Kapitel 1. Einführung

Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com

Aber ich denke, die eigentliche Spannung liegt in der Beziehung zwischen dem Verfolger und seiner Beute, ob es nun der Schriftsteller oder der Spion ist.

John le Carré

Einst in den geheimen Bereich der nationalen Sicherheit und militärischer Operationen verbannt, ist der Geheimdienst heute für viele Organisationen auf der ganzen Welt von grundlegender Bedeutung. Im Kern geht es beim Nachrichtendienst darum, den Entscheidungsträgern die Informationen zu liefern, die sie brauchen, um in jeder Situation die richtige Entscheidung zu treffen .

Früher herrschte bei den Entscheidungsträgern große Unsicherheit, weil sie nicht genug Informationen hatten, um die richtigen Entscheidungen zu treffen. Heute haben sie wahrscheinlich das Gefühl, dass es zu viele Informationen gibt, aber genauso viel Unklarheit und Unsicherheit wie in der Vergangenheit. Das gilt vor allem für die Netzwerksicherheit, wo es weniger traditionelle Anzeichen dafür gibt, dass eine bedeutende Aktion tatsächlich bevorsteht. Um Entscheidungen darüber zu treffen, wie sie sich auf einen Vorfall in der Netzwerksicherheit vorbereiten und darauf reagieren sollen, brauchen die Entscheidungsträger/innen Analysten, die die Grundlagen der Nachrichtendienste und die Feinheiten des Eindringens in das Netzwerk verstehen und wissen, wie sie beides zu einer genauen Einschätzung der Situation und ihrer Bedeutung für das gesamte Unternehmen kombinieren können. Kurz gesagt, sie brauchen Analysten, die nachrichtendienstlich motivierte Reaktionen auf Vorfälle durchführen können.

Bevor wir uns mit der Anwendung von Intelligence-gestützter Reaktion auf Vorfälle befassen, ist es wichtig, die Entwicklung von Cybersecurity-Vorfällen und deren Reaktionen zu verstehen und zu begreifen, warum dies in diesem Bereich so wichtig ist. Dieses Kapitel befasst sich mit den Grundlagen der Cyber-Bedrohungsaufklärung, einschließlich ihrer Geschichte, der jüngsten Aktivitäten und der zukünftigen Entwicklung.

Intelligenz als Teil der Reaktion auf Vorfälle

Seit es Konflikte gibt, gibt es diejenigen, die den Feind beobachten, analysieren und über seine Beobachtungen berichten. Kriege wurden gewonnen und verloren, weil man in der Lage war, die Denk- und Arbeitsweise des Feindes zu verstehen, seine Beweggründe zu begreifen und seine Taktiken zu erkennen und auf dieser Grundlage Entscheidungen zu treffen - im Großen wie im Kleinen. Unabhängig von der Art des Konflikts, ob es sich um einen Krieg zwischen Nationen oder ein heimliches Eindringen in ein sensibles Netzwerk handelt, werden beide Seiten von Geheimdienstinformationen geleitet. Die Seite, die die Kunst und Wissenschaft der Aufklärung - die Analyse von Informationen über die Absichten, Fähigkeiten und Möglichkeiten des Gegners - beherrscht und in der Lage ist, auf der Grundlage dieser Informationen zu handeln, wird fast immer gewinnen.

Geschichte der Cyber Threat Intelligence

Eine der besten Möglichkeiten, die Rolle der Nachrichtendienste bei der Reaktion auf Vorfälle zu verstehen, ist ein Blick in die Geschichte dieses Bereichs. Jedes der in den folgenden Absätzen beschriebenen Ereignisse könnte ganze Bücher füllen (und tut es oft auch!). Vom Kultbuch The Cuckoo's Egg von Cliff Stoll (Pocket Books) bis hin zu den jüngsten Enthüllungen über jahrzehntealte Angriffe wie Moonlight Maze ist die Geschichte der Cyber-Bedrohungsaufklärung faszinierend und fesselnd und bietet viele Lektionen für die, die heute in diesem Bereich arbeiten.

