Threat Intelligence: Evidenzbasierte Information über Cyberangriffe

Threat Intelligence: Evidenzbasierte Information über Cyberangriffe

„Threat Intelligence“ ist aktuell eines der häufigsten Schlagwörter in Artikeln, Richtlinien und Standards zum Thema IT-Sicherheit. Dabei gilt Threat Intelligence als eines der besten Mittel, um die Sicherheit eines Unternehmens zu erhöhen. Gleichzeitig ist die Beschreibung ungenau und der Zweck oft unklar. Darum wollen wir heute mit diversen Behauptungen aufräumen und klären: Was genau ist das eigentlich?

Was versteht man unter Threat Intelligence?

Threat Intelligence ist ein Bereich der Cybersicherheit und bezieht sich auf die Sammlung, Analyse und Bereitstellung von Informationen über aktuelle und potenzielle Bedrohungen für Computersysteme, Netzwerke und Daten. Diese Daten werden aus verschiedenen Quellen gewonnen, darunter öffentliche Datenbanken, Dark Web-Marktplätze und interne Sicherheitsprotokolle. Das Ziel besteht darin, Sicherheitsteams und Organisationen bei der Erkennung und Bekämpfung von Bedrohungen zu unterstützen. Diese proaktive Verteidigung gegen Cyberangriffe basiert auf Erkenntnissen über Angriffstaktiken, Schwachstellen und mögliche Angreifer, was die Cybersicherheit stärkt und Schäden minimiert. Detection und Ransomware sind Schlüsselkomponenten von Threat Intelligence, da sie auf diese Informationen angewiesen sind, um effektive Security Services und Tools zu entwickeln und einzusetzen. Die Verbreitung von Bedrohungsdaten erfolgt oft über verschiedene Medien, einschließlich des Internets, um die Sicherheit der digitalen Welt zu gefährden. Threat Intelligence ermöglicht eine proaktive Verteidigung gegen Cyberangriffe, indem es Einblicke in Angriffstaktiken, Schwachstellen und mögliche Angreifer liefert, wodurch die Cybersicherheit gestärkt und Schäden minimiert werden können.

Informationsbeschaffung

Die Informationen für eine derartige Analyse sind meistens nur schwer zu finden. Im ersten Schritt geht es darum, abstrakte Bedrohungen für das allgemeine Ziel zu identifizieren. Dies kann beispielsweise länderspezifisch anhand der politischen Situation erfolgen, oder auch bezogen auf spezifische Branchen. In beiden Fällen wird untersucht, welche Angreifer Gruppen (Threat Actor) in der jüngeren Vergangenheit Ziele aus diesem Bereich angegriffen haben und welche inaktiven Gruppen in Zukunft möglicherweise ein erhöhtes Interesse an diesem Ziel zeigen könnten.

Doch nicht jedes Unternehmen einer Branche ist gleich. Ein Finanzdienstleister kann sich zum Beispiel an Endkunden richten und damit zahlreiche Anwendungen nach außen bereitstellen. Das andere Extrem wäre ein Finanzdienstleister für institutionelle Kunden, der vor allem am Kapitalmarkt aktiv ist. Beide sind in der gleichen Branche verortet und werden in einer Threat Intelligence mit den gleichen Risiken dargestellt. Doch so individuell wie die Angreifer, sind auch die Unternehmen innerhalb einer Branche. Daher wird im nächsten Schritt mithilfe von OSINT ein Profil des Unternehmens erstellt, das sich auf die zuvor identifizierten Angreifer abbilden lässt.

OSINT

Open Source Intelligence (OSINT) ist eine Informationsgewinnungsmethode, die öffentlich zugängliche Quellen nutzt, um vielfältige Bedrohungsdaten und Erkenntnisse zu sammeln. Diese öffentlichen Informationen nutzen dabei verschiedene Quellen und bestehen unter anderen aus:

  • Registrierten Domains und verbundenen IP-Adressen
  • Anwendungen, die öffentlich erreichbar sind
  • Social Media Posts mit Information Leaks (z.B. Ausweisfoto oder Bildschirm im Hintergrund)
    Mitarbeiter-Bewertungen
  • Code Snippets auf Paste-Seiten
  • Geleakte Accountdaten im Darknet
  • Zeitungsartikel
  • Verlinkung von Drittanbietern
  • Veröffentlichungen im Bundesanzeiger

Was kann OSINT?

  1. Informationsbeschaffung: OSINT sammelt Informationen aus Websites, sozialen Medien, Nachrichten, Foren und mehr.
  2. Bedrohungsanalyse: Es hilft Regierungen und Sicherheitsdiensten, Bedrohungen zu identifizieren und zu bewerten.
  3. Recherche und Journalismus: Journalisten verwenden OSINT für Hintergrundrecherchen und Berichterstattung.
  4. Wettbewerbsanalyse: Unternehmen nutzen OSINT zur Markt- und Wettbewerbsanalyse.
  5. Krisenmanagement: OSINT ermöglicht die Überwachung von Krisen und Katastrophen.
  6. Menschenrechtsarbeit: NGOs dokumentieren Menschenrechtsverletzungen mit OSINT.
  7. Cybersecurity: OSINT hilft bei der Erkennung von Cyberbedrohungen und Schwachstellen.
  8. Personensuche: Privatpersonen können OSINT verwenden, um verlorene Kontakte zu finden.

