werkzeugen zur Erkennung und Verhinderung solcher Angriffe, häufig „Advanced Threat Protection“ (ATP) genannt.

Erkenntnisse aus der Cloud

Eine eher technische Threat-Intelligence ist heute bereits vielen Firmen im Zusammenhang mit Lösungen zur Sandbox-Analyse bekannt: Die von Benutzern heruntergeladenen Objekte werden in einer kontrollierten Beobachtungsumgebung (Sandbox) geöffnet beziehungsweise ausgeführt, wo man ihr Verhalten beobachtet. Die Objekte werden als Malware klassifiziert, wenn sie das System manipulieren oder beispielsweise Daten extrahieren.

Die Prüfsumme eines bösartigen Objekts, die Manipulationen am System oder die Adresse des externen Servers, an den Daten ausgeschleust werden, sind „Indicators of Compromise“ (IoCs): Mit ihrer Hilfe lassen sich Kompromittierungen im internen Netz erkennen. Zudem wird die Sicherheitstechnik beim nächsten Herunterladen des nun bekannten Objekts den Download direkt blockieren.

In der Regel bieten die Hersteller solcher Lösungen auch eine Cloudkomponente an, über die sich Hashwerte von bereits erkannten bösartigen Objekten zwischen den Anwendern des Produkts firmenübergreifend austauschen lassen. Wenn somit ein erstes Unternehmen die Malware in der Sandbox analysiert und erkannt hat, können andere Firmen, die dasselbe Produkt einsetzen, von dieser Analyse profitieren und entsprechende Downloads direkt verhindern.

Threat-Intelligence entsteht jedoch bei Weitem nicht nur bei den Anwendern von ATP-Produkten – es gibt Firmen, die gezielt auf die Suche nach Threat-Intelligence gehen, um diese zu verkaufen. Beispielsweise überwachen oder durchforsten sie gezielt einschlägige Webseiten und Foren, sammeln mit Spam-Lures möglichst viele Phishing-Mails, um dann die darin referenzierten Webseiten wieder zu durchsuchen, und analysieren die auf diese Weise gefundenen Objekte teilweise automatisch. Die Ergebnisse fließen beispielsweise in Listen mit Hashwerten von Malware oder in Reputationslisten von Webseiten ein und werden den Kunden auf Abonnementbasis verkauft.

Bei anderen Anbietern entsteht Threat-Intelligence eher nebenbei: Firmen, die beispielsweise primär davon leben, die Firewall-Umgebungen ihrer Kunden zu betreiben und zu überwachen, erkennen im Zuge dieser Tätigkeit immer wieder Angriffe, die sie bereits im Rahmen ihres Auftrags für den betroffenen Kunden analysieren. Die kundenunabhängigen Analyseergebnisse mit IoCs fließen dann häufig in Threat-Intelligence-Feeds ein, die andere Kunden gegen entsprechende Gebühren kaufen können.

Schwieriger ist meist, aus solchen technischen Details auf die Urheber eines Angriffs zu schließen. Diese Information ist jedoch wichtig, um die Ziele des Angreifers und sein typisches Vorgehen zu kennen und somit das Ausmaß und die Kritikalität eines Vorfalls besser eingrenzen zu können. Für diese so genannte „Attribution“ vergleichen spezialisierte Anbieter die bereits bekannte Threat-Intelligence eines Angriffs mit Details früherer Angriffe von zahlreichen Angreifergruppen, um Gemeinsamkeiten zu identifizieren.

Privater Geheimdienst

Noch deutlich weiter gehen Anbieter, die gewissermaßen „verdeckte Ermittler“ beschäftigen, die in den letzten Jahren in zahlreiche Hacker-Gruppen oder kriminelle Organisationen eingeschleust wurden. Diese Ermittler kommen aus den jeweiligen Ländern oder Regionen und können somit authentisch Informationen direkt an der Quelle der Angriffe aufnehmen und diese den Analysten des Anbieters zur Weiterverarbeitung und Bewertung zur Verfügung stellen.

Der Kunde bekommt hier folglich nicht nur Informationen, die erst aus erkannten und analysierten Vorfällen der Vergangenheit abgeleitet wurden, sondern auch konkrete Vorwarnungen zu Angriffen, die erst für die Zukunft geplant und gerade in Vorbereitung sind. Zudem lassen sich idealerweise viel mehr Details und Kontext über die Hintergründe, die Motivation und Ziele der Angreifer, ihre Skills, Werkzeuge und Vorgehensweisen liefern.

Ein schönes Beispiel für den Wert von Threat-Intelligence ist ein Watering-Hole-Angriff, bei dem die Forbes-Website im November 2014 Malware verteilt hat. Das Erste, was ein Leser beim Aufruf der Forbes-Seite zu sehen bekommt, ist ein Flash-Objekt, das den „Thought of the Day“ anzeigt. Dieses Objekt hatte eine chinesische Hacker-Gruppe manipuliert und damit unter Verwendung zweier zuvor unbekannter Schwachstellen – je eine im Flash-Player und im Internet-Explorer – bei den Lesern Spionage-Malware installiert.

Die Schwachstelle im Flash- Player wurde im Dezember 2014 gepatcht, die Verwundbarkeit im Internet-Explorer im Februar 2015 behoben. Zu diesem Zeitpunkt veröffentlichte der Threat-Intelligence- Anbieter iSIGHT Partners zusammen mit dem Sandbox-Hersteller Invincea die Hintergrundgeschichte über diesen Angriff. Während also die meisten Unternehmen bis Februar 2015 weder von der Attacke wussten noch IoCs zur Verfügung hatten, um zu prüfen, ob sie kompromittiert wurden, hatten Kunden dieses Anbieters bereits zwei Monate früher ausführliche Informationen mit allen technischen Details erhalten.