Das erste Eindringen

1986 war Cliff Stoll ein Doktorand, der das Computerlabor des Lawrence Berkeley National Laboratory in Kalifornien leitete, als er eine Rechnungsdiskrepanz in Höhe von 75 Cent bemerkte, die darauf hindeutete, dass jemand die Computersysteme des Labors nutzte, ohne dafür zu bezahlen. Unsere modernen, auf Netzwerksicherheit fokussierten Gehirne sehen das und schreien: "Unbefugter Zugriff!", aber 1986 wären nur wenige Administratoren zu diesem Schluss gekommen. Die meisten Computer, die mit dem Internet verbunden waren, gehörten der Regierung und Forschungsinstituten, nicht den Gelegenheitsnutzern, und es war leicht anzunehmen, dass jeder, der das System benutzte, freundlich war. Die Netzwerkverteidigungsklammer tcpdump war gerade mal ein Jahr auf dem Markt. Gängige Netzwerkerkennungs-Tools wie Nmap würden erst in einem Jahrzehnt entwickelt, und Exploitation-Frameworks wie Metasploit würden erst in 15 Jahren erscheinen. Die Diskrepanz, die Stoll feststellte, war eher ein Softwarefehler oder ein Buchhaltungsfehler, denn es schien, dass jemand seine Zeit einfach nicht bezahlt hatte.

Nur, dass es nicht so war. Wie Stoll herausfand, hatte er es nicht mit einer Computerpanne oder einem billigen Schnorrer zu tun. Er verfolgte einen "gerissenen Hacker", der das Netzwerk des Berkeley-Labors als Ausgangspunkt nutzte, um sich Zugang zu sensiblen Regierungscomputern zu verschaffen, wie z. B. denen der White Sands Missile Range und der National Security Agency (NSA). Stoll überwachte den eingehenden Netzwerkverkehr, druckte Unmengen von Papier aus, um Aufzeichnungen zu führen, und begann, ein Profil des Eindringlings zu erstellen, der für den ersten dokumentierten Fall von Cyberspionage verantwortlich war. Er erfuhr, wann der Angreifer typischerweise aktiv war, überwachte die Befehle, mit denen er sich durch die miteinander verbundenen Netzwerke bewegte, und beobachtete andere Aktivitätsmuster. Er fand heraus, wie sich der Angreifer überhaupt Zugang zum Netzwerk des Berkeley-Labors verschaffen konnte, indem er eine Schwachstelle in der Funktion movemail in GNU Emacs ausnutzte - eine Taktik, die Stoll mit einem Kuckuck verglich, der sein Ei in einem anderen Vogelnest ablegt, um zu schlüpfen, und die ihn zum Namen seines Buches über das Eindringen inspirierte: Das Kuckucksei.

Den Angreifer zu verstehen, bedeutete, dass es möglich war, das Netzwerk vor weiteren Angriffen zu schützen, herauszufinden, wo er als Nächstes zuschlagen könnte, und eine Reaktion zu ermöglichen - sowohl auf der Mikroebene (Identifizierung der Person, die die Angriffe durchführt) als auch auf der Makroebene (Erkennen, dass die Nationen neue Taktiken in ihrem traditionellen Arsenal zur Informationsbeschaffung einsetzen und ihre Politik ändern, um auf diese Veränderung zu reagieren). Die Weitergabe dieses Wissens war der Schlüssel zum Schutz des Lawrence Berkeley National Lab und vieler anderer Regierungsorganisationen.

Zerstörerische Angriffe

1988 hackte sich der Student Robert T. Morris von der Cornell University in ein Computerlabor des Massachusetts Institute of Technology (MIT) und veröffentlichte ein Computerprogramm, das sich unbemerkt auf so viele Computer wie möglich vervielfältigen sollte. Dazu nutzte er eine Hintertür im E-Mail-Zustellungssystem des Internets und eine Schwachstelle im Programm "Finger", das Netzwerkbenutzer identifiziert. Vielleicht war es nur ein harmloses Experiment - oder ein Streich, wie manche es beschrieben haben - von dem nur wenige Menschen wussten, aber es funktionierte nicht genau so, wie Morris es beabsichtigt hatte, und wurde Teil der Cybersecurity-Geschichte (die genau wie die normale Geschichte ist, nur cooler). Morris' Cyber-"Wurm" brachte schließlich 6.000 Computer zum Absturz, was etwa 10 % des damaligen Internets entsprach. Zu den vielen Opfern gehörten Systeme in Harvard, Princeton, Stanford, Johns Hopkins, der NASA und dem Lawrence Livermore National Laboratory. Ermittler des FBI hatten Mühe, die Aktivitäten zu untersuchen, da sie nicht wussten, ob es sich um einen Ausfall oder einen Angriff handelte, als Morris zwei Freunde anrief und zugab, dass er derjenige war, der hinter dem Wurm steckte. Einer der Freunde rief die New York Times an, was schließlich zur Identifizierung und Verurteilung von Morris wegen Verstößen gegen das neue Computer Fraud and Abuse Act of 1986 (CFAA) führte.

