Threat Intelligence: Evidenzbasierte Information über Cyberangriffe

Dezember 2022

„Threat Intelligence“ ist aktuell eines der häufigsten Schlagwörter in Artikeln, Richtlinien und Standards zum Thema IT-Sicherheit. Dabei gilt Threat Intelligence als eines der besten Mittel, um die Sicherheit eines Unternehmens zu erhöhen. Gleichzeitig ist die Beschreibung ungenau und der Zweck oft unklar. Darum wollen wir heute mit diversen Behauptungen aufräumen und klären: Was genau ist das eigentlich?

Threat Intelligence beschreibt grundsätzlich einen Prozess zur Analyse von frei verfügbaren Informationen, mit dem Ziel die Bedrohungslage eines Systems zu beschreiben. Anders als oft behauptet, lassen sich mit einer Threat-Intelligence-Analyse sowohl komplette Firmen als auch einzelne Teams, Personen, Standorte oder sogar Softwareprojekte beschreiben. Am häufigsten ist jedoch die Analyse einer gesamten Organisation beziehungsweise des gesamten Unternehmens. Doch bevor eine solche Analyse durchgeführt werden kann, muss die richtige Grundlage geschaffen werden.

Informationsbeschaffung

Die Informationen für eine derartige Analyse sind meistens nur schwer zu finden. Im ersten Schritt geht es darum, abstrakte Bedrohungen für das allgemeine Ziel zu identifizieren. Dies kann beispielsweise länderspezifisch anhand der politischen Situation erfolgen, oder auch bezogen auf spezifische Branchen. In beiden Fällen wird untersucht, welche Angreifer Gruppen (Threat Actor) in der jüngeren Vergangenheit Ziele aus diesem Bereich angegriffen haben und welche inaktiven Gruppen in Zukunft möglicherweise ein erhöhtes Interesse an diesem Ziel zeigen könnten.

Doch nicht jedes Unternehmen einer Branche ist gleich. Ein Finanzdienstleister kann sich zum Beispiel an Endkunden richten und damit zahlreiche Anwendungen nach außen bereitstellen. Das andere Extrem wäre ein Finanzdienstleister für institutionelle Kunden, der vor allem am Kapitalmarkt aktiv ist. Beide sind in der gleichen Branche verortet und werden in einer Threat Intelligence mit den gleichen Risiken dargestellt. Doch so individuell wie die Angreifer, sind auch die Unternehmen innerhalb einer Branche.

Daher wird im nächsten Schritt mithilfe von OSINT ein Profil des Unternehmens erstellt, das sich auf die zuvor identifizierten Angreifer abbilden lässt.

OSINT

OSINT, kurz für Open Source Intelligence, beschreibt Tools und Methoden, um öffentlich verfügbare Informationen zu sammeln, zu konsolidieren und zu analysieren. Diese öffentlichen Informationen nutzen dabei verschiedene Quellen und bestehen unter anderen aus:

  • Registrierten Domains und verbundenen IP-Adressen
  • Anwendungen, die öffentlich erreichbar sind
  • Social Media Posts mit Information Leaks (z.B. Ausweisfoto oder Bildschirm im Hintergrund)
  • Mitarbeiter-Bewertungen
  • Code Snippets auf Paste-Seiten
  • Geleakte Accountdaten im Darknet
  • Zeitungsartikel
  • Verlinkung von Drittanbietern
  • Veröffentlichungen im Bundesanzeiger

Um diese Informationen zu sammeln, gibt es kein einheitliches Vorgehen oder Standard-Tool. Hier setzen wir bei OPTIMAbit auf selbst entwickelte Tools sowie auf unsere langjährige Erfahrung. Wir sammeln dafür die Daten aus verschiedenen Quellen und bereiten sie teilautomatisiert auf.

Mit dieser unternehmensspezifischen Informationssammlung, kann nun eine Targeted Threat Intelligence Analyse durchgeführt werden.

