Der unaufhaltsame Aufstieg der Threat Intelligence (analytischen Gefahrenerkennung)
Anomalien beobachten reicht nicht mehr aus, wir müssen sie auch verstehen
TweetEs ist gerade die Hochzeit für Threat Intelligence (analytische Gefahrenerkennung), eine sich ständig weiterentwickelnde Innovation, die die Netzwerksicherheit auf den Kopf stellt. Bisher waren die Verteidigungsmaßnahmen eher statischer Natur: Sie waren als generalisierte Abwehrmauern konzipiert gegen Angriffe, deren Umfang und Form - wie man dachte - sich mit gewisser Sicherheit voraussagen lassen. Analytische Gefahrenerkennung dagegen orientiert sich an der Erkenntnis, dass Angriffe mehrdimensional sind, sich schnell weiterentwickeln und auch einmalig sein können. Dieser Ansatz erfordert eine konstante Versorgung mit neuen Datenpunkten, damit die Verteidigungsmaßnahmen kontinuierlich angepasst werden können.
Trotz seines Erfolgs wird der Begriff Threat Intelligence mit unterschiedlichsten Bedeutungen verwendet, was zu Verwirrung führen kann. Manche Anbieter verstehen unter Threat Intelligence primär die Alarmierungsebene, über die die Verteidiger vor einer Anomalie im Sicherheitssystem gewarnt werden, also beispielsweise eine Inline-Firewall, ein Angriffserkennungssystem (IDS) oder ein System zur Out-of-Band-Authentisierung oder zum Rechtemanagement.
Andere verstehen unter Threat Intelligence einen extern oder per Crowdsourcing erzielten Blick auf entdeckte Internetbedrohungen, der von verschiedenen Anbietern gemeinsam gepflegt wird. Oft wird dazu ein gemeinsames Protokoll genutzt. Ein solches System könnte zum Beispiel Meldungen über einen Exploit umfassen, der eine neu entdeckte Softwareschwachstelle ausnutzt. In letzter Zeit versteht man darunter auch Recherchen, bei denen ein Unternehmen dafür bezahlt wird, bekannte Cyberkriminellen-Gruppen auszuspionieren, um so Malware-Kampagnen aufzuspüren.
Für eine wachsende Zahl von Organisationen umfasst Threat Intelligence alle angesprochenen Punkte. Wichtig ist dabei, dass jeder der Ansätze bestimmte Vorteile hat ebenso wie Kosten. Wie weit ein Unternehmen Threat Intelligence nutzt, ist eine geschäftliche Entscheidung.
Anomalieerkennung
Im Zentrum eines herkömmlichen Threat-Intelligence-Systems steht der Gedanke, dass es in Netzwerken eine Basislinie gibt, die den Normalbetrieb darstellt, und dass sich Anomalien davon abheben. Der simpelste Ansatz bei der Netzwerksicherheit ist ein Netz aus Regelungen, die definieren, was erlaubt ist und was nicht - so lassen sich zum Beispiel verbotene IP-Quellen, Anwendungen oder Port-Verbindungen ausschließen. Viele andere problematische Ereignisse dagegen können bei diesem Ansatz fälschlicherweise als ganz normal „durchgehen“, etwa ein gültiger Zugriff auf einen Server, der jedoch von einem gehackten Nutzerkonto gestartet wurde.
Threat Intelligence ist die Ebene, die auch solche „erlaubten“ Ereignisse überprüft, um eine Entscheidung dazu treffen zu können. Das ist ein weiterer Ansatz, den Begriff Threat Intelligence zu definieren: Es ist ein System, das Techniker oder automatisierte Systeme bei Entscheidungen unterstützt. Die Frage ist, was als Nächstes geschieht: Ist das ein positives oder ein negatives Ereignis, oder ist eine weitere Untersuchung sinnvoll? Typischerweise erfolgt dann eine manuelle Intervention, bei der ein menschlicher Operator genauer hinschaut und das Ereignis anhand von Parametern untