c't 2/2017
S. 168
Hintergrund
Threat Intelligence
Aufmacherbild
Bild: Rudolf A. Blaha

IT-Sicherheit zum Selbermachen?

So hilft „Threat Intelligence“ gegen gezielte Angriffe

Viele IT-Sicherheitsfirmen erweitern ihr Portfolio derzeit um sogenannte Threat Intelligence. Damit wollen sie selbst gegen gezielte Angriffe hochmotivierter Hacker schützen, gegen die herkömmliche Antviren-Software keine Chance hat.

Bei Threat Intelligence (TI) handelt es sich im Kern um Informationen über Bedrohungen wie Schadprogramme oder Tätergruppen. Security-Firmen preisen ihre diesbezüglichen Produkte etwa auf Messen für IT-Sicherheit bereits routiniert und in den höchsten Tönen an. Vor allem in größeren Unternehmen werden TI-Informationen bereits häufig eingesetzt. Während jedoch die Anbieter Threat-Intelligence-Produkte als geradezu unabdingbar ansehen, häufen sich bei den potenziellen Kunden die Fragen zu Qualität und Sinn dieser eingekauften Daten.

Dabei ist der Begriff Threat Intelligence zunächst so heterogen wie sich die Angebote präsentieren. Es gibt Produkte auf operativer, taktischer und strategischer Ebene. Gemein ist allen, dass in der Regel keine Software, sondern Daten über Bedrohungen wie Schadprogramme oder Tätergruppen verkauft werden.

Operativ sind dies typischerweise regelmäßig aktualisierte Feeds von Signaturen wie Adressen von Command-and-Control-Servern oder MD5-Summen von Schadprogrammen. Diese werden auch als Indicators of Compromise (IoCs) bezeichnet, da hiermit eine Firma feststellen kann, dass sie von einem Angriff bereits akut betroffen und unter Umständern sogar schon kompromittiert ist.

Video: Nachgehakt

Taktisch sind es kurze textuelle Beschreibungen von Vorgehensweisen der Täter (sogenannte TTPs: Tactics, Tools and Procedures). Strategisch handelt es sich um Dossiers geopolitischer Natur, die erläutern, welche Tätergruppen in welchen Regionen oder Branchen aktiv sind.

Kommerziell besonders erfolgreich ist dabei die operative Threat Intelligence. Die Idee klingt verlockend: Der Anbieter liefert hersteller- und produktunabhängige Signaturen, die der Kunde in seine bereits existierenden Sicherheitskomponenten einpflegen kann. Firewalls, das Security Information and Event Management (SIEM) oder andere Produkte verwenden die Daten dann zusätzlich zu ihren eigenen Funktionen, um Sicherheitsvorfälle zu detektieren. So können sie auch so genannte Advanced Persistence Threats (APTs) erkennen, die sich dadurch auszeichnen, dass ein hochmotivierter Angreifer mit sehr viel Ressourcen und Zeit versucht, die Kronjuwelen einer Firma zu stehlen.

Kommentieren

Videos