Eine Anleitung für die IT-Bedrohungsanalyse

Was ist Threat Intelligence (TI)?

Threat Intelligence (oder auch Cyber Threat Intelligence) sammelt Daten und Informationen über Bedrohungsakteure sowie ihre Techniken und Taktiken. Threat Intelligence (TI) erstellt Vorhersagen über die Bedrohungslage, hilft bei der Erkennung von Angriffen und liefert wertvolle Daten für Teams und Mitarbeiter, die innerhalb einer IT-Sicherheitsumgebung arbeiten.

Threat Intelligence zählt zu den komplexesten und zugleich wichtigsten Aufgaben der Informationssicherheit. Wie andere Bestandteile von IT-Sicherheitssystemen auch verwendet TI eigene Tools und Dienste. Der kompetente Einsatz dieser IT-Werkzeuge trägt dazu bei, einen effektiven Prozess zur Sammlung wichtiger Sicherheitsinformationen aufzubauen.

Schon der Begriff „Threat Intelligence“ weist direkt auf das Ziel dieses Bereichs der Informationssicherheit hin: Wissen über Bedrohungen sammeln und analysieren. Das SANS Institute liefert folgende Definition: „Cyber Threat Intelligence bezeichnet die Analyse gegnerischer Absichten, Möglichkeiten und Fähigkeiten, Schaden anzurichten.“

Threat Intelligence (TI) besteht aus der Kombination von zwei Aufgaben:

• Prozess der Beschaffung und Anhäufung von Wissen über Bedrohungen aus verschiedenen Quellen
• Plattformverfügbarkeit zur Aggregation, Analyse und Nutzung des gesammelten Wissens

In diesem Blogbeitrag gebe ich einen detaillierteren Überblick über Bedrohungsinformationen und wie sie sich für eine effektive Verteidigung gegen Angriffe nutzen lassen.

An wen richtet sich Threat Intelligence?

Threat-Intelligence-Funktionen entstanden bereits in Unternehmen, bevor Drittanbieter eigene TI-Plattformen entwickelten. Vor der Verfügbarkeit kommerzieller Plattformen sammelten Unternehmen entsprechende Informationen über bestehende Bedrohungen und überwachten den Datenverkehr. Tatsächlich sind diese Funktionen in praktisch jedem Unternehmen verfügbar, wenn der IT-Informationssicherheit die gebührende Aufmerksamkeit zukommt.

Threat Intelligence kann als Sammlung spezifischer Erkenntnisse und Fähigkeiten betrachtet werden. Dieses Wissen gibt den vom Unternehmen erreichten Reifegrad bei der Informationssicherheit wieder.

Lektüre und Analyse von Anbieter- und Brachen-Reports bildet die Grundlage für Threat Intelligence. Diese Informationen helfen Organisationen dabei, das notwendige Wissen aufzubauen, mit dem Aufbau der erforderlichen Prozesse zu beginnen und den Wert der gesammelten Informationen deutlich zu steigern. Das gesammelte Wissen fließt in die IT-Sicherheitsinfrastruktur ein und trägt zum Schutz vor Angriffen bei.

Im Zuge der Umsetzung von Threat Intelligence verfolgen Anbieter und Kunden unterschiedliche Ansätze. Die kommerziellen Anbieter entwickeln Lösungen als Teil ihrer eigenen IT-Sicherheitswerkzeuge. Sie wollen die besten Erkennungsmethoden und Bedrohungs-Feeds im Rahmen eines integrierten Produktes anbieten.

Das unterscheidet sich von der Sicht der Kunden, die Threat Intelligence in erster Linie auf der strategischen Ebene nutzen wollen. In erster Linie beschäftigen sie die folgenden Fragen: Vor welchen Bedrohungen schützt Threat Intelligence und welche Cyberrisiken werden abgedeckt? Zur Beantwortung dieser Fragen müssen Unternehmen einen höheren Reifegrad ihrer IT-Sicherheitsprozesse erreichen.

Verschiedene Threat-Intelligence-Ebenen: strategisch, operativ, taktisch

Cyber Threat Intelligence (CTI) besteht aus insgesamt drei Ebenen: strategisch, operativ und taktisch. Jede Ebene wendet sich an einen eigenen Personenkreis, der ganz bestimmte Tools benötigt und dadurch einen unterschiedlichen Einsatz des IT-Informationssystems erfordert.

• Strategisch: Sammlung und Verwendung von Informationen über aktuelle Angriffstrends, Risiken und Hackergruppen, die an Attacken auf vergleichbare Unternehmen oder Branchen beteiligt sind. Die gesammelten Informationen ermöglichen eine realistische Beurteilung, welche Entwicklungen aus Sicht der Informationssicherheit wichtig sind, welche Bedrohungen aktuell in bestimmten Regionen auftreten und welche Informationen bisher bekannt sind. Die strategische Ebene ermöglicht es, relevante Informationen kompetent im Unternehmen zu bewerten, Prioritäten zu setzen und weiterzuentwickeln.
• Operativ: Alles Wissenswerte über Taktiken und Techniken von Angreifern. Das MITRE ATT&CK Framework ist eine beliebte Wissensdatenbank für solche Informationen und liefert detaillierte Daten über Angriffstaktiken und -techniken. Auf der operativen Ebene helfen diese Informationen dabei, Finanzen und Personalressourcen beim Schutz eines Unternehmens richtig zuzuweisen. Die operative Ebene sorgt für das notwendige Verständnis, wie Sie sich vor externen Bedrohungen in einer bestimmten Region oder Branche schützen können.
• Taktisch: Technische Informationen über bestimmte Gruppen von Cyberkriminellen. Diese Informationen ermöglichen es Ihnen, Angriffsindikatoren zu identifizieren und Bedrohungen zu erkennen, denen das Unternehmen potenziell ausgesetzt sein könnte.

Der Grad der IT-Implementierung im Unternehmen hängt dabei stark vom Reifegrad der IT-Sicherheitsprozesse ab. Viele Unternehmen versuchen, mit abonnierten Feeds über Bedrohungsindikatoren einen Cyber-Intelligence-Schutz aufzubauen. Das ist eine rein technische Umsetzung von Threat Intelligence.

Es ist ein Missverständnis, dass der Einsatz unterschiedlicher Feeds alle Aufgaben von Threat Intelligence abdeckt. Werden Indikatoren ausgelöst, müssen Sie immer verstehen, was genau passiert ist. Sie müssen genau wissen, was eine erkannte Malware tatsächlich innerhalb der Infrastruktur eines Unternehmens ausrichtet. Und dafür sind zusätzliche Informationen und Analysen erforderlich, um dem IT-Sicherheitsteam die sinnvolle Planung der nächsten Schritte zu ermöglichen. Damit sind wir bereits auf der operativen Ebene.

Threat Hunting und Threat Intelligence

Threat Intelligence ist ein wesentlicher Faktor bei der proaktiven Suche nach IT-Bedrohungen, die als Threat Hunting bezeichnet wird. Ein Threat-Hunting-Team hat die Aufgabe, Hacking oder Malware-Spruren frühzeitig zu erkennen. Threat Intelligence liefert wertvolle Informationen für die Bedrohungssuche auf operativer Ebene.

Threat Hunting und Threat Intelligence stehen also in einem direkten Zusammenhang. Verfügt ein Unternehmen über Informationen im Zusammenhang mit einem Vorfall (oder liegen eben keine Informationen vor), dann erleichtert das die Suche nach den passenden Indikatoren und Angriffsspuren auf kompromittierten IT-Geräten. Threat Hunting hilft dabei, die Indikatoren und Angriffe korrekt einzuordnen und zu kontrollieren.

Threat-Intelligence-Berichte auf der strategischen Ebene

Viele Anbieter von Threat Intelligence veröffentlichen regelmäßige Bedrohungsberichte, in denen die jüngsten Angriffstrends über einen bestimmten Zeitraum quantifiziert und eine Prognose für das folgende Jahr gegeben wird. Diese Berichte haben für Unternehmen eine strategische Bedeutung, weil sie einen echten Mehrwert bieten. Kunden können sich darüber informieren, wie sie sich neu aufstellen, welche Aufgaben sie konzentriert angehen und welche Kompetenzen weiterentwickelt werden sollten, um zukünftigen Angriffsformen zu begegnen.

Verfügen Unternehmen über keine eigenen Threat-Intelligence-Erkenntnisse, sind sie auf diese Berichte und Informationsquellen angewiesen, um auf Trends in der Informationssicherheit vorbereitet zu sein. Diese Berichte enthalten indes auch Marketingmaterial. Hierbei ist wichtig, diese Komponenten zu trennen: Live-Bedrohungsstatistiken und -analysen vs. Marketing.

