Was ist Threat Intelligence?
Threat Intelligence ist evidenzbasiertes Wissen über eine bestehende oder entstehende Bedrohung oder Gefahr für Vermögenswerte, das eingesetzt werden kann, um Entscheidungen bezüglich der Reaktion der betroffenen Person auf diese Bedrohung oder Gefahr zu treffen.
Einführung in Threat Intelligence
Cyber Threat Intelligence ist ein Teil von Intelligence, der sich auf die Informationssicherheit konzentriert. Diese angepassten Informationen sollen Ihnen helfen, bessere Entscheidungen zu treffen, wie Sie sich und Ihr Unternehmen vor Cyberbedrohungen schützen können. Zu den Fragen, die Threat Intelligence beantworten kann, gehören:
- Wer sind meine Gegner und wie könnten Sie mich angreifen?
- Wie wirken sich Angriffsvektoren auf die Sicherheit meines Unternehmens aus?
- Auf welche Aspekte sollten meine Sicherheitsteams achten?
- Wie kann ich das Risiko eines Cyberangriffs auf mein Unternehmen reduzieren?
Threat Intelligence ist evidenzbasiertes Wissen, einschließlich Kontext, Mechanismen, Indikatoren, Implikationen und umsetzbare Ratschläge, über eine bestehende oder entstehende Bedrohung oder Gefahr für Vermögenswerte, das eingesetzt werden kann, um Entscheidungen bezüglich der Reaktion der betroffenen Person auf diese Bedrohung oder Gefahr zu treffen.
Es gibt im Allgemeinen drei „Ebenen“ von Cyber Threat Intelligence: strategisch, operativ und taktisch.
Die Erfassung jeder Art von Intelligence ist wichtig, da sie verschiedene Funktionen erfüllt. Analysten, die das Gesamtwissen dieser drei Arten von Intelligence nutzen, können besser ermitteln, welche Sicherheitslösungen verwendet werden sollen, wie sie genutzt werden sollten und wie proaktiv und reaktiv auf Bedrohungen reagiert werden kann.
Anhand von APT29 und des Bildungssektors sollen die Unterschiede zwischen diesen drei Arten von Intelligence veranschaulicht werden.
| Typ | Tagline | Halbwertzeit des Utility (für die Guten und die Bösen) | Fokus | Basierend auf der Analyse von | Ausgabedatentypen |
|---|---|---|---|---|---|
| Strategisch | Wer? Warum? | Lang (mehrere Jahre) | Nicht technisch | Große Kampagnen, Gruppen, Angriffe auf mehrere Opfer (und Operational Intelligence) | Aufzeichnung in Langform: Viktimologie, YoY-Methodik, Zuordnung von Eindringlingen und Kampagnen zu Konflikten, Ereignissen und geopolitischen Auswirkungen |
| Operativ | Wie? Wo? | Mittel (ein Jahr und mehr) | Gemischt (beides) | Ganze Malware-Familien, Bedrohungsgruppen, Analyse des menschlichen Verhaltens (und taktische Informationen) | Aufzeichnung in Kurzform: Aufzählungen, Informationen zu: Persistenz- und Kommunikationsmethoden, Opfern, Gruppenprofilen, Typenprofilen, TTP-Beschreibungen, Auslösern, Mustern und Methodenregeln |
| Taktisch | Was? | Kurz (Monate) | Technisch | Sicherheitsereignisse, individuelle Malware-Samples, Phishing-E-Mails, Infrastruktur von Angreifern | Atomare und maschinenlesbare Indikatoren wie IPs, Domänen, IOCs, „Signaturen“ |
Levels of threat intelligence
Taktische Threat Intelligence
Taktische Threat Intelligence ist die Basisform der Threat Intelligence. Dies sind Ihre allgemeinen Gefährdungsindikatoren (Indicators of Compromise, IOCs). Taktische Intelligence wird häufig für die Machine-to-Machine-Erkennung von Bedrohungen und für die Suche nach bestimmten Artefakten in Unternehmensnetzwerken durch Incident Responder verwendet.