Wer nutzt OSINT?

OSINT wird u.a. von Regierungen, Unternehmen, Privatpersonen und Sicherheitsexperten genutzt, um Bedrohungen zu analysieren, Märkte zu erforschen, Sicherheit zu gewährleisten und persönliche Ziele zu verfolgen, was seine Relevanz in einer globalisierten Welt unterstreicht. Insgesamt ermöglicht OSINT eine breite Palette von Anwendungen, von Sicherheitsanalysen bis zur Marktforschung, und spielt eine wichtige Rolle in einer zunehmend digitalen Welt.

Um diese Informationen zu sammeln, gibt es kein einheitliches Vorgehen oder Standard-Tools. Hier setzen wir bei der fernao security force GmbH auf selbst entwickelte Tools sowie auf unsere langjährige Erfahrung. Wir sammeln dafür die Daten aus verschiedenen Quellen und bereiten sie teilautomatisiert auf. Mit dieser unternehmensspezifischen Informationssammlung, kann nun eine Targeted Threat Intelligence Analyse durchgeführt werden.

Targeted Threat Intelligence

Targeted Threat Intelligence beschreibt eine fortgeschrittene Variante. Die allgemeine Aussage “Häufig werden Phishing Mails benutzt“ hilft wenig. Das Ziel der Targeted Threat Intelligence ist es daher evidenzbasiert spezifische Aussagen zu treffen wie:

„Die für die Zielorganisation relevanten Angreifergruppen setzen bevorzugt auf Spear Phishing mit Office Attachements, die über Makros weiteren Code ausführen. Dabei werden aktive SocialMedia-Kampagnen missbraucht, wie z. B. die aktuell laufende Kampagne zum Thema XY. Die sich daraus ergebende Wahrscheinlichkeit eines solchen Angriffs für die Zielorganisation wird als hoch eingestuft.“

Durch solche Analysen lassen sich defensive Maßnahmen anhand ihrer wahrscheinlichen Effektivität priorisieren. In unserem Beispiel können Firmen nun präventive Maßnahmen ergreifen und zum Beispiel die E-Mail-Filter anpassen. Ein weiteres Mittel sind Awareness-Schulungen speziell zu derartigen Angriffen.

Das ist Threat Intelligence nicht

Zum besseren Verständnis ist noch zu klären, welche Themen nicht zu einer Threat-Intelligence-Analyse gehören.

Wie bereits beschrieben, analysiert TI nur öffentlich vorliegende Informationen und keine internen Aspekte eines Unternehmens. Weiterhin erfolgen keine aktiven Untersuchungen wie etwa aktive Tests auf Schwachstellen (Pentest). Alle Aktivitäten sollten passiv und möglichst verdeckt sein. Somit kann Threat Intelligence im Regelfall keine konkreten Schwachstellen identifizieren. Sie bereitet allerdings das gezielte Auffinden von Schwachstellen sehr gut vor.

Genauso wenig kann Threat Intelligence gezielte Maßnahmen zur Härtung einzelner Systeme erarbeiten, da in dieser Phase unklar ist, welche Schutzmaßnahmen bereits umgesetzt sind. Natürlich werden Beispielangriffe identifiziert, die eine Firewall möglicherweise abfangen soll. Es lässt sich aber nicht feststellen, welche dieser Maßnahmen bereits umgesetzt ist. Falls nicht, sollten auch Sie vielleicht über eine Threat-Intelligence-Analyse nachdenken.

Wie wir Sie unterstützen können

Die Experten der fernao security force GmbH haben bereits in mehreren Projekten Erfahrung mit dem Erstellen von Threat-Intelligence-Analysen gesammelt. Wir liefern unseren Kunden maßgeschneiderte Berichte, die nicht nur eine Übersicht über die allgemeine Bedrohungslage geben, sondern auch spezifische Bedrohungen für das jeweilige Unternehmen abbilden.

Durch unsere langjährige Pentest-Expertise verfügen wir über eine komplexe Tool-Landschaft, welche die Qualität in der OSINT-Phase erheblich steigert und somit den Nutzen der Threat Intelligence weiter erhöht und unterstützt.

Kommen Sie gerne mit weiteren Fragen auf uns zu und finden sie heraus, wie wir Sie unterstützen können.

Fazit

Threat Intelligence kann insgesamt ein wertvolles Tool sein, um blinde Flecken im Risikomanagement aufzudecken. Es handelt sich allerdings immer um eine sehr theoretische Analyse, und niemals um praktische Angriffe. Daher lassen sich mit Threat Intelligence keine konkreten Schwachstellen identifizieren. Allerdings eignet sich die Informationssammlung und Analyse hervorragend als Vorbereitung auf weitere Projekte und Angriffssimulationen.

Und mal ehrlich: Haben Sie den genauen Überblick darüber, welche Server offen im Netz erreichbar sind? Welche Drittanbieter mit ihnen als Softwarepartner werben? Und was Mitarbeiter auf Bewertungsplattformen und Social Media über ihre Organisation veröffentlichen?

< Zurück zur Übersicht
fernao.com | Insights | Blog | Threat Intelligence: Evidenzbasierte Information über Cyberangriffe