Obwohl hinter diesem Wurm keine bösen Absichten steckten - er war nur ein weiteres Beispiel dafür, dass sich Programme nicht immer so verhalten, wie ihr Schöpfer es beabsichtigt hatte -, hatte er weitreichende Auswirkungen, die auch heute noch zu beobachten sind. Als das Internet immer wichtiger für den Betrieb wurde, wurde es noch wichtiger, andere Eindringlinge oder zerstörerische Angriffe schnell zu erkennen und zu beseitigen. Das Computer Emergency Response Team (CERT) wurde 1998 an der Carnegie Mellon University als professionelles, geschultes Reaktionsteam gegründet, das für die Bewertung und Behebung von Cyberangriffen zuständig ist. Der Wurm von Morris zeigt auch, warum es wichtig ist, einen Angriff schnell zuordnen zu können. Im Jahr 1988 hatte sich der Kalte Krieg deutlich aufgeheizt: Reagan und Gorbatschow trafen sich in Moskau und die sowjetischen Truppen begannen, sich aus Afghanistan zurückzuziehen. Wenn dieser Wurm fälschlicherweise den sowjetischen Aktivitäten zugeschrieben worden wäre - was bei der Aktivität aus dem Kuckuckseitatsächlich der Fall war -, hätte diesden Lauf der Geschichte erheblich verändern können.

Mondlicht-Labyrinth

In den zehn Jahren nach dem Kuckucksei und dem Morris-Wurm hat sich die Reaktion auf Vorfälle verbessert, nicht nur durch die Gründung des CERT, sondern auch durch die Professionalisierung des Bereichs in Regierung, Militär und Privatwirtschaft. Mit dem Aufkommen geeigneter Überwachungs-Tools waren die Verteidiger nicht mehr auf im Keller verstreute Drucker angewiesen, um bösartige Netzwerkaktivitäten zu erkennen. Dieser Zuwachs an Fähigkeiten war ein Glücksfall, denn die Angriffe hielten nicht nur an, sondern wurden immer umfangreicher und raffinierter. 1998 entdeckte die US-Regierung den vermutlich immer noch größten und am längsten andauernden Einbruch in Regierungsnetzwerke mit dem Codenamen Moonlight Maze.

Im März 1998 bemerkte die US-Regierung anomale Aktivitäten in mehreren sensiblen und eingeschränkten Netzwerken, darunter das Pentagon, die NASA (ja, die NASA war offenbar schon immer ein Ziel für Eindringlinge) und das Energieministerium (DOE). Weitere Analysen ergaben, dass dieselben böswilligen Aktivitäten an mehreren Universitäten stattfanden und dass diese Aktivitäten seit mindestens zwei Jahren andauerten. Die Dauerhaftigkeit dieser Aktivitäten unterschied sich von allen früheren Einbrüchen (soweit damals bekannt), die eher zielgerichtet und kurzlebig gewesen waren. Im Gegensatz zu diesen Fällen hatten die Angreifer strategische Hintertüren in verschiedenen Teilen des Netzwerks hinterlassen, so dass sie nach Belieben zurückkehren konnten. Die Informationen wurden von zahlreichen Orten aus gesammelt, die oft in keinem Zusammenhang zu stehen schienen.

Wir hatten das Glück, sowohl in den 1990er Jahren als auch heute eng mit Personen zusammenzuarbeiten, die Moonlight Maze direkt untersucht und darauf reagiert haben, denn es gibt immer noch viele Unbekannte und viele Erkenntnisse, die aus diesem Eindringen gewonnen werden können. Die Gespräche mit diesen Personen und die Lektüre der zahlreichen Berichte über das Eindringen verdeutlichen, dass nachrichtendienstliche Arbeit für die Reaktion auf Vorfälle von entscheidender Bedeutung ist und dass die Aufklärung von Cyber-Bedrohungen die Kluft zwischen den Vorgängen auf strategischer Ebene mit nationalen Interessen und ausländischen Gegnern und der Art und Weise, wie sich diese gegnerischen Ziele und Aktionen in einem Computernetzwerk zeigen, überbrückt. Im Jahr 1998 verfügten die USA über einen umfassenden Nachrichtendienst, der aktiv nach Anzeichen ausländischer Einmischung Ausschau hielt, aber der größte Netzwerkangriff blieb unbemerkt, bis er "zufällig" entdeckt wurde, weil die nachrichtendienstliche Arbeit noch nicht vollständig angepasst worden war, um Aktionen gegen ein Netzwerk zu berücksichtigen.