Threat Intelligence in der Praxis

Aktuell gibt es mehrere hundert kostenlose Threat-Intelligence-Quellen mit technischen Informationen. Analysen über das generelle Vorgehen von Hackergruppen — im Fachjargon als Tactics, Techniques und Procedures (TTP) bezeichnet — umfassen bis zu hundert zusätzliche Quellen, die abrufbar sind. Dutzende Anbieter stellen kostenlose Berichte mit Informationen über strategische Bedrohungen bereit. In den allermeisten Fällen können Unternehmen diese Flut an Informationen gar nicht effektiv verarbeiten.

Einer Umfrage des SANS Institute zufolge nutzten im Jahr 2021 mehr als 80 Prozent der Befragten mehrere Quellen mit Threat-Intelligence-Informationen. In der Praxis zeigt sich, dass viele Unternehmen bis zu acht Cyber-Threat-Intelligence-Quellen einsetzen.

Der Nutzwert von Open-Source-Daten über aktuelle IT-Bedrohungen besteht darin, dass sich Massenangriffe leichter abwehren lassen. Die Abwehr komplexer und gezielter Angriffe dagegen erfordert wirksame Maßnahmen auf der operativen Ebene. Solche Daten sind schwerer zu finden und sie müssen auch noch analysiert und miteinander verknüpft werden. Das geht nur mit sorgfältiger Analyse.

Für die Implementierung von Threat Intelligence empfiehlt sich das Hinzuziehen eines Incident-Response-Teams. Schließlich hängt der Erfolg maßgeblich davon ab, ob ein Unternehmen schnell nachvollziehen kann, welche Hacking-Gruppe aktiv ist, wie die Angreifer in der Vergangenheit vorgegangen sind und ob sie bereits tief in die Unternehmensnetze eingedrungen sind. Threat Intelligence liefert diese wichtigen Informationen.

Der effiziente Einsatz von Threat Intelligence

Die Wirksamkeit von Threat Intelligence lässt sich auf verschiedenen Ebenen bewerten. Beurteilen wir Threat Intelligence auf strategischer Ebene, können nur lange Beobachtungszeiten die Wirksamkeit beweisen. Erst mit der Zeit ist ein sachliches Urteil möglich, ob die getroffenen Entscheidungen, die Risikobewertung und der integrierte Schutz richtig waren.

Auf der strategischen Ebene kommt es nicht nur auf technische Details, sondern auch geopolitische Prozesse, wie Hacktivismus oder Kriege an. Schnell kann man das nächste Ziel sein, wenn diese Prozesse nicht berücksichtigt werden.

Auf operativer Ebene zeigt sich die Effektivität von Threat Intelligence in der Qualität der integrierten Schutzmaßnahmen. Auf den ersten Blick kann es den Anschein haben, dass die Bemühungen zur Implementierung von Threat Intelligence unnötig waren, aber das dürfte ein zu enger Blickwinkel sein. Häufig sieht das Threat-Intelligence-System einfach nicht, was im direkten Umfeld passiert, weil die Kontrollbereiche falsch gesteckt sind. Eine sinnvolle Bewertung der Wirksamkeit getroffener Maßnahmen kann immer nur individuell für ein bestimmtes Unternehmen erfolgen.

Cyber-Threat-Intelligence-Vorhersagen

Mit Blick auf die aktuellen Trends wird sich Cyber Threat Intelligence zur Verbesserung der strategischen und operativen Entscheidungsebenen im Unternehmen weiterentwickeln. Im Ergebnis ist mit einer engeren Integration von Kunden und Lösungsanbietern von Threat Intelligence zu rechnen. Auf Kundenseite werden die Daten stärker analysiert und aktive Fragen gestellt, was die Branche insgesamt voranbringt. Diese Interaktion erhöht den Reifegrad von Threat Intelligence bei Lösungsanbietern und Anwendern gleichermaßen.

Sie wollen mehr über die Bedrohungsanalyse privilegierter Aktivitäten erfahren? Dann informieren Sie sich über die BeyondTrust-Plattform, die APTs und andere Cyberattacken durch Analyse privilegierter Passwort-, Nutzer-, Sitzungs- und Kontenaktivitäten erkennt. Die Plattform bietet auch Just-in-Time-Zugriffskontrollen und kontextbasierte Zugangsverfahren zur Einhaltung von Zero-Trust-Vorgaben.