Targeted Threat Intelligence

Targeted Threat Intelligence beschreibt eine fortgeschrittene Variante. Die allgemeine Aussage “Häufig werden Phishing Mails benutzt“ hilft wenig. Das Ziel der Targeted Threat Intelligence ist es daher evidenzbasiert spezifische Aussagen zu treffen wie:

„Die für die Zielorganisation relevanten Angreifergruppen setzen bevorzugt auf Spear Phishing mit Office Attachements, die über Makros weiteren Code ausführen. Dabei werden aktive SocialMedia-Kampagnen missbraucht, wie z. B. die aktuell laufende Kampagne zum Thema XY. Die sich daraus ergebende Wahrscheinlichkeit eines solchen Angriffs für die Zielorganisation wird als hoch eingestuft.“

Durch solche Analysen lassen sich defensive Maßnahmen anhand ihrer wahrscheinlichen Effektivität priorisieren. In unserem Beispiel können Firmen nun präventive Maßnahmen ergreifen und zum Beispiel die E-Mail-Filter anpassen. Ein weiteres Mittel sind Awareness-Schulungen speziell zu derartigen Angriffen.

Das ist Threat Intelligence nicht

Zum besseren Verständnis ist noch zu klären, welche Themen nicht zu einer Threat-Intelligence-Analyse gehören.

Wie bereits beschrieben, analysiert TI nur öffentlich vorliegende Informationen und keine internen Aspekte eines Unternehmens. Weiterhin erfolgen keine aktiven Untersuchungen wie etwa aktive Tests auf Schwachstellen (Pentest). Alle Aktivitäten sollten passiv und möglichst verdeckt sein. Somit kann Threat Intelligence im Regelfall keine konkreten Schwachstellen identifizieren. Sie bereitet allerdings das gezielte Auffinden von Schwachstellen sehr gut vor.

Genauso wenig kann Threat Intelligence gezielte Maßnahmen zur Härtung einzelner Systeme erarbeiten, da in dieser Phase unklar ist, welche Schutzmaßnahmen bereits umgesetzt sind. Natürlich werden Beispielangriffe identifiziert, die eine Firewall möglicherweise abfangen soll. Es lässt sich aber nicht feststellen, welche dieser Maßnahmen bereits umgesetzt ist.

Wie wir Sie unterstützen können

Die Experten der OPTIMAbit haben bereits in mehreren Projekten Erfahrung mit dem Erstellen von Threat-Intelligence-Analysen gesammelt. Wir liefern unseren Kunden maßgeschneiderte Berichte, die nicht nur eine Übersicht über die allgemeine Bedrohungslage geben, sondern auch spezifische Bedrohungen für das jeweilige Unternehmen abbilden.

Durch unsere langjährige Pentest-Expertise verfügen wir über eine komplexe Tool-Landschaft, welche die Qualität in der OSINT-Phase erheblich steigert und somit den Nutzen der Threat Intelligence weiter erhöht und unterstützt.

Kommen Sie gerne mit weiteren Fragen auf uns zu und finden sie heraus, wie wir Sie unterstützen können.

Fazit

Threat Intelligence kann insgesamt ein wertvolles Tool sein, um blinde Flecken im Risikomanagement aufzudecken. Es handelt sich allerdings immer um eine sehr theoretische Analyse, und niemals um praktische Angriffe. Daher lassen sich mit Threat Intelligence keine konkreten Schwachstellen identifizieren. Allerdings eignet sich die Informationssammlung und Analyse hervorragend als Vorbereitung auf weitere Projekte und Angriffssimulationen.

Und mal ehrlich: Haben Sie den genauen Überblick darüber, welche Server offen im Netz erreichbar sind? Welche Drittanbieter mit ihnen als Softwarepartner werben? Und was Mitarbeiter auf Bewertungsplattformen und Social Media über ihre Organisation veröffentlichen?

Falls nicht, sollten auch Sie vielleicht über eine Threat-Intelligence-Analyse nachdenken.

OPTIMA Business Information Technology GmbH Kaflerstraße 6 81241 München
Telefon: +49 (0) 89 889518190 E-Mail: service@optimabit.com