
Einführung in die Bedrohungsanalyse
Cyber-Bedrohungsdaten sind eine Untergruppe von Daten, die sich auf die Informationssicherheit konzentrieren. Diese kuratierten Informationen sollen Ihnen helfen, bessere Entscheidungen darüber zu treffen, wie Sie sich und Ihr Unternehmen vor cyberbasierten Bedrohungen schützen können. Einige der Fragen, die Bedrohungsdaten beantworten können, sind:
"Bedrohungsdaten sind evidenzbasiertes Wissen, einschließlich Kontext, Mechanismen, Indikatoren, Implikationen und umsetzbare Ratschläge, über eine bestehende oder aufkommende Bedrohung oder Gefahr für Vermögenswerte, die als Entscheidungsgrundlage für die Reaktion des Subjekts auf diese Bedrohung oder Gefahr genutzt werden können".
Ebenen der Bedrohungsanalyse
Cyber-Bedrohungsdaten werden im Allgemeinen auf drei Ebenen betrachtet:
Die Nutzung aller Arten von Informationen ist wichtig, da sie unterschiedliche Funktionen erfüllen. Analysten, die die Summe der Kenntnisse dieser drei Arten von Informationen nutzen, sind besser in der Lage zu entscheiden, welche Sicherheitslösungen eingesetzt werden sollten, wie sie genutzt werden sollten und wie proaktiv und reaktiv auf Bedrohungen reagiert werden kann.
Warum?
Taktische Bedrohungsanalyse
Die taktische Bedrohungsanalyse ist die grundlegendste Form der Bedrohungsanalyse. Dabei handelt es sich um die üblichen Kompromittierungsindikatoren (Indicators of Compromise, IOCs). Taktische Informationen werden häufig für die maschinelle Erkennung von Bedrohungen und die Suche nach bestimmten Artefakten in Unternehmensnetzwerken durch Einsatzkräfte verwendet.
Einsatz taktischer Bedrohungsdaten
Taktische Bedrohungsdaten und IOCs sollen Cyberangriffe historisch dokumentieren und dienen sowohl als Beweismittel (für die Einhaltung von Vorschriften, die Strafverfolgung, Ermittlungen, rechtliche Zwecke usw.) als auch als Referenzmaterial für Analysten, um sie zu interpretieren und den Kontext für die Verwendung bei Verteidigungsmaßnahmen zu extrahieren.
IOCs werden Analysten als Beispiele für eine bestimmte Bedrohung zur Verfügung gestellt, z. B. ein Malware-Muster, eine Malware-Familie, eine Einbruchskampagne oder ein Bedrohungsakteur. Analysten können Warnungen von Sicherheitslösungen mit taktischen Bedrohungsdaten anreichern, um mehr Kontext zu liefern und zu bestimmen, welche Bedrohungen besorgniserregend sind und welche man getrost ignorieren kann.
Taktische Bedrohungsanalyse für APT29
Taktische Bedrohungsanalyse für den Bildungssektor
Operative Bedrohungsanalyse
Operative Bedrohungsdaten geben Aufschluss über die Methoden der Akteure und decken potenzielle Risiken auf. Sie sind die Grundlage für aussagekräftigere Erkennungs-, Reaktions- und Jagdprogramme. Während taktische Bedrohungsdaten den Analysten einen Kontext zu bereits bekannten Bedrohungen liefern, bringen operative Daten die Ermittler näher an die Aufdeckung völlig neuer Bedrohungen heran.
Diese Art von Daten wird am häufigsten von forensischen Ermittlern und Incident Respondern verwendet und umfasst in der Regel die folgenden Arten von Elementen:
Betrachten Sie das Folgende aus der Perspektive der Reaktion auf Vorfälle: Wenn Sie auf ein Eindringungsereignis reagieren, fragen Sie sich vielleicht, wie ein bestimmter Akteur eine Privilegienerweiterung, eine seitliche Bewegung oder einen Datendiebstahl durchführt. Wenn Sie auf der Suche nach unentdeckten bösartigen Aktivitäten sind, sollten Sie Ihre Suche mit dem Verhalten eines bestimmten Akteurs beginnen. Wie auch immer Ihr Szenario aussieht, Sie müssen die Frage beantworten: "Wie suchen Sie nach diesem Akteur in Ihrer Umgebung?"
Nutzung operativer Bedrohungsdaten
Operative Bedrohungsdaten sind Erkenntnisse, die aus der Untersuchung von Details bekannter Angriffe gewonnen werden. Ein Analyst kann sich ein solides Bild von der Methodik der Akteure machen, indem er taktische Indikatoren und Artefakte zusammensetzt und daraus operative Erkenntnisse ableitet. Dies kann dazu beitragen, eine Reihe von Verteidigungszielen zu erreichen, wie z. B. die Verbesserung von Plänen zur Reaktion auf Zwischenfälle und Techniken zur Eindämmung künftiger Angriffe und Zwischenfälle.
Analysten können auch ein proaktives Erkennungsprogramm ("Jagdprogramm") einführen und verstärken, um verdächtige Dateien und Aktivitäten zu identifizieren, die herkömmliche Sicherheitstechnologien umgangen haben. Auf dieser Grundlage können sie Erkennungsmethoden entwickeln, die nicht von IOCs abhängig sind und eine breitere Abdeckung von Bedrohungen in einer zeitnahen Weise gewährleisten.