Moonlight Maze hat die Fähigkeiten zur Aufklärung von Cyber-Bedrohungen in das moderne Zeitalter katapultiert. Computernetzwerke waren nicht mehr nur etwas, das von Zeit zu Zeit angegriffen werden konnte, sondern sie wurden nun wegen der Informationen und des Zugangs, die sie enthielten, direkt angegriffen. Computernetzwerke waren Teil der nachrichtendienstlichen Sammlung, und der Nachrichtendienst musste eine Rolle bei ihrer Verteidigung spielen.

Moderne Cyber-Bedrohungsanalyse

Im Laufe der Jahrzehnte sind die Cyber-Bedrohungen gewachsen und haben sich gewandelt. Die Angreifer sind nicht nur ausländische Regierungen oder neugierige Schüler. Organisierte Kriminelle, Identitätsdiebe, Betrüger, ideologisch motivierte Aktivisten und andere haben erkannt, welche Auswirkungen ihre Aktivitäten haben können, wenn sie auf digitale statt auf physische Ziele gerichtet sind. Diese Gegner nutzen eine ständig wachsende Anzahl von Werkzeugen und Taktiken, um ihre Opfer anzugreifen und versuchen aktiv, der Entdeckung zu entgehen. Gleichzeitig hat unsere Abhängigkeit von unseren Netzwerken zugenommen, was die Auswirkungen von Angriffen noch verstärkt. Den Angreifer zu verstehen, ist viel komplizierter und wichtiger geworden.

Zu verstehen, wie man die Aktivitäten von Angreifern identifiziert und wie man diese Informationen zum Schutz von Netzwerken nutzt, sind die grundlegenden Konzepte hinter einer neueren Ergänzung des Werkzeugkastens von Incident Respondern: Cyber Threat Intelligence. Unter Threat Intelligence versteht man die Analyse von Gegnern - ihrer Fähigkeiten, Motivationen und Ziele. Cyber Threat Intelligence (manchmal auch als CTI abgekürzt) ist die Analyse der Art und Weise, wie die Gegner die Cyber-Domäne nutzen, um ihre Ziele zu erreichen. Abbildung 1-1 zeigt, wie diese Aufklärungsebenen ineinander greifen.

From intelligence to cyber threat intelligence

Nach einem Einbruch wie dem Moonlight Maze kamen zunächst Geheimdienstanalysten ins Spiel, um zu verstehen, was uns der Einbruch insgesamt über den Gegner verrät. Was waren ihre Ziele, ihre Motivationen, ihre Fähigkeiten? Wie war ihre Organisationsstruktur? All diese Dinge waren wichtig für ein strategisches Verständnis und eine langfristige Planung, aber sie waren nicht von unmittelbarem Nutzen für diejenigen, die versuchten, ihre Netzwerke vor den Angriffen von heute, morgen oder manchmal sogar von letzter Woche zu schützen. Die Cyber-Bedrohungsaufklärung begann, sich mehr auf taktische und technische Details zu konzentrieren, die sofort umsetzbar waren, und lernte dabei, welche Arten von Informationen in verschiedenen Situationen am wertvollsten waren. Cyber Threat Intelligence-Analysten brachten nicht nur Daten, sondern auch Erkenntnisse mit.

In der Informationssicherheit konzentrieren wir uns traditionell auf beobachtbare Konzepte; wir mögen Dinge, die überprüfbar und reproduzierbar sind. Cyber-Bedrohungsdaten hingegen bewegen sich im Bereich zwischen Beobachtung und Interpretation. Wir wissen vielleicht nicht mit Sicherheit, dass ein Angreifer versuchen wird, auf die Finanzdaten unserer Mitarbeiter/innen zuzugreifen, aber wir können Daten über frühere Eindringlinge und erfolgreiche Angreifer außerhalb unseres Netzwerks analysieren und Empfehlungen für die Systeme und Datentypen abgeben, die möglicherweise zusätzlichen Schutz benötigen. Wir müssen nicht nur in der Lage sein, Informationen zu interpretieren, sondern sie auch so zu vermitteln, dass sie für die Adressaten aussagekräftig sind und ihnen helfen, Entscheidungen zu treffen. Rückblickend auf seine historische Analyse der Eindringlinge in Das Kuckucksei nannte Stoll "das Bedürfnis nach einer Geschichte" als eine seiner wichtigsten Erkenntnisse aus der ganzen Erfahrung. "Ich dachte, ich könnte den Leuten einfach die Daten zeigen und sie würden es verstehen", sagte er. "Aber ich habe mich geirrt. Du musst eine Geschichte erzählen" (SANS CTI Summit 2017).