Verwendung von taktischer Threat Intelligence
Taktische Threat Intelligence und IOCs sind für die Dokumentation von Cyberangriffen vorgesehen. Sie dienen beide als Beweismittel (für die Einhaltung von Vorschriften, die Strafverfolgung, Ermittlungen, rechtliche Zwecke usw.) sowie als Referenzmaterial für Analysten, um den Kontext für die Verwendung in Verteidigungsmaßnahmen zu interpretieren und zu extrahieren.
IOCs werden Analysten als Beispiele für eine bestimmte Bedrohung bereitgestellt, z. B. als Malware-Sample, Malware-Familie, Intrusion-Kampagne oder Bedrohungsakteur. Analysten können Warnungen aus Sicherheitslösungen mit taktischer Threat Intelligence erweitern, um mehr Kontext zur Verfügung zu stellen und zu bestimmen, welche Bedrohungen es wert sind, sich Sorgen zu machen, und welche sicher ignoriert werden können.
Taktische Threat Intelligence für APT29
- 628d4f33bd604203d25dbc6a5bb35b90
- 2aabd78ef11926d7b562fd0d91e68ad3
- 3d3363598f87c78826c859077606e514
- meek-reflect.appspot.com
- portal.sbn.co.th
- 202.28.231.44
- hxxps://files.counseling[.]org/eFax/incoming/150721/5442.zip
- googleService.exe
- GoogleUpdate.exe
- acrotray.exe
- PCI\VEN_80EE&DEV_CAF
Taktische Threat Intelligence für den Bildungssektor
- d9b7b0eda8bd28e8934c5929834e5006
- support@securitygrade[.]org
- 46.244.4.37
Operational Threat Intelligence
Operational Threat Intelligence bietet Einblicke in die Methoden von Akteuren und zeigt potenzielle Risiken auf. Sie ermöglicht aussagekräftigere Erkennungs-, Vorfallsreaktions- und Hunting-Programme. Während taktische Threat Intelligence Analysten einen Kontext zu bereits bekannten Bedrohungen liefert, führt Operational Intelligence Untersuchungen näher an die Aufdeckung völlig neuer Bedrohungen heran.
Diese Art von Intelligence wird am häufigsten von forensischen Ermittlern und Incident Respondern verwendet und umfasst in der Regel die folgenden Arten von Elementen:
- Tools für bestimmte Bedrohungsgruppen (Utilities, Backdoor-Familien, gemeinsame Infrastruktur)
- Taktiken, Techniken und Prozeduren (TTPs) für bestimmte Bedrohungsgruppen (Staging-Verzeichnisse, Dateinamenkonventionen, Ports, Protokolle, bevorzugte Dateitypen)
- Aufkommende TTPs (neue Persistenzmethoden, Exploits, Phishing-Schemas)
Betrachten Sie Folgendes aus der Perspektive der Vorfallsreaktion: Wenn Sie auf ein Eindringereignis reagieren, fragen Sie sich möglicherweise, wie ein bestimmter Akteur die Weiterleitung von Berechtigungen, eine laterale Bewegung (Lateral Movement) oder Datendiebstahl durchführt. Wenn Sie auf der Suche nach unentdeckten böswilligen Aktivitäten sind, können Sie mit der Suche nach einem bestimmten Verhalten beginnen. Unabhängig von Ihrem Szenario müssen Sie die Frage „Wie suchen Sie nach diesem Akteur in Ihrer Umgebung?“ beantworten.
Verwendung von Operational Threat Intelligence
Operational Threat Intelligence ist Wissen, das aus der Untersuchung von Details bekannter Angriffe gewonnen wird. Ein Analytiker kann sich ein solides Bild von der Methodik der Akteure machen, indem er taktische Indikatoren und Artefakte zusammensetzt und daraus operative Intelligence ableitet. Dies kann dazu beitragen, eine Reihe von Verteidigungszielen zu erreichen, z. B. die Verbesserung von Vorfallsreaktionsplänen und Techniken zur Abwehr zukünftiger Angriffe und Vorfälle.
