Was ist Bedrohungsanalyse?

Bedrohungsinformationen sind evidenzbasiertes Wissen über eine bestehende oder neu entstehende Bedrohung oder Gefahr für Güter, das als Entscheidungsgrundlage für die Reaktion des Subjekts auf diese Bedrohung oder Gefahr dienen kann.

Einführung in die Bedrohungsanalyse

Cyber-Bedrohungsdaten sind eine Untergruppe von Daten, die sich auf die Informationssicherheit konzentrieren. Diese kuratierten Informationen sollen Ihnen helfen, bessere Entscheidungen darüber zu treffen, wie Sie sich und Ihr Unternehmen vor cyberbasierten Bedrohungen schützen können. Einige der Fragen, die Bedrohungsdaten beantworten können, sind:

Wer sind meine Widersacher und wie könnten sie mich angreifen?
Wie wirken sich die Angriffsvektoren auf die Sicherheit meines Unternehmens aus?
Worauf sollten meine Sicherheitsteams achten?
Wie kann ich das Risiko eines Cyberangriffs auf mein Unternehmen verringern?

"Bedrohungsdaten sind evidenzbasiertes Wissen, einschließlich Kontext, Mechanismen, Indikatoren, Implikationen und umsetzbare Ratschläge, über eine bestehende oder aufkommende Bedrohung oder Gefahr für Vermögenswerte, die als Entscheidungsgrundlage für die Reaktion des Subjekts auf diese Bedrohung oder Gefahr genutzt werden können".

Gartner-Definition von Threat Intelligence

Ebenen der Bedrohungsanalyse

Cyber-Bedrohungsdaten werden im Allgemeinen auf drei Ebenen betrachtet:

Strategisch: Antworten auf das "Wer" und "Warum"
Operativ: Antworten auf das Wie und Wo
Taktisch: Antworten auf das Was

Die Nutzung aller Arten von Informationen ist wichtig, da sie unterschiedliche Funktionen erfüllen. Analysten, die die Summe der Kenntnisse dieser drei Arten von Informationen nutzen, sind besser in der Lage zu entscheiden, welche Sicherheitslösungen eingesetzt werden sollten, wie sie genutzt werden sollten und wie proaktiv und reaktiv auf Bedrohungen reagiert werden kann.

Strategische
Wer?
Warum?
Lang (mehrjährig)
Nicht-technisch
Große Kampagnen, Gruppen, Einbrüche mit mehreren Opfern (und operative Informationen)
Langer Text über Viktimologie, YoY-Methodik, Zuordnung von Einbrüchen und Kampagnen zu Konflikten, Ereignissen und geopolitischen Zwängen
Operativ
Wie? Wo?
Mittel (über ein Jahr)
Gemischt
Ganze Malware-Familien, Bedrohungsgruppen, Analyse des menschlichen Verhaltens (und taktische Informationen)
Kurzes Schreiben, Aufzählungslisten, über: Persistenz- und Kommunikationstechniken, Opfer, Gruppenprofile, Familienprofile, TTP-Beschreibungen, Auslöser, Muster und methodische Regeln
Taktisch
Wie?
Kurz (Monate)
Technisch
Sicherheitsereignisse, einzelne Malware-Samples, Phishing-E-Mails, Angreifer-Infrastruktur
Atomare und maschinenlesbare Indikatoren wie IPs, Domänen, IOCs, "Signaturen"

Taktische Bedrohungsanalyse

Die taktische Bedrohungsanalyse ist die grundlegendste Form der Bedrohungsanalyse. Dabei handelt es sich um die üblichen Kompromittierungsindikatoren (Indicators of Compromise, IOCs). Taktische Informationen werden häufig für die maschinelle Erkennung von Bedrohungen und die Suche nach bestimmten Artefakten in Unternehmensnetzwerken durch Einsatzkräfte verwendet.

Einsatz taktischer Bedrohungsdaten

Taktische Bedrohungsdaten und IOCs sollen Cyberangriffe historisch dokumentieren und dienen sowohl als Beweismittel (für die Einhaltung von Vorschriften, die Strafverfolgung, Ermittlungen, rechtliche Zwecke usw.) als auch als Referenzmaterial für Analysten, um sie zu interpretieren und den Kontext für die Verwendung bei Verteidigungsmaßnahmen zu extrahieren.

IOCs werden Analysten als Beispiele für eine bestimmte Bedrohung zur Verfügung gestellt, z. B. ein Malware-Muster, eine Malware-Familie, eine Einbruchskampagne oder ein Bedrohungsakteur. Analysten können Warnungen von Sicherheitslösungen mit taktischen Bedrohungsdaten anreichern, um mehr Kontext zu liefern und zu bestimmen, welche Bedrohungen besorgniserregend sind und welche man getrost ignorieren kann.

Taktische Bedrohungsanalyse für APT29

628d4f33bd604203d25dbc6a5bb35b90
2aabd78ef11926d7b562fd0d91e68ad3
3d3363598f87c78826c859077606e514
meek-reflect.appspot.com
portal.sbn.co.th
202.28.231.44
hxxps://files.counseling[.]org/eFax/incoming/150721/5442.zip
googleService.exe
GoogleUpdate.exe
acrotray.exe
PCI\VEN_80EE&DEV_CAF

Taktische Bedrohungsanalyse für den Bildungssektor

d9b7b0eda8bd28e8934c5929834e5006
support@securitygrade[.]org
46.244.4.37

Operative Bedrohungsanalyse

Operative Bedrohungsdaten geben Aufschluss über die Methoden der Akteure und decken potenzielle Risiken auf. Sie sind die Grundlage für aussagekräftigere Erkennungs-, Reaktions- und Jagdprogramme. Während taktische Bedrohungsdaten den Analysten einen Kontext zu bereits bekannten Bedrohungen liefern, bringen operative Daten die Ermittler näher an die Aufdeckung völlig neuer Bedrohungen heran.

Diese Art von Daten wird am häufigsten von forensischen Ermittlern und Incident Respondern verwendet und umfasst in der Regel die folgenden Arten von Elementen:

Tools für bestimmte Bedrohungsgruppen (Dienstprogramme, Backdoor-Familien, gemeinsame Infrastruktur)
Taktiken, Techniken und Verfahren (TTPs) für bestimmte Bedrohungsgruppen (Staging-Verzeichnisse, Dateibenennungskonventionen, Ports, Protokolle, bevorzugte Dateitypen)
Neu entstehende TTPs (neue Persistenzmethoden, Exploits, Phishing-Schemata)

Betrachten Sie das Folgende aus der Perspektive der Reaktion auf Vorfälle: Wenn Sie auf ein Eindringungsereignis reagieren, fragen Sie sich vielleicht, wie ein bestimmter Akteur eine Privilegienerweiterung, eine seitliche Bewegung oder einen Datendiebstahl durchführt. Wenn Sie auf der Suche nach unentdeckten bösartigen Aktivitäten sind, sollten Sie Ihre Suche mit dem Verhalten eines bestimmten Akteurs beginnen. Wie auch immer Ihr Szenario aussieht, Sie müssen die Frage beantworten: "Wie suchen Sie nach diesem Akteur in Ihrer Umgebung?"

Nutzung operativer Bedrohungsdaten

Operative Bedrohungsdaten sind Erkenntnisse, die aus der Untersuchung von Details bekannter Angriffe gewonnen werden. Ein Analyst kann sich ein solides Bild von der Methodik der Akteure machen, indem er taktische Indikatoren und Artefakte zusammensetzt und daraus operative Erkenntnisse ableitet. Dies kann dazu beitragen, eine Reihe von Verteidigungszielen zu erreichen, wie z. B. die Verbesserung von Plänen zur Reaktion auf Zwischenfälle und Techniken zur Eindämmung künftiger Angriffe und Zwischenfälle.