Beispiele für operative Bedrohungsdaten
- Geplante Tasks für die meisten Backdoors
- WMI durch manuelle Installation für Backdoors, die keine Persistenz eingebaut haben
- Legitimer Dateiersatz der Windows-Fehlerberichtsdatei (wermgr.exe)
Strategische Bedrohungsanalyse
Strategische Bedrohungsdaten bieten einen umfassenden Überblick darüber, wie sich Bedrohungen und Angriffe im Laufe der Zeit verändern. Strategische Bedrohungsdaten können historische Trends, Motivationen oder Zuordnungen zu den Hintermännern eines Angriffs aufzeigen. Das Wissen um das "Wer" und "Warum" Ihrer Gegner liefert auch Hinweise auf deren künftige Operationen und Taktiken. Dies macht die strategische Aufklärung zu einem soliden Ausgangspunkt für die Entscheidung, welche Abwehrmaßnahmen am effektivsten sind.
Die strategische Aufklärung von Bedrohungen kann Informationen zu den folgenden Themenbereichen umfassen:
Nutzung strategischer Bedrohungsdaten
Strategische Bedrohungsdaten beruhen auf einem umfangreichen Wissensfundus und umfassen Expertenmeinungen und Erkenntnisse, die auf der Zusammenführung operativer und taktischer Bedrohungsdaten aus bekannten Cyberangriffen beruhen. Diese Informationen sind besonders nützlich für Personen in Führungspositionen wie CISOs und leitende Angestellte, die Budgets rechtfertigen und fundierte Investitionsentscheidungen treffen müssen. Strategische Bedrohungsdaten werden u. a. für folgende Zwecke eingesetzt:
Beispiele für strategische Bedrohungsdaten
- APT10 alias "MenüPass-Gruppe"
- APT22 alias "Barista-Team"
- APT29 alias "The Dukes"
Bedrohungsdaten und Unternehmensziele
Bedrohungsdaten haben immer einen Zweck - die Entscheidungsfindung zu unterstützen und Maßnahmen voranzutreiben. Es ist jedoch nicht ungewöhnlich, dass Unternehmen Schwierigkeiten haben, den Wert ihres Threat Intelligence-Teams, ihrer Prozesse und Tools zu bestimmen. Die Terminologie von Threat Intelligence ist in der Regel nicht mit dem Unternehmenslexikon kompatibel, was zu Missverständnissen hinsichtlich ihres Zwecks und Wertes führt.
Unternehmen können den Wert ihrer Intelligence-Programme steigern, indem sie sie auf eine allgemeine, makroökonomische Reihe von Prioritäten ausrichten (siehe unten, nicht allumfassend):
Sobald das Threat Intelligence-Team die Unternehmensziele kennt, kann es seine Abläufe und Bemühungen auf die Unterstützung des Unternehmens abstimmen. Nicht alle Geschäftsprioritäten werden perfekt mit den Threat Intelligence-Funktionen übereinstimmen, und das ist auch in Ordnung. Sie können bei der Ausarbeitung Ihrer Anforderungen mehr Feinheiten und Nuancen entwickeln. Hier sind einige Anfangsziele für jedes Threat Intelligence-Team:
- Ermitteln Sie in Zusammenarbeit mit dem Betrugsteam die 3 bis 5 wichtigsten Betrugsarten und fragen Sie, welche Informationen ihnen helfen würden, diese in Zukunft aufzudecken und zu verhindern.
- Was verrät die Analyse der Vorfallstickets über die Art und den Typ der Daten, die bei früheren Datenschutzverletzungen betroffen waren?
- Welche Schwachstellen wurden ausgenutzt und mit welchen Mitteln?
- In welchen Systemen werden personenbezogene Daten gespeichert, und wie passen die Schwachstellen dieser Systeme zu den bekannten Angriffsvektoren?
- TI kann sich auf die Verringerung des Risikos von Datenverlusten und externen Bedrohungen konzentrieren, indem sie Akteure identifiziert und Erkenntnisse über externe Bedrohungen für ihre Branche gewinnt und sicherstellt, dass Erkennungstechniken und -mechanismen vorhanden sind, die diese Bedrohungen auffangen können.
Entwicklung der Bedrohungsdaten
Die Bedrohungsanalyse wird sich weiter entwickeln und eine Schlüsselfunktion für die Sicherheit einnehmen. Die Integration taktischer, operativer und strategischer Bedrohungsdaten wird wertvolle Einblicke in IOCs und die Methoden von Bedrohungsakteuren liefern. Dies wird zu sichereren Umgebungen führen, in denen Sie Ihre Feinde identifizieren können. Eine wachsende Zahl öffentlicher und privater Organisationen nutzt inzwischen Cyber-Bedrohungsdaten. Jüngste Untersuchungen des Ponemon Institute haben ergeben, dass 80 % der Unternehmen diese Technologie nutzen und ein noch höherer Prozentsatz sie als kritisch einstuft.
Unternehmen, die Cyber Threat Intelligence einsetzen, bewältigen zahlreiche Sicherheitsherausforderungen. Sie erkennen fortschrittliche Bedrohungen und reagieren auf sie. Sie verhindern Datenverletzungen und schützen sensible Informationen. Sie senken die Kosten für Cyberkriminalität und Betrug. Und was am wichtigsten ist: Sie verringern das gesamte Geschäftsrisiko.