Threat Intelligence: IT-Sicherheit zum Selbermachen?

Viele IT-Sicherheitsfirmen erweitern ihr Portfolio derzeit um sogenannte Threat Intelligence. Die ist jedoch kein Allheilmittel sondern muss gezielt eingesetzt werden, um einen echten Mehrwert zu erzielen. Dr. Timo Steffens vom CERT-Bund des BSI beleuchtet das dahinter liegende Geschäftsmodell und gibt Hinweise, wie Threat Intelligence sinnvoll zu verwenden ist.

Lesezeit: 15 Min.
In Pocket speichern
vorlesen Druckansicht
Threat-Intelligence: IT-Sicherheit zum Selbermachen?
Von
  • Dr. Timo Steffens
Inhaltsverzeichnis
Mehr Infos

Dr. Timo Steffens, BSI CERT-Bund

Dr. Timo Steffens hat Künstliche Intelligenz in Osnabrück studiert und zu Maschinellen Lernverfahren promoviert. Er ist stellvertretender Leiter des CERT-Bund des BSI und beschäftigt sich dort mit der Detektion und Abwehr von gezielten Spionage-Angriffen.

Bei Threat Intelligence (TI) handelt es sich im Kern um Informationen über Bedrohungen wie Schadprogramme oder Tätergruppen. Security-Firmen preisen ihre diesbezüglichen Produkte etwa auf Messen für IT-Sicherheit bereits routiniert und in den höchsten Tönen an. Und vor allem in größeren Unternehmen werden TI-Informationen auch bereits häufig eingesetzt. Während jedoch die Anbieter Threat-Intelligence-Produkte als geradezu unabdingbar ansehen, häufen sich bei den potentiellen Kunden die Fragen zu Qualität und Sinn dieser eingekauften Daten.

Dabei ist der Begriff Threat Intelligence zunächst so heterogen wie die Angebote. Es gibt Produkte auf operativer, taktischer und strategischer Ebene. Gemein ist ihnen allen, dass in der Regel keine Software, sondern Daten über Bedrohungen wie Schadprogramme oder Tätergruppen verkauft werden. Operativ sind dies typischerweise regelmäßig aktualisierte Feeds von Signaturen wie Adressen von Command-and-Control-Servern oder MD5-Summen von Schadprogrammen. Diese werden auch als Indicators of Compromise (IoCs) bezeichnet, da hiermit Kompromittierungen detektiert werden können. Taktisch sind es kurze textuelle Beschreibungen von Vorgehensweisen der Täter (sogenannte TTPs: Tactics, Tools and Procedures). Strategisch handelt es sich um Dossiers geopolitischer Natur, die erläutern, welche Tätergruppen in welchen Regionen oder Branchen aktiv sind.

Viele Threat-Intelligence-Indikatoren bestehen aus schlichten MD5-Hashes. Hier sind sie kombiniert mit den URLs, zu denen sich das Schadprogramm verbindet, um Befehle abzuholen oder weiteren Schadcode nachzuladen.

Kommerziell besonders erfolgreich ist dabei die operative Threat Intelligence. Die Idee klingt verlockend: Der Anbieter liefert hersteller- und produktunabhängige Signaturen, die der Kunde in seine bereits existierenden Sicherheitskomponenten einpflegen kann. Firewalls, SIEMs oder andere Produkte verwenden die Daten dann zusätzlich zu ihren eigenen Funktionen, um Sicherheitsvorfälle zu detektieren. Im Folgenden wird daher vor allem die operative Threat Intelligence betrachtet.

Für die Anbieter von Sicherheitsprodukten ist dies natürlich ein willkommenes Geschäftsmodell. Operative Daten fallen bei diesen Anbietern ohnehin an, etwa durch die Forschung der eigenen Analysten, durch die Erarbeitung von Signaturen für das Produkt-Portfolio und durch die Sensor-Rückmeldungen der Kundenbasis. In diesem Sinne ist operative Threat Intelligence eine elegante Zweitverwertung von ohnehin verfügbaren Daten.