Analysten können auch ein proaktives Erkennungsprogramm ("Jagdprogramm") einführen und verstärken, um verdächtige Dateien und Aktivitäten zu identifizieren, die herkömmliche Sicherheitstechnologien umgangen haben. Auf dieser Grundlage können sie Erkennungsmethoden entwickeln, die nicht von IOCs abhängig sind und eine breitere Abdeckung von Bedrohungen in einer zeitnahen Weise gewährleisten.

Beispiele für operative Bedrohungsdaten

Beispiel für operative Bedrohungsdaten für APT29
Bevorzugter Infektionsvektor: Spear-Phishing mit selbstextrahierendem RAR
Malware-Familien der ersten Stufe: COZYCAR, SWIFTKICK, TADPOLE
Malware-Familien der zweiten Stufe: SEADADDY, MINIDIONIS, SPIKERUSH
Persistenz-Techniken
  • Geplante Tasks für die meisten Backdoors
  • WMI durch manuelle Installation für Backdoors, die keine Persistenz eingebaut haben
  • Legitimer Dateiersatz der Windows-Fehlerberichtsdatei (wermgr.exe)
Verwendung von TOR für C2
Verwendung von Google Docs für C2
Verwendung von Google Cloud Apps für die C2-Weiterleitung (als Proxy)
Verwendung von HTTP POST-Anfragen über 443 für C2
Verwendung von Backdoors, die für die Ports 1, 80, 443, 3389 für C2 konfiguriert sind
Verwendung von PowerShell-Skripten
Verwendung von Py2Exe zur Modifizierung und Neukompilierung von Hintertüren mit Varianz in C2-Protokollen und C2-Infrastruktur
Beispiel für operative Bedrohungsdaten für den Bildungssektor
Häufige Angriffsvektoren sind Speer-Phishing, Watering Holes und SQL-Injection
Spear-Phishing von Universitätsprofessoren, die sich auf die Einbindung neuer Technologien in den Unterricht spezialisiert haben
Spear-Phishing für Personalvermittler und Personen, die an Einstellungsverfahren beteiligt sind
Häufige Angriffe sind Spearphishing und SQL-Injection (SQLi)
Verbreitete Malware-Familien: PISCES, SOGU, LOGJAM, COBALT, COATHOOK, POISONIVY, NJRAT, NETWIRE
Gemeinsame Pentesting-Familien: Meterpreter, PowerShell Empire, Metasploit Framework
Nutzung von Dropbox für C2
Verwendung von HTTPS und eigenen TCP-Protokollen für C2
Verwendung der TLDs .ru und .su für C2-Domänen
Verwendung von yandex.ru und bk.ru für E-Mail-Adressen
Diebstahl von Datenbanken mit Schülernamen, Verwaltungsdaten, Rechnungsdaten, Sozialversicherungsnummern und anderen personenbezogenen Daten.

Strategische Bedrohungsanalyse

Strategische Bedrohungsdaten bieten einen umfassenden Überblick darüber, wie sich Bedrohungen und Angriffe im Laufe der Zeit verändern. Strategische Bedrohungsdaten können historische Trends, Motivationen oder Zuordnungen zu den Hintermännern eines Angriffs aufzeigen. Das Wissen um das "Wer" und "Warum" Ihrer Gegner liefert auch Hinweise auf deren künftige Operationen und Taktiken. Dies macht die strategische Aufklärung zu einem soliden Ausgangspunkt für die Entscheidung, welche Abwehrmaßnahmen am effektivsten sind.

Die strategische Aufklärung von Bedrohungen kann Informationen zu den folgenden Themenbereichen umfassen:

Zurechnung von Eindringlingen und Datenschutzverletzungen
Trends bei den Akteursgruppen
Zielgerichtete Trends für Industriezweige und Geografien
Verknüpfung von Cyberangriffen mit geopolitischen Konflikten und Ereignissen (Südchinesisches Meer, Arabischer Frühling, Russland-Ukraine)
Weltweite Statistiken über Sicherheitsverletzungen, Malware und Informationsdiebstahl
Die TTP der Hauptangreifer ändert sich im Laufe der Zeit

Nutzung strategischer Bedrohungsdaten

Strategische Bedrohungsdaten beruhen auf einem umfangreichen Wissensfundus und umfassen Expertenmeinungen und Erkenntnisse, die auf der Zusammenführung operativer und taktischer Bedrohungsdaten aus bekannten Cyberangriffen beruhen. Diese Informationen sind besonders nützlich für Personen in Führungspositionen wie CISOs und leitende Angestellte, die Budgets rechtfertigen und fundierte Investitionsentscheidungen treffen müssen. Strategische Bedrohungsdaten werden u. a. für folgende Zwecke eingesetzt:

Informieren Sie Ihre Führungskräfte über hochriskante Bedrohungsakteure, relevante Risikoszenarien und die Bedrohungslage im öffentlich zugänglichen Technologiebereich und im kriminellen Untergrund.
Durchführung einer gründlichen Risikoanalyse und Überprüfung der gesamten Technologie-Lieferkette.
Erfahren Sie, welche kommerziellen Unternehmungen, Anbieter, Partnerunternehmen und Technologieprodukte das Risiko für Ihre Unternehmensumgebung am ehesten erhöhen oder verringern können.

Beispiele für strategische Bedrohungsdaten

Strategische Bedrohungsanalyse für APT29
APT29 ist ein in Russland ansässiger Akteur, der in der Regel Cyberspionage mit dem Ziel des Datendiebstahls betreibt.
Zu den Opfern von APT29 gehören viele globale Organisationen in den Bereichen Regierung, Bildung, High-Tech, Finanzen, Non-Profit-Organisationen, Pharma und Verteidigungsindustrie.
APT29 ist eine anpassungsfähige, hochentwickelte Gruppe, die in der Lage ist, maßgeschneiderte Angriffstools und eine komplizierte Befehls- und Kontrollinfrastruktur zu entwickeln, und die im Gegensatz zum historischen Verhalten russischer staatlich gesponserter Akteure die Dreistigkeit besitzt, auch lange nach ihrer Entdeckung weiter zu operieren.
APT29 wurde in der Vergangenheit mit Operationen im Zusammenhang mit außenpolitischen Themen beauftragt, insbesondere mit solchen, die den Russland-Ukraine-Konflikt betreffen. Darüber hinaus hat die Gruppe mehrere westliche Regierungsbehörden, Verteidigungs- und Regierungsunternehmen sowie akademische Einrichtungen ins Visier genommen.
Strategische Bedrohungsanalyse für den Bildungssektor
Die IT-Infrastruktur von Bildungseinrichtungen hat eine vielfältige Nutzerbasis und besteht daher in der Regel aus einer Vielzahl von Betriebssystemen, Computertypen, Software und einer Vielzahl von Servern und Websites, die über das Internet öffentlich zugänglich sind. Dies macht Universitäten und akademische Forschungseinrichtungen zu erstklassigen Zielen für Angreifer, sowohl als Orte, von denen aus wertvolle Daten gestohlen werden können, als auch als Einstiegspunkte für weitere Einbruchsversuche.
Die Bildungsbranche wird in absehbarer Zukunft weiterhin von Cyberspionageaktivitäten betroffen sein. Wir gehen davon aus, dass Bedrohungsakteure aus China, Russland, dem Iran und anderen Ländern Spionageoperationen zum Diebstahl von Daten, Handelsinformationen, Wirtschaftsinformationen und zur Überwachung der Diaspora durchführen werden.
Mehrere Gruppen wurden bei Einbruchsversuchen beobachtet, die akademische Einrichtungen wie Universitäten und Forschungszentren betrafen:
  • APT10 alias "MenüPass-Gruppe"
  • APT22 alias "Barista-Team"
  • APT29 alias "The Dukes"

Bedrohungsdaten und Unternehmensziele

Bedrohungsdaten haben immer einen Zweck - die Entscheidungsfindung zu unterstützen und Maßnahmen voranzutreiben. Es ist jedoch nicht ungewöhnlich, dass Unternehmen Schwierigkeiten haben, den Wert ihres Threat Intelligence-Teams, ihrer Prozesse und Tools zu bestimmen. Die Terminologie von Threat Intelligence ist in der Regel nicht mit dem Unternehmenslexikon kompatibel, was zu Missverständnissen hinsichtlich ihres Zwecks und Wertes führt.