Der Weg nach vorn

Neue Technologien geben uns mehr Informationen über die Aktionen der Angreifer und zusätzliche Möglichkeiten, auf diese Informationen zu reagieren. Wir mussten jedoch feststellen, dass sich der Gegner mit jeder neuen Technologie oder jedem neuen Konzept anpasste; Würmer und Viren mit einer Buchstabensuppe von Namen änderten sich schneller, als unsere Geräte sie identifizieren konnten, und raffinierte, gut finanzierte Angreifer waren oft besser organisiert und motivierter als viele Netzwerkverteidiger. Ad-hoc- und intuitive Aufklärungsarbeit würde nicht mehr ausreichen, um der Bedrohung einen Schritt voraus zu sein. Auch die Analyse musste sich weiterentwickeln und formal und strukturiert werden. Der Umfang müsste erweitert werden und die Ziele müssten ehrgeiziger werden.

Zusätzlich zur Erkennung von Bedrohungen, die sich gegen den oft nebulösen und flüchtigen Perimeter einer Organisation richten, müssten Analysten tiefer in die Netzwerke eindringen, um die Angriffe zu erkennen, die durch die Leitungen gelangt sind, bis hin zu den einzelnen Benutzersystemen und Servern selbst, und auch die Dienste von Drittanbietern unter die Lupe nehmen, um die Angreifer besser zu verstehen, die es möglicherweise auf sie abgesehen haben. Die Informationen müssen analysiert und ihre Auswirkungen verstanden werden, und dann müssen Maßnahmen ergriffen werden, um Bedrohungen besser zu verhindern, zu erkennen und zu beseitigen. Die Maßnahmen, die ergriffen werden, um die Angreifer besser zu verstehen, müssen Teil eines formellen Prozesses und ein wichtiger Bestandteil der Informationssicherheitsarbeit werden: Threat Intelligence.

Reaktion auf Vorfälle als Teil der Aufklärung

Intelligenz wird oft als Daten definiert, die verfeinert und analysiert wurden, damit die Beteiligten bessere Entscheidungen treffen können. Intelligenz erfordert also Daten. Bei der nachrichtendienstlichen Reaktion auf Vorfälle gibt es mehrere Möglichkeiten, Informationen zu sammeln, die analysiert und zur Unterstützung der Reaktion auf Vorfälle genutzt werden können. Es ist jedoch wichtig zu wissen, dass die Reaktion auf Vorfälle auch Erkenntnisse über Cyber-Bedrohungen hervorbringt. Der traditionelle Intelligence-Zyklus - den wir in Kapitel 2ausführlich behandeln - umfasst die SchritteAnweisung, Sammlung, Verarbeitung, Analyse, Verbreitung und Feedback. Die nachrichtendienstliche Reaktion auf Vorfälle umfasst alle diese Komponenten und hilft bei der Ausrichtung, Sammlung und Analyse auch in anderen Bereichen der Bedrohungsanalyse, wie z. B. der Netzwerkverteidigung, der Entwicklung sicherer Software und der Schulung der Benutzer. Die nachrichtendienstliche Reaktion auf einen Vorfall endet nicht, wenn das Eindringen verstanden und behoben ist, sondern generiert Informationen, die den nachrichtendienstlichen Kreislauf weiter speisen.

Die Analyse eines erfolgreichen oder fehlgeschlagenen Einbruchs kann eine Vielzahl von Informationen liefern, die dazu dienen, die Gesamtbedrohung einer Umgebung besser zu verstehen. Die Ursache des Eindringens und der ursprüngliche Zugriffsvektor können analysiert werden, um eine Organisation über Schwachstellen in der Netzwerkverteidigung oder über Richtlinien zu informieren, die Angreifer möglicherweise missbrauchen. Die Malware, die auf einem System identifiziert wird, kann dazu beitragen, die Taktiken der Angreifer aufzudecken, mit denen sie herkömmliche Sicherheitsmaßnahmen wie Antivirenprogramme oder Host-basierte Intrusion Detection Tools umgehen, und die Möglichkeiten aufzuzeigen, die ihnen zur Verfügung stehen. Die Art und Weise, wie sich ein Angreifer seitlich durch ein Netzwerk bewegt, kann analysiert werden, und diese Erkenntnisse können genutzt werden, um neue Möglichkeiten zur Überwachung von Angreiferaktivitäten im Netzwerk zu schaffen. Die letzten Aktionen, die ein Angreifer durchgeführt hat (z. B. das Stehlen von Informationen oder die Veränderung der Funktionsweise von Systemen), können den Analysten helfen, die Motivationen und Ziele des Feindes zu verstehen, was wiederum dazu genutzt werden kann, die allgemeinen Sicherheitsmaßnahmen zu steuern. Es gibt im Grunde keinen Teil eines Vorfalls, der nicht genutzt werden kann, um die Bedrohungen, denen eine Organisation ausgesetzt ist, besser zu verstehen und die zukünftige Verteidigung und Reaktion zu verbessern.