Darüber hinaus erlaubt diese Idee den Anbietern, ihren Kundenstamm zu erweitern, ohne dass die Neukunden eine aufwändige System-Migration von einem Software-Produkt zu einem anderen durchführen müssen. Die Hemmschwelle für eine Beschaffung von Threat Intelligence ist also deutlich niedriger als beim Schwenken auf eine andere oder neue Sicherheitssoftware. Es gibt aber auch Stimmen, die den Anbietern vorwerfen, dass sie die mangelnde Detektionsfähigkeit ihrer Sicherheitsprodukte dadurch auszugleichen versuchen, dass sie den Kunden in Form von Threat Intelligence teure Zusatzleistungen verkaufen.

Was hinzu kommt: Für die Kunden ist es mit dem Einkauf der Daten nicht getan. Schlägt ein Viren-Wächter Alarm, leitet das Programm auch sofort Schutzmaßnahmen ein und blockiert etwa einen Zugriff auf die Trojaner-Datei, um eine Infektion zu vermeiden. Wenn eine eingekaufte TI-Signatur Alarm schlägt, übernimmt kein Sicherheitsprodukt die Gegenmaßnahmen. Vielmehr muss nun das eigene IT-Personal dem Ereignis selbst nachgehen, es bewerten und Maßnahmen initiieren. Häufig fehlt es dabei allerdings an Kontextinformationen. Beispielsweise ist es bei Alarmen wegen Zugriffen auf vermeintliche Command-and-Control-Server wichtig zu wissen, ob es sich um kompromittierte, legitime Webseiten oder um Server handelt, die die Täter selbst angemietet haben. In ersterem Fall besteht die Möglichkeit, dass es sich um einen Fehlalarm handelt, weil ein Nutzer den ungefährlichen, nicht-kompromittierten Teil der Webseite angesurft hat. Nur in letzterem Fall deutet jeder Zugriff auf den Server auf eine Infektion mit Schadcode hin.

Völlig entkräften lässt sich der Zweifel, dass manche Sicherheitsanbieter die branchenweiten, systematischen Detektionsschwächen der Sicherheitsprodukte versilbern, allerdings nicht. Dies gilt umso mehr, wenn man sieht, dass derzeit Threat Intelligence sogar für gängige Wald-und-Wiesen-Schadsoftware verkauft wird. Die Erwartung der Nutzer ist eigentlich, dass die Sicherheitsprodukte solche Bedrohungen selbst erkennen sollten. Stattdessen sehen sich Nutzer einer Flut von IoCs gegenüber, deren Relevanz für das eigene Netzwerk sie selten abschätzen können.

Die Ursprünge der Threat Intelligence liegen eben nicht in der Bekämpfung von großflächig auftretender Schadsoftware, sondern in der Reaktion auf gezielt ausgebrachte, spezialisierte Spionageprogramme. Gegen solche gezielten Angriffe schützen herkömmliche, kommerzielle Sicherheitslösungen kaum; die dabei genutzten Tools bleiben zumeist aus Mangel an Häufigkeit unter deren Radar. Deshalb tauschen sich Organisationen, die von gezielten Angriffen wie APT1, PawnStorm oder GothicPanda betroffen sind, schon lange untereinander aus – ganz ohne finanzielle Interessen.

Malware Information Sharing Platform, kurz MISP, ist ein Open-Source-Projekt zum Austausch von TI-Informationen, das vor allem bei CERTs weite Verbreitung hat.

Der Austausch an den Sicherheitsfirmen vorbei hat für die Beteiligten auch den Vorteil, dass die Signaturen nicht weltweit verteilt werden. Tätergruppen, die regelmäßig prüfen, ob ihre Schadprogramme von den gängigen Produkten erkannt werden, werden so in vermeintliche Sicherheit gewiegt. Die Teilnehmer der Austauschgruppen haben somit den Vorteil, geschützt zu sein, ohne dass die Täter dies in Erfahrung bringen können.

Trotz der aktuellen Etablierung der Threat Intelligence als kommerzielle Dienstleistung ist der nicht-kommerzielle Austausch zwischen Betroffenen weiterhin aktiv. Eine von mehreren Open-Source-Austauschplattformen, die dabei genutzt werden, ist MISP, die Malware Information Sharing Platform. In verschiedenen Austauschgruppen organisieren sich dabei Computer Emergency Response Teams (CERTs) und andere Sicherheitsteams, um gegenseitig von den Erfahrungen zu profitieren.

