Angriffe erkennen, bevor sie passiert sind. Oder wenigstens, bevor sie ernsthaften Schaden anrichten. Das ist eins der zentralen Ziele der Cyberdefence. Mittel der Wahl, um die Bedrohungslage einzuschätzen, ist Threat Intelligence – eine anspruchsvolle Aufgabe.
Text: Andreas Heer, Bilder: Swisscom
12. Oktober 2023
Über 200 Tage dauert es im Durchschnitt, bis ein erfolgreicher Cyberangriff erkannt wird. Und diese Mean Time to Identify (MTTI) hat einen Einfluss auf die Kosten, so der IBM Cost of a Data Breach Report 2023(öffnet ein neues Fenster) weiter. Je schneller ein Einbruch entdeckt wird, desto geringer fallen der Schaden und die Kosten aus.
Wenn es so lange dauert, bis ein Angriff erkannt wird, stellt sich zwangsläufig die Frage: Müssen Unternehmen nicht sowieso damit rechnen, dass Cyberkriminelle bereits Zugriff auf ihre Infrastruktur haben? Genau davon geht der «Assume Breach»-Gedanke in der Cyberdefence aus. Dieses Konzept verfolgt einen ganzheitlichen Ansatz: Es reicht nicht, sich auf präventive Massnahmen zu verlassen. Folglich müssen Detection und Response verstärkt werden, um Angriffe möglichst früh zu erkennen und den Schaden zu minimieren.
Doch wie finden Unternehmen überhaupt heraus, ob sie bereits erfolgreich angegriffen worden sind oder ob nächstens ein Angriff bevorsteht? Antworten auf diese Fragen liefern die Informationen und Nachforschungen von Threat Intelligence (TI), allenfalls unterstützt durch aktives Suchen nach Einbruchsspuren mit Threat Hunting.
Threat Intelligence forscht auf drei Ebenen. In einer strategischen Sicht stehen die Trends in der Cyberkriminalität im Zentrum, aber auch die gesellschaftliche und politische Grosswetterlage. Diese hat einen Einfluss auf die Aktivitäten verschiedener Akteure. Aus taktischer Sicht geht es darum, die Angriffsmuster zu verstehen, um sie dann auf der operativen Ebene in die Verbesserung der Cyberdefence einfliessen zu lassen.
Wie sich die Bedrohungslage präsentiert, ist nicht unbedingt offensichtlich. So sind beispielsweise finanziell motivierte Ransomware-Attacken oftmals nicht zielgerichtet, sondern schnappen sich diejenigen Opfer, welche eine bekannte Sicherheitslücke nicht schnell genug abgedichtet haben. «Die Threat-Akteure, die Schlagzeilen machen, sind nicht immer die grösste Bedrohung», sagt denn auch Cybersecurity-Spezialist Jakub Rutynowski, bei Swisscom für Threat Intelligence zuständig. «Wir müssen versuchen, die Akteure und ihre Motivation zu verstehen, um zu erkennen, ob wir ein mögliches Ziel sind.» Dazu gehört auch, herauszufinden, ob über diese Schlagzeilen hinaus andere Gruppierungen im Hintergrund ihre Aktivitäten intensivieren. Dieses Vorhaben ist anspruchsvoll, und oftmals wird der Kontext erst im Rückblick sichtbar: Ging es «nur» um eine finanziell motivierte Ransomware-Attacke oder handelte es sich vielleicht doch um staatlich unterstützte Akteure, die Kryptowährungen erpressen oder die exfiltrierten Daten für Spionage nutzen wollten? Nicht immer sind die eigentlichen Ziele offensichtlich.
«In jedem Fall ist es wichtig, Informationen über laufende Angriffe in den Kontext des eigenen Unternehmens zu stellen», sagt dazu Jakub Rutynowski. «Sind wir von der Organisation oder der Infrastruktur her in einer ähnlichen Situation und könnten deshalb zum Ziel werden? Und – sind wir vorbereitet?»
Gemäss dem eingangs erwähnten IBM-Report sind Phishing-Mails (16 Prozent) und gestohlene Zugangsdaten (15 Prozent) die häufigsten Angriffsvektoren. Das Darknet dient dabei häufig als Umschlagsplatz für gestohlene Informationen. Zugangsdaten werden von sogenannten Initial Access Brokern in Foren und Marktplätzen zum Verkauf angeboten. Und bei einem Einbruch erbeutete Geschäftsunterlagen werden oftmals auf den Leak Sites der Ransomware-Betreiber publiziert und verkauft.
Für Unternehmen sind solche Informationen relevant, um die Bedrohungslage besser einschätzen zu können. Doch manuell lässt sich eine solche Recherche kaum durchführen. «Bei vielen Marktplätzen muss man sich den Zugang zuerst ‹verdienen›», sagt Jakub Rutynowski. «Und wo und wann eine Infektion oder der Einbruch stattgefunden hat, lässt sich oft erst aus der Kombination von Informationen aus mehreren Quellen nachvollziehen.»
Helfen können bei dieser Arbeit Lösungen zur Digital Risk Protection, die Unternehmen die aufwändige manuelle Arbeit abnehmen oder zumindest erleichtern. Das hilft, um Datenlecks im Darknet aufzuspüren. Doch Jakub Rutynowski schränkt ein: «Die grosse und wechselnde Zahl von Marktplätzen und Kanälen auf Messengern wie Telegram erschwert es, die gesuchten Informationen zu finden.»
Will ein Unternehmen sich proaktiv vor Cyberangriffen schützen oder diese zumindest frühzeitig erkennen, benötigt es also ein Bündel an Massnahmen bei der Detection und Incident Response. Das Zusammenspiel von Threat Intelligence und Threat Hunting hilft, mögliche Eindringlinge und Schwachstellen in der eigenen Cyberdefence zu erkennen. Denn Threat Intelligence liefert die Hinweise, nach denen die Threat Hunter anschliessend suchen.
In diesem Teamplay sind deshalb die Threat Hunter oft die Auftraggeber der Threat Intelligence, sagt Jakub Rutynowski: «Bei der sogenannten Requirements-driven Threat Intelligence werden wir beispielsweise beauftragt, nach einer konkreten Bedrohungslage zu forschen.» Die Ergebnisse können wiederum in die Incident Response und deren Prozesse einfliessen. Das verbessert nicht nur den Gesamtschutz des Unternehmens, die Security Posture. Solche proaktiven Massnahmen können gemäss dem IBM-Report auch die Zeit bis zur Erkennung eines Vorfalls verkürzen und damit die Kosten eines Data Breaches senken.