Aus diesem Grund zielen die verschiedenen Prozesse und Zyklen, die in diesem Buch beschrieben werden, darauf ab, sicherzustellen, dass die nachrichtendienstliche Reaktion auf Vorfälle die allgemeinen nachrichtendienstlichen Aktivitäten unterstützt. Obwohl sie spezifische Anleitungen für die Nutzung von Cyber-Bedrohungsdaten bei der Reaktion auf Vorfälle bieten, ist zu bedenken, dass mit der Erweiterung der nachrichtendienstlichen Fähigkeiten auch breitere Anwendungsmöglichkeiten genutzt werden können.

Was ist Intelligence-Driven Incident Response?

Cyber Threat Intelligence ist kein neues Konzept, sondern nur ein neuer Name für einen alten Ansatz: die Anwendung eines strukturierten Analyseprozesses, um einen Angriff und den dahinter stehenden Gegner zu verstehen. Die Anwendung von Threat Intelligence auf die Netzwerksicherheit ist jüngeren Datums, aber die Grundlagen haben sich nicht geändert. Bei der Cyber-Bedrohungsanalyse werden nachrichtendienstliche Verfahren und Konzepte - einige der ältesten Konzepte, die es gibt - angewendet und in den gesamten Prozess der Informationssicherheit integriert. Es gibt viele Anwendungsmöglichkeiten für Threat Intelligence, aber eine der grundlegenden Arten, wie sie genutzt werden kann, ist als integraler Bestandteil der Erkennung von Eindringlingen und der Reaktion auf Vorfälle. Wir nennen dies "Intelligence-driven Incident Response" und sind der Meinung, dass jedes Sicherheitsteam dies tun kann, mit oder ohne größere Investitionen. Dabei geht es weniger um Tools, auch wenn sie manchmal sicherlich hilfreich sind, sondern vielmehr um eine neue Herangehensweise an den Incident-Response-Prozess. Intelligenzgesteuerte Reaktion auf Vorfälle hilft nicht nur dabei, Bedrohungen in einem Netzwerk zu erkennen, zu verstehen und zu beseitigen, sondern auch den gesamten Prozess der Informationssicherheit zu stärken, um diese Reaktionen in Zukunft zu verbessern.

Warum Intelligence-Driven Incident Response?

In den letzten Jahrzehnten ist unsere Welt sowohl im wörtlichen als auch im übertragenen Sinne immer vernetzter geworden, was es Angreifern ermöglicht, komplexe Kampagnen und Angriffe auf mehrere Organisationen mit demselben Aufwand durchzuführen, den sie früher für ein einzelnes Unternehmen benötigten. Wir sind längst über den Punkt hinaus, an dem wir automatisch davon ausgehen können, dass es sich bei einem Eindringling um einen isolierten Vorfall handelt - während wir früher verblüfft waren, wenn wir Überschneidungen und Verbindungen zwischen Eindringlingen fanden, sind wir heute misstrauisch, wenn wir keine Überschneidungen sehen. Wenn wir den Gegner besser verstehen, können wir leichter die Muster erkennen, die Gemeinsamkeiten zwischen den Angriffen aufzeigen. Intelligenzgesteuerte Reaktion auf Vorfälle stellt sicher, dass wir Informationen sammeln, analysieren und weitergeben, damit wir diese Muster schneller erkennen und darauf reagieren können.

Operation SMN

Ein gutes Beispiel für eine nachrichtendienstlich gestützte Reaktion auf einen Vorfall ist die Analyse der Axiom Group, die 2014 im Rahmen einer koordinierten Malware-Eradikationskampagne (CME) namens Operation SMN identifiziert und veröffentlicht wurde.

Was verbirgt sich hinter einem Namen?

Das SMN in Operation SMN steht für einen Marketing-Namen, ein nicht ganz so subtiler, aber amüsanter Scherz, der zeigt, wie weit verbreitet der Glaube ist, dass Marketing oft die Kontrolle über Intelligence-Produkte übernimmt. Im Guten wie im Schlechten wurde die Bedrohungsanalyse eifrig von Marketingkräften umarmt, die die besten Produkte, Feeds und Tools für die Bedrohungsanalyse anpreisen. Viele Menschen kommen zum ersten Mal durch Marketingmaterial mit Bedrohungsdaten in Berührung, was es für viele schwierig macht, Bedrohungsdaten vollständig zu verstehen .