Automatischer Austausch

Um Threat-Intelligence nicht nur in Form von Berichten manuell verarbeiten zu können, sondern diese auch automatisch in Sicherheitsprodukten zu nutzen oder sie zwischen den Produkten verschiedener Hersteller auszutauschen, sind einige Standards entwickelt worden. Als die wichtigsten können dabei sicherlich das Austauschformat „Structured Threat Information eXpression“ (STIX) und das zugehörige Transportprotokoll „Trusted Automated eXchange of Indicator Information“ (TAXII) gelten (siehe stix.mitre.org und www.oasis-open. org/committees/tc_home.php?wg_abbrev=cti).

Kommerzielle Anbieter liefern ihre Threat-Intelligence- Erkenntnisse in der Regel schon im STIX-Format, doch auch zahlreiche Sicherheitslösungen unterstützen es bereits. So kann beispielsweise der Hashwert einer Malware, die durch ihr Verhalten in einer isolierten Mikro-VM von Bromium auf dem Arbeitsplatz eines Mitarbeiters entdeckt wurde, automatisch im STIX-Format an die Firewalls des Unternehmens weitergegeben werden, sodass diese weitere Downloads der Malware blockieren können.

Auch manche Endpoint-Security-Management- Produkte können teilweise IoCs im STIX-Format annehmen und dann automatisch auf allen Endgeräten im Unternehmen prüfen, ob Kompromittierungen vorliegen (z. B. Tanium Endpoint Platform). Einige Log-Analyse- Werkzeuge, etwa Splunk, verwenden STIX und TAXII, um Indikatoren zu importieren und diese in den Logs des Unternehmens zu suchen. Spezielle Threat-Intelligence- Plattformen können entsprechende Erkenntnisse aus verschiedenen Quellen konsolidieren und in unterschiedlichen Formaten im Unternehmen weiter verteilen (z. B. Threat Connect).

Spezifische Suchmaschinen

Je nach Anbieter wird der Begriff Threat-Intelligence unterschiedlich interpretiert: Neben Informationen zu Angreifern und ihren Werkzeugen schließen einige Sicherheitsunternehmen auch Informationen über Schwachstellen oder über Vorfälle mit ein, da beides bei den Kunden ebenso relevant ist.

Ein typisches Angebot ist etwa die automatische Suche nach Dokumenten im Internet, die vermutlich vertrauliche Inhalte enthalten. Die Anbieter in diesem Bereich betreiben in der Regel Farmen eigener Suchserver, die ähnlich wie die bekannten Suchmaschinen das Internet nach den Namen ihrer Kunden oder nach zusätzlich vereinbarten Stichworten durchforsten.

Treffer werden dann von Analysten näher betrachtet und interessante Funde dem Kunden gemeldet. In vielen Fällen steckt ein Datenleck oder Hack aus der Vergangenheit dahinter. Ebenso werden Phishing-Webseiten gesucht, die beispielsweise den Onlineshop eines Kunden vortäuschen, um auf diese Weise Login-Daten zu stehlen. Einige Anbieter berichten sogar bereits, wenn eine Domain mit ähnlich klingendem Namen registriert wird.

Auch Informationen über Verwundbarkeiten werden bereits seit vielen Jahren verkauft. Zu den ersten Anbietern gehörte die Firma SecurityFocus, die schon vor über zehn Jahren von Symantec übernommen wurde – der entsprechende Service firmiert heute unter Symantec DeepSight Intelligence. Andere bekannte Anbieter in diesem Bereich sind etwa Secunia oder VeriSign iDefense. Im Kern sammeln diese Anbieter Schwachstellendaten von einschlägigen Mailinglisten, beschäftigen manchmal auch eigene Researcher oder kaufen Schwachstellen von Hackern. Die Informationen werden dann in strukturierter Form in einer Datenbank abgelegt, klassifiziert und bewertet, sodass Kunden relativ einfach die für sie relevanten Informationen suchen oder sogar automatisiert an die richtigen Kollegen versenden lassen können.

Fazit

Threat-Intelligence ist ein weites Feld, das von Informationen zu Schwachstellen über laufende Angriffe, Phishing-Kampagnen, geleakte Dokumente, aktuelle Malware und Exploits bis hin zu Hintergrundinformationen über Angreifergruppen, deren Motivation, Zielen und Vorgehensweisen reicht. Zielgruppe sind typischerweise CERTs oder SOC-Teams, die im Unternehmen die Sicherheit überwachen, Angriffe erkennen, Vorfälle bearbeiten und verhindern sollen.

Getrieben von der fortschreitenden Professionalisierung auf Angreiferseite wurden Standards für Austauschformate entwickelt und zahlreiche Sicherheitsprodukte bieten auch bereits passende Schnittstellen zum automatischen Austausch von Threat-Intelligence an.

In Deutschland ist das Thema bisher noch eher wenig verbreitet. Seine Bedeutung steigt jedoch zusammen mit den Bemühungen der Unternehmen, Kompromittierungen besser erkennen zu können und sich auch gegen gezielte Angriffe zu wehren.

 

Stefan Strobel ist Geschäftsführer der cirosec GmbH.