Analysten können auch ein proaktives Erkennungsprogramm („Hunting-Programm“) implementieren und unterstützen, um verdächtige Dateien und Aktivitäten zu identifizieren, die herkömmliche Sicherheitstechnologien umgangen haben. Von dort aus können sie Erkennungsmethoden entwickeln, die nicht von IOCs abhängig sind, und so eine breitere Abdeckung von Bedrohungen in einem kürzeren Zeitraum gewährleisten.
Beispiele für Operational Threat Intelligence
Operational Threat Intelligence für APT29 – Beispiel
- Bevorzugter Infektionsvektor: Spear-Phishing mit selbstextrahierendem RAR
- Malware-Familien der ersten Stufe: COZYCAR, SWIFTKICK, TADPOLE
- Malware-Familien der zweiten Stufe: SEADADDY, MINIDIONIS, SPIKERUSH
- Persistenztechniken
- Geplante Aufgaben für die meisten Backdoors
- WMI durch manuelle Installation für Backdoors ohne integrierte Persistenz
- Zulässige Ersetzung der Windows-Fehlerberichtsdatei (wermgr.exe)
- Verwendung von TOR für C2
- Verwendung von Google Docs für C2
- Verwendung von Google Cloud Apps für C2-Weiterleitung (als Proxy)
- Verwendung von HTTP POST-Requests über 443 für C2
- Verwendung von Backdoors, die für die Ports 1, 80, 443, 3389 für C2 konfiguriert sind
- Verwendung von PowerShell-Skripts
- Verwendung von Py2Exe zum Ändern und Neukompilieren von Backdoors mit Abweichungen in C2-Protokollen und C2-Infrastruktur
Operational Threat Intelligence für den Bildungssektor – Beispiel
- Häufige Angriffsvektoren sind Spear-Phishing, Watering-Holes und SQL-Injection
- Speer-Phishing von Universitätsprofessoren, die sich auf die Integration neuer Technologien im Klassenzimmer spezialisiert haben
- Spear-Phishing für Recruiter und Personen, die an Einstellungsprozessen beteiligt sind
- Häufige Angriffe sind Spear-Phishing und SQL-Injection (SQLi)
- Gängige Malware-Familien: PISCES, SOGU, LOGJAM, COBALT, COATHOOK, POISONIVY, NJRAT, NETWIRE
- Häufig vorkommende Pentest-Familien: Meterpreter, PowerShell Empire, Metasploit Framework
- Verwendung von Dropbox für C2
- Verwendung von HTTPS und benutzerdefinierten TCP-Protokollen für C2
- Verwendung von .ru, .su TLDs für C2-Domänen
- Verwendung von yandex.ru und bk.ru für E-Mail-Adressen Diebstahl von Datenbanken mit Studentennamen, administrativen Zugangsdaten, Fakturierungsinformationen, Sozialversicherungsnummern und anderen personenbezogenen Daten
Strategische Threat Intelligence
Strategische Threat Intelligence bietet einen Gesamtüberblick darüber, wie sich Bedrohungen und Angriffe im Laufe der Zeit verändern. Strategische Threat Intelligence kann möglicherweise historische Trends, Beweggründe oder Zuschreibung identifizieren, wer hinter einem Angriff steht. Das Wissen um das „Wer“ und „Warum“ der Gegner liefert auch Anhaltspunkte für deren zukünftige Aktionen und Taktiken. Strategische Intelligence ist daher ein solider Ausgangspunkt für die Entscheidung, welche Verteidigungsmaßnahmen am effektivsten sind.