Unternehmen können den Wert ihrer Intelligence-Programme steigern, indem sie sie auf eine allgemeine, makroökonomische Reihe von Prioritäten ausrichten (siehe unten, nicht allumfassend):

Einnahmen steigern
Niedrigere Kosten
Reduzierung und Minderung von Risiken
Kundenzufriedenheit und Kundenbindung
Mitarbeiterzufriedenheit und -bindung
Einhaltung der Rechtsvorschriften

Sobald das Threat Intelligence-Team die Unternehmensziele kennt, kann es seine Abläufe und Bemühungen auf die Unterstützung des Unternehmens abstimmen. Nicht alle Geschäftsprioritäten werden perfekt mit den Threat Intelligence-Funktionen übereinstimmen, und das ist auch in Ordnung. Sie können bei der Ausarbeitung Ihrer Anforderungen mehr Feinheiten und Nuancen entwickeln. Hier sind einige Anfangsziele für jedes Threat Intelligence-Team:

Verringerung der Kosten im Zusammenhang mit Betrug und Internetkriminalität
  • Ermitteln Sie in Zusammenarbeit mit dem Betrugsteam die 3 bis 5 wichtigsten Betrugsarten und fragen Sie, welche Informationen ihnen helfen würden, diese in Zukunft aufzudecken und zu verhindern.
Verhinderung von Datenverlust
  • Was verrät die Analyse der Vorfallstickets über die Art und den Typ der Daten, die bei früheren Datenschutzverletzungen betroffen waren?
  • Welche Schwachstellen wurden ausgenutzt und mit welchen Mitteln?
Schutz von PII
  • In welchen Systemen werden personenbezogene Daten gespeichert, und wie passen die Schwachstellen dieser Systeme zu den bekannten Angriffsvektoren?
Verringerung des Geschäftsrisikos
  • TI kann sich auf die Verringerung des Risikos von Datenverlusten und externen Bedrohungen konzentrieren, indem sie Akteure identifiziert und Erkenntnisse über externe Bedrohungen für ihre Branche gewinnt und sicherstellt, dass Erkennungstechniken und -mechanismen vorhanden sind, die diese Bedrohungen auffangen können.

Entwicklung der Bedrohungsdaten

Die Bedrohungsanalyse wird sich weiter entwickeln und eine Schlüsselfunktion für die Sicherheit einnehmen. Die Integration taktischer, operativer und strategischer Bedrohungsdaten wird wertvolle Einblicke in IOCs und die Methoden von Bedrohungsakteuren liefern. Dies wird zu sichereren Umgebungen führen, in denen Sie Ihre Feinde identifizieren können. Eine wachsende Zahl öffentlicher und privater Organisationen nutzt inzwischen Cyber-Bedrohungsdaten. Jüngste Untersuchungen des Ponemon Institute haben ergeben, dass 80 % der Unternehmen diese Technologie nutzen und ein noch höherer Prozentsatz sie als kritisch einstuft.

Unternehmen, die Cyber Threat Intelligence einsetzen, bewältigen zahlreiche Sicherheitsherausforderungen. Sie erkennen fortschrittliche Bedrohungen und reagieren auf sie. Sie verhindern Datenverletzungen und schützen sensible Informationen. Sie senken die Kosten für Cyberkriminalität und Betrug. Und was am wichtigsten ist: Sie verringern das gesamte Geschäftsrisiko.