Auch Threat Intelligence deckt aber längst nicht alles ab. Gerade in seiner operativen Form ist es im Grunde auch nur eine weitere Methode der signaturbasierten Erkennung. Nur das, was die Dienstleister bereits gesehen haben, können sie als Signatur zur Verfügung stellen. Die Erkennungsleistung der IT-Sicherheitsindustrie in Summe steigt dadurch nicht. Es ist lediglich einfacher geworden, die Signaturen mehrerer Dienstleister zu verwenden. Dadurch bleibt das Ursprungsproblem bestehen: Viele gezielte Angriffe werden nicht erkannt. In vielen Unternehmen führt dies zunächst zu Verwunderung und dann zu Frustration über die teuer eingekauften Daten.

Eins ist klar: Besser als Signaturen aus Threat-Intelligence-Feeds wären generische Muster, die ein Angreifer zwangsläufig erzeugen muss, wenn er sich beispielsweise in einem internen Netzwerk ausbreitet. Solche Muster auswerten zu können, würde eine Harmonisierung der Infrastruktur erfordern. Gerade in großen Unternehmen sind Netzwerke und Administrationsprozesse allerdings sehr heterogen, weil Zweigstellen regional verteilt sind und gegebenenfalls sogar aus Zukäufen von Unternehmensteilen andere historische Entwicklungen vorliegen. Als Konsequenz bedeutet das, dass zum Beispiel in der Zentrale der Zugriff eines Administrators von einem unprivilegierten Arbeitsplatz-PC auf einen Server durch Gruppenrichtlinien unterbunden wird. In einer Zweigstelle oder in einem Tochter-Unternehmen kann dasselbe Verhalten aber der ganz normale Arbeits-Workflow des IT-Betriebs sein. Genauso gut kann ein solcher Zugriff aber ein Indikator für Lateral Movement (Seitwärtsbewegung beziehungsweise Ausbreiten im internen Netz) eines Täters im Unternehmensnetz sein.

Arbeitsabläufe und Infrastruktur zu vereinheitlichen ist meist teurer als Threat-Intelligence einzukaufen. Statt beispielsweise durch generische Muster Lateral-Movement innerhalb des eigenen Netzes zu erkennen, hoffen daher viele Nutzer, mittels Threat Intelligence Netzwerkverbindungen von Trojanern an den Außenschnittstellen zu identifizieren.

Viele APT-Gruppen spezialisieren sich auf bestimmte Bereiche. Die Zahl der Akteure ist allerdings schon ziemlich unübersichtlich geworden.

Operative Threat Intelligence hat seinen Nutzen dann, wenn sie gezielt eingesetzt wird, um erkannte Schwächen der eigenen Sicherheitsinfrastruktur abzumildern. Der ungezielte Einsatz dagegen kann dazu führen, dass das eigene Personal das übernehmen muss, was eigentlich die Sicherheitssoftware leisten sollte. Zudem sind viele bestehenden Sicherheitskomponenten nicht darauf ausgelegt, große Mengen von zugekauften Signaturen performant zu verarbeiten.

Ein Szenario für den gezielten Einsatz ist der Austausch zwischen Betroffenen von gezielten Angriffen. Auch wenn es mitunter Berichte über Tätergruppen gibt, die weltweit agieren und opportunistisch viele Branchen angreifen, sind viele Tätergruppen doch fokussierter und betreiben Kampagnen nur gegen ausgewählte Branchen. Dabei wird beobachtet, dass verschiedene Unternehmen aus derselben Branche mit denselben Angriffswerkzeugen attackiert werden.

Entdeckt ein Unternehmen einen solchen Angriff, kann es andere aus derselben Branche mit den relevanten Signaturen informieren. Durch gegenseitigen Austausch profitieren alle Beteiligten von der Erhöhung der Sicherheit. Wie bereits erläutert, ist hierbei essentiell, dass der Austausch zwischen betroffenen Organisationen stattfindet und nicht in großflächig ausgerollten Sicherheitskomponenten resultiert, da die Täter ihre Werkzeuge gegen diese kommerziellen Lösungen testen. Auch und gerade für kleine Unternehmen bedeutet dies auch, dass sie sich in punkto IT-Sicherheit mit anderen Unternehmen vernetzen sollten.