Es ist wichtig, dass die Aufklärungsarbeit mit dem Ziel durchgeführt wird, die Gegner besser zu verstehen und sich gegen sie zu verteidigen. Manchmal steht das Marketing diesem Ziel im Weg, aber im Idealfall kann das Marketing bei der Vermittlung von Nachrichten helfen und sicherstellen, dass die "Geschichte" hinter den Bedrohungsdaten die richtige Zielgruppe auf die richtige Weise erreicht.

Mehr als sechs Jahre lang hat eine Gruppe von Angreifern, die unter dem Namen Axiom Group bekannt ist, heimlich Fortune 500-Unternehmen, Journalisten, Nichtregierungsorganisationen und eine Vielzahl anderer Organisationen angegriffen, infiltriert und Informationen gestohlen. Die Gruppe verwendete ausgeklügelte Tools und die Angreifer taten alles, um den Zugang zu den Netzwerken der Opfer aufrechtzuerhalten und zu erweitern. Als die Malware entdeckt wurde und die Reaktion auf den Vorfall in den verschiedenen Opferorganisationen begann, zeigte die koordinierte Untersuchung einer der von der Gruppe verwendeten Malware-Familien, dass das Problem viel komplexer war als ursprünglich angenommen. Als sich immer mehr Partner aus der Branche einschalteten und Informationen austauschten, zeichneten sich Muster ab, die nicht nur das Verhalten der Malware, sondern auch das Verhalten einer Gruppe von Bedrohungsakteuren zeigten, die mit klaren Vorgaben arbeiteten. Strategische Informationen wurden identifiziert, darunter auch Regionen und Branchen, die ins Visier genommen wurden.

Dies war ein hervorragendes Beispiel für den Informationskreislauf in einem Szenario, bei dem es um die Reaktion auf einen Vorfall geht. Es wurden nicht nur Informationen gesammelt, verarbeitet und analysiert, sondern sie wurden auch so verbreitet, dass neue Anforderungen und Rückmeldungen generiert wurden und der Prozess von vorne begann, bis die Analysten zu einer soliden Schlussfolgerung gekommen waren und entschlossen handeln konnten, indem sie 43.000 Malware-Installationen zum Zeitpunkt der Veröffentlichung des Berichts auslöschten. Der veröffentlichte Bericht, der ebenfalls Teil der Verbreitungsphase war, ermöglichte den Einsatzkräften ein besseres Verständnis der Taktiken und Motivationen dieser Akteursgruppe.

SolarWinds

Im Dezember 2020 wurde ein massiver Einbruch in das texanische Unternehmen SolarWinds bekannt. SolarWinds stellt Software für die Überwachung und Verwaltung von IT-Netzwerken her und ist ein sehr beliebtes Tool in vielen großen Netzwerken, darunter Cybersicherheitsunternehmen, Regierungen und Fortune 500-Unternehmen. Die Aktivitäten wurden aufgedeckt, nachdem die Cybersecurity-Firma FireEye, ein Kunde von SolarWinds, festgestellt hatte, dass ihre Netzwerke kompromittiert worden waren und eine Reihe von Tools, die sie zur Erkennung von Eindringlingen entwickelt hatte, von einer unbekannten Person genutzt worden war. Die eigene Untersuchung des Eindringens in ihr Netzwerk führte dazu, dass sie SolarWinds als die Quelle des Eindringens identifizierten.

Ihre Analyse ergab, dass die Netzwerke von SolarWinds Ende 2019 kompromittiert und die Software manipuliert worden war, da ein Software-Update, das an alle Kunden verteilt wurde, eine Hintertür enthielt, die den Angreifern auch Zugang zu diesen Netzwerken ermöglichte. Dies war nicht der erste softwarebasierte Angriff auf die Lieferkette, aber er war bemerkenswert wegen seiner Größe und seines Umfangs - Schätzungen zufolge waren mehr als 18.000 SolarWinds-Kunden betroffen. Bemerkenswert war auch die Reaktion, die 20 Jahre nach Moonlight Maze zeigte, wie weit sich die Disziplin der Cyber-Bedrohungsanalyse entwickelt hat. Nach der Entdeckung veröffentlichte FireEye einen Blog-Beitrag mit Details über den Vorfall und Möglichkeiten für andere, Aktivitäten in ihrem Netzwerk zu erkennen. Weitere Teams analysierten die Aktivitäten in ihren Netzwerken und tauschten sowohl öffentlich als auch über etablierte Gruppen für den Austausch von Bedrohungen Indikatoren und Erkenntnisse aus, so dass sich schnell ein Gesamtbild des Angriffs ergab. Das Department of Homeland Security hat einen Leitfaden für Angriffe auf die Lieferkette veröffentlicht, der die Reaktion von einer reinen Reaktion auf einen einzelnen Vorfall zu einer Überlegung darüber führt, wie diese neuen Informationen die Art und Weise beeinflussen, wie sich die Branche in Zukunft auf Angriffe vorbereiten sollte. Die Kompromittierung von SolarWinds ist sicherlich kein perfekter Prozess, aber sie zeigt, welche Rolle Cyber-Bedrohungsdaten bei der Reaktion auf Vorfälle spielen können und wie sie nicht nur den direkt betroffenen Unternehmen helfen, sondern auch wichtige Lehren für andere ziehen können.