Strategische Threat Intelligence kann Informationen zu den folgenden Themenbereichen enthalten:
- Zuschreibung von Eindringen und Datenverletzungen
- Trends bei Gegenspielern
- Targeting-Trends für Branchen und Regionen
- Zuordnung von Cyberangriffen zu geopolitischen Konflikten und Ereignissen (Südchinesisches Meer, Arabischer Frühling, Russland-Ukraine)
- Globale Statistiken zu Sicherheitsverstößen, Malware und Datendiebstahl
- Wichtige TTP-Änderungen durch Angreifer im Laufe der Zeit
Verwendung von strategischer Threat Intelligence
Strategische Threat Intelligence basiert auf einem immensen Wissensschatz und umfassenden Expertenmeinungen und Einblicken, die auf der Zusammenfassung operativer und taktischer Threat Intelligence aus bekannten Cyberangriffen basieren. Diese Informationen sind besonders nützlich für Mitarbeiter in Führungspositionen wie CISOs und Führungskräfte, die Budgets bestimmen und fundiertere Investitionsentscheidungen treffen müssen. Zu den Verwendungszwecken strategischer Threat Intelligence gehören:
- Informieren Ihrer Führungskräfte über risikobehaftete Bedrohungsakteure, relevante Risikoszenarien und die Bedrohungslage im öffentlich zugänglichen Technologiebereich und im kriminellen Untergrund
- Durchführung einer gründlichen Risikoanalyse und Überprüfung der gesamten Technologielieferkette Erfahren, welche kommerziellen Unternehmungen, Anbieter, Partnerunternehmen und Technologieprodukte das Risiko für Ihre Unternehmensumgebung am ehesten erhöhen oder verringern können
Beispiele für strategische Threat Intelligence
Strategische Threat Intelligence für APT29
- APT29 ist ein in Russland ansässiger Akteur, der in der Regel Cyberspionage zum Zweck des Datendiebstahls betreibt.
- Zu den APT29-Opfern zählen viele globale Organisationen in den Bereichen Regierung, Bildung, Hochtechnologie, Finanzen, gemeinnützige Organisationen, Pharmazie und Verteidigungsindustrie.
- APT29 ist eine anpassungsfähige, anspruchsvolle Gruppe mit der Fähigkeit, individuelle Angriffstools und eine umfassende Command-and-Control-Infrastruktur zu entwickeln. Im Gegensatz zu den früheren Verhaltensweisen von staatlich geförderten Akteuren in Russland ist diese Gruppe auch lange nach ihrer Erkennung weiterhin aktiv.
- APT29 wurde in der Vergangenheit beauftragt, Aktivitäten rund um politische Themen ausländischer Regierungen zu verfolgen, insbesondere im Zusammenhang mit dem Konflikt zwischen Russland und der Ukraine. Darüber hinaus hat die Gruppe mehrere Regierungsbehörden, Verteidigungs- und Regierungsauftragnehmer westlicher Staaten sowie akademische Einrichtungen ins Visier genommen.
Strategische Threat Intelligence für den Bildungssektor
- Die IT-Infrastruktur im Bildungssektor besteht aus einer Vielzahl von Betriebssystemen, Computertypen, Software und unzähligen Servern und Websites, die öffentlich über das Internet zugänglich sind. Dies macht Universitäten und akademische Forschungseinrichtungen zu einem wichtigen Ziel für Angreifer, da sie sowohl wertvolle Daten stehlen als auch diese als Sprungbrett für weitere Eindringvorgänge nutzen können.
- Die Bildungsbranche wird in absehbarer Zukunft auch weiterhin Cyberspionageaktivitäten beobachten. Wir erwarten, dass Bedrohungsakteure aus China, Russland, dem Iran und anderen Ländern Spionageaktivitäten zum Erhalt von Handelsdaten und Wirtschaftsinformationen, zur Überwachung der Diaspora und zum Zweck des Datendiebstahls durchführen.
- Es wurden mehrere Gruppen bei Eindringvorgängen beobachtet, die sich auf akademische Einrichtungen wie Universitäten und Forschungszentren ausgewirkt haben:
- APT10 alias „MenuPass Group“
- APT22 alias „Barista Team“
- APT29 alias „The Dukes“
Threat Intelligence und Geschäftsziele
Threat Intelligence hat immer einen Zweck – fundierte Entscheidungen zu treffen und Maßnahmen zu ergreifen. Es ist jedoch nicht ungewöhnlich, dass Unternehmen Schwierigkeiten haben, den Wert ihres Threat Intelligence-Teams, ihrer Prozesse und ihrer Tools zu bestimmen. Die Terminologie von Threat Intelligence ist in der Regel nicht mit dem Geschäftslexikon kompatibel, was zu Missverständnissen hinsichtlich Zweck und Wert führt.
Unternehmen können dabei helfen, Werte aus ihren Intelligence-Programmen zu ziehen, indem sie sie an einem allgemeinen Satz von Prioritäten auf Makroebene ausrichten, wie unten zu sehen ist (nicht vollständig):
- Umsatzsteigerungen
- Senkung der Ausgaben
- Reduzierung und Eindämmung von Risiken
- Kundenzufriedenheit und -bindung
- Mitarbeiterzufriedenheit und -bindung
- Compliance-Vorschriften
Nachdem das Threat Intelligence-Team die Geschäftsziele verstanden hat, kann es seine Betriebsabläufe und Bemühungen zur Unterstützung des Unternehmens abstimmen. Nicht alle Unternehmensprioritäten sind perfekt auf die Threat Intelligence-Fähigkeiten abgestimmt – doch das ist nicht weiter schlimm. Sie können Granularität und Nuancen entwickeln, während Sie Ihre Anforderungen definieren. Nachfolgend finden Sie einige Anfangsziele für jedes Threat Intelligence-Team:
- Senkung der Ausgaben im Zusammenhang mit Betrug und Cyberkriminalität
- Ermitteln Sie zusammen mit dem Betrugsbekämpfungsteam die wichtigsten 3 bis 5 Betrugsarten und fragen Sie, welche Informationen ihnen dabei helfen würden, dies in Zukunft zu erkennen/zu verhindern.
- Verhindern von Datenverlust
- Was sagt die Analyse von Vorfallstickets über die Natur und den Typ der Daten aus, auf die frühere Datenschutzverletzungen abgezielt haben?
- Welche Schwachstellen wurden ausgenutzt und mit welchen Mitteln?
- Schutz von personenbezogenen Daten
- o In welchen Systemen werden personenbezogene Daten gespeichert und inwieweit stimmen die Schwachstellen dieser Systeme mit bekannten Exploit-Vektoren überein?
- Reduzierung des Geschäftsrisikos
- TI kann sich darauf konzentrieren, das Risiko durch Datenverlust und externe Bedrohungen zu reduzieren, indem Akteure identifiziert und Intelligence zu externen Bedrohungen für ihre Branche gewonnen wird. So wird sichergestellt, dass Erkennungstechniken und -mechanismen vorhanden sind und diese Bedrohungen erkennen können.
Entwicklung von Threat Intelligence
Threat Intelligence wird ständig weiter entwickelt und bildet eine wesentliche Sicherheitsfunktion. Durch die Integration taktischer, operativer und strategischer Threat Intelligence erhalten Sie wertvolle Einblicke in IOCs und Methoden der Gegenspieler. Dies hat Umgebungen mit größerer Sicherheit zur Folge, in denen Sie Ihre Gegner identifizieren können. Eine wachsende Anzahl von Organisationen im öffentlichen und privaten Sektor nutzt inzwischen Cyber Threat Intelligence. Eine kürzlich vom Ponemon Institute veröffentlichte Studie ergab, dass 80 Prozent der Unternehmen Threat Intelligence nutzen und dass ein noch höherer Prozentsatz sie als wichtig erachtet.
Unternehmen, die Cyber Threat Intelligence nutzen, meistern zahlreiche Sicherheitsherausforderungen. Sie erkennen und reagieren auf hoch entwickelte Bedrohungen. Sie verhindern Datenschutzverletzungen und schützen vertrauliche Informationen. Sie senken die Kosten für Cyberkriminalität und Betrug. Und vor allem reduzieren sie das Gesamtrisiko für das Unternehmen.
Die Informationen auf dieser Seite sollten Ihnen ein solides Verständnis davon vermitteln, was Cyber Threat Intelligence ist und welchen Wert sie bietet. Dies ist jedoch nur ein Ausgangspunkt. Zusätzlich zu diesen Informationen stellt Anomali zahlreiche Ressourcen zur Verfügung, die Ihnen vermitteln, warum Sie Cyber Threat Intelligence-Funktionen zu Ihren Sicherheitslösungen hinzufügen sollten und wie Sie diese möglichst nahtlos integrieren können.