Kommerzielle Threat Intelligence sollte informiert eingekauft werden. Das heißt, ein Unternehmen sollte eine Vorstellung davon besitzen, wie exponiert es gegenüber gezielten Angriffen ist und welche Tätergruppen in der eigenen Branche oder Region aktiv sind. Neben den Veröffentlichungen der IT-Sicherheitsfirmen zu diesem Thema stellt das BSI im Rahmen der Allianz für Cyber-Sicherheit eine Meta-Auswertung zur Verfügung, die die bekannten aktiven Tätergruppen nach Branchen und Regionen auflistet. Threat-Intelligence-Anbieter sollten danach ausgewählt werden, ob sie über die für das Unternehmen als relevant eingestuften Tätergruppen Informationen besitzen.

Wichtig ist dabei auch zu prüfen, ob Signaturen mit den notwendigen Kontext-Informationen zur Verfügung gestellt werden. Beispielsweise sind IP-Adressen oder Domains nur dann sinnvoll verwendbar, wenn ersichtlich ist, ob es sich um einen Kontrollserver, um eine Watering-Hole-Seite oder eine Landing-Page für Exploit Kits handelt. Zudem sollte dokumentiert sein, welche URL-Muster für diese Adresse relevant sind und zu welcher Schadsoftware sie gehört. Eine Klassifikation der Signatur nach der Phase des Angriffs (auch Kill-Chain genannt) gibt Aufschluss darüber, ob es sich um die ersten Schritte für den Angriffsvektor handelt, oder bereits um nachgelagerte Aktionen wie Seitwärtsbewegung oder gar für die Daten-Exfiltration.

Viele Anbieter haben einen starken Fokus auf die ersten Schritte der Angriffe und bieten kaum Signaturen für die nachgelagerten Phasen an. Ein Aspekt bei der Auswahl des Anbieters kann daher auch sein, zu prüfen, ob er Teams besitzt, die Betroffene vor Ort bei der Analyse und Bereinigung von Netzwerk-Kompromittierungen unterstützen. Aus solchen Einsätzen können die Anbieter Informationen über die nachgelagerten Schritte eines Angriffs erlangen und in Signaturen umwandeln.

Ein weiterer Mehrwert von operativer Threat Intelligence ist auch auf taktischer Ebene gegeben. Ein systematischer Nachteil von Sicherheitskomponenten ist, dass sie typischerweise Sicherheitsereignisse kaum nach ihrer Relevanz oder nach den Hintergründen bewerten. Ein alter Conficker-Wurm auf einem USB-Stick wird genauso in die Quarantäne verschoben, wie eine gezielt eingeschleuste Spionagesoftware. Für IT-Sicherheitsteams wäre es aber wichtig, letzteres Ereignis besonders gemeldet zu bekommen, da davon auszugehen ist, dass es ein Täter bewusst auf das Unternehmen abgesehen hat und es gegebenenfalls mit anderen Methoden erneut versucht.

Threat Intelligence kann hier praktischen Mehrwert liefern, indem es Zusatzinformationen zu Sicherheitsereignissen liefert. Ein Zugriff auf eine Adresse, die als Kontrollserver einer bestimmten Tätergruppe bekannt ist, teilt dem Team mit, dass das Unternehmen im Fokus dieser Gruppe stehen könnte. Die Analysen können nun daraufhin geschärft werden, dass diejenigen Indikatoren, die mit dieser Gruppe im Zusammenhang stehen, mit höherer Priorität ausgewertet werden. Da aus Kostengründen in der IT-Sicherheit Aufwand und Kapazitäten stets begrenzt sind, kann solch eine Priorisierung dazu führen, dass Angriffe mit höherer Wahrscheinlichkeit erkannt werden. Auch auf strategischer Ebene sollte die Information, dass eine bestimmte Tätergruppe einen Fokus auf das Unternehmen oder die Branche hat, in die Risiko-Bewertung einfließen.