Sowohl die Angriffe der Axiom Group als auch das Eindringen in die Lieferkette der SolarWinds-Software waren Angriffe, die auf Informationssuche und Spionage abzielten, aber staatlich gesponserte Angreifer sind nicht das Einzige, worüber sich Incident Responder Sorgen machen müssen. Auch finanziell motivierte kriminelle Aktivitäten entwickeln sich weiter, und auch diese Akteure arbeiten hart daran, den Verteidigern und Notfallhelfern einen Schritt voraus zu sein. Eine der wichtigsten taktischen Veränderungen, die finanziell motivierte Kriminelle in den letzten Jahren vorgenommen haben, ist der Wechsel zu Ransomware. Ransomware-Angriffe nutzen Tools, um Daten in einem Netzwerk zu verschlüsseln und dann ein Lösegeld für den Schlüssel zur Entschlüsselung der Daten zu verlangen. Das Konzept der Ransomware gibt es schon seit Jahrzehnten, aber seit 2012 hat ihre Verbreitung drastisch zugenommen, ebenso wie ihre Auswirkungen. Obwohl es sich bei Ransomware-Angriffen nicht immer um strategische und koordinierte Angriffe auf mehrere Organisationen handelt, zielen die Gruppen, die Ransomware-Angriffe ausführen, oft auf verschiedene Opfer ab, indem sie dieselben Taktiken, dieselben Werkzeuge und oft auch dieselben Zielinformationen verwenden. Verteidiger/innen, die gegen diese finanziell motivierten Angriffe vorgehen, können auch die nachrichtendienstlich gestützte Reaktion auf Vorfälle nutzen, um frühe Anzeichen dafür zu erkennen, dass ihre Netzwerke von diesen Akteuren angegriffen wurden, bevor der eigentliche Verschlüsselungsprozess begonnen hat.

Fazit

Trotz der vielen Fortschritte im Bereich der Computersicherheit passen sichdie Angreifer weiter an - abersie müssen nicht schneller sein als die Verteidiger. Die nachrichtendienstlich gestützte Reaktion auf Vorfälle ermöglicht es uns, von den Angreifern zu lernen, ihre Motivationen, Prozesse und Verhaltensweisen zu erkennen und ihre Aktivitäten zu identifizieren, selbst wenn sie versuchen, unsere Verteidigungs- und Erkennungsmethoden zu überlisten. Je mehr wir über Angreifer wissen, desto besser können wir ihre Aktionen verhindern, aufdecken und darauf reagieren.

Wir sind an einem Punkt angelangt, an dem ein strukturierter und wiederholbarer Prozess für die Implementierung von Intelligence in den Incident-Response-Prozess notwendig ist, und dieses Buch soll einen Einblick in diesen Prozess geben. In diesem Buch stellen wir verschiedene Modelle und Methoden vor, die als Bausteine für eine informationsgesteuerte Reaktion auf Vorfälle angesehen werden können. Wir erläutern, warum diese Modelle nützlich sind und wie sie sich in die Reaktion auf Vorfälle integrieren lassen. Es gibt keinen allgemeingültigen Ansatz. In vielen Fällen hängt es vom Vorfall oder der Organisation ab, welche Kombination von Modellen und Ansätzen am besten geeignet ist. Wenn du die Grundprinzipien von Intelligence und Incident Response sowie die spezifischen Methoden für ihre Integration verstehst, kannst du einen Prozess für die Intelligence-gestützte Incident Response entwickeln und aufbauen, der für dich und die Bedürfnisse deines Unternehmens geeignet ist.

Get Intelligence-Driven Incident Response, 2. Auflage now with the O’Reilly learning platform.

O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.

Start your free trial

Intelligence-Driven Incident Response, 2. Auflage by Rebekah Brown, Scott J. Roberts