Dieses Vorgehen verdeutlicht, dass Attribution – die Zuordnung von Angriffen zu Tätergruppen – inzwischen auch für Unternehmen eine Rolle spielt. Waren Ermittlungen dieser Art in der Vergangenheit Regierungsbehörden vorbehalten, hat sich durch die Ausweitung der Cyber-Spionage auf Unternehmen die Situation geändert. Während in klassischen Spionagefällen Behörden die Täter-Ermittlungen übernahmen, bleibt bei IT-Vorfällen jedoch die Aufgabe übrig, die kompromittierten Systeme wieder zu bereinigen und gegen zukünftige Angriffe zu schützen. Dies übernehmen mittlerweile spezialisierte kommerzielle Dienstleister.

Beim Austausch von Indikatoren zwischen Organisationen muss klar sein, von wem die Daten stammen, wann sie verteilt wurden, und an wen sie weitergegeben werden dürfen.

Durch die Analyse solcher Vorfälle sammeln diese Dienstleister große Mengen an Daten und Erfahrungen, die zu Erkenntnissen über Tätergruppen verdichtet werden. Hinzu kommt, dass manche dieser Dienstleister mittlerweile sogar geopolitische Analysten einstellen, die untersuchen, welche Staaten an welchen Themen interessiert sind und in welchen Regionen Interessen verfolgen. Mittlerweile verweisen sogar staatliche Behörden auf Attributions-Veröffentlichungen unter anderem der amerikanischen Firmen Mandiant und CrowdStrike zu Gruppen wie "APT 28" oder "Fancy Bear".

Dies zeigt, dass staatliche Behörden kein Monopol mehr auf Attribution besitzen. Bei der Attribution kann man drei Arten unterscheiden, die sich auch in der Threat Intelligence wiederfinden. Operative Threat Intelligence basiert teilweise auf der Zusammenfassung von beobachteten Angriffen zu Clustern, die einer Tätergruppe entsprechen können. Auf der strategischen Ebene finden sich Aussagen dazu, welche Eigenschaften der Betroffenen in die Interessenlage bestimmter Staaten oder krimineller Organisationen passen, oder welche Merkmale der Schadsoftware auf bestimmte Regionen als Ursprung des Angriffs hindeuten könnten. Eine dritte Form der Attribution ist die Identifizierung einzelner Personen, die mit den Angriffen in Verbindung stehen.

Wie bereits erwähnt ist für IT-Sicherheitsteams die Attribution von Angriffen zu Tätergruppen hilfreich, um zu entscheiden, welche Signaturen und welche Schadprogramme priorisiert untersucht werden sollten. Die Attribution auf Staaten kann auf strategischer Ebene genutzt werden, um zu entscheiden, welche Unternehmensteile, welche Projekte und welche Auslandszweigstellen besonders geschützt werden sollten.

Der Markt für Threat-Intelligence wird in den nächsten Jahren vermutlich weiter wachsen. Daher ist es wichtig, dass Kunden sich genau überlegen, welche Art von Threat Intelligence sie benötigen. Wesentliche Fragen bei der Auswahl des Anbieters sind die folgenden:

  • Wie verteilen sich die Indikatoren auf herkömmliche Kriminalität vs. Spionage?
  • Verfügt der Anbieter über eigene, exklusive Quellen?
  • Werden die für die eigene Branche und Region relevanten Tätergruppen abgedeckt?
  • Wie nimmt der Anbieter die Zuordnung der Indikatoren zu Tätergruppen vor?
  • Ist die Anzahl der gelieferten Indikatoren und deren Datenformat kompatibel zu den eigenen Systemen?
  • Liefert der Anbieter zu den Indikatoren auch Kontextinformationen?
  • Decken die Indikatoren mehrere Angriffsphasen der sogenannten Killchain ab?
  • Gibt es einen definierten Prozess um die Indikatoren auf Fehlalarme zu prüfen?

Nach BSI-Einschätzung gibt es bisher kaum Anbieter, die all diese Fragen optimal erfüllen. Der Markt ist allerdings noch so im Fluss, dass potentielle Kunden durch solche Fragen die Produktentwicklung der Anbieter beeinflussen können. Es bleibt zu hoffen, dass sich Threat Intelligence in den nächsten Jahren weiter den Kunden-Bedürfnissen annähern wird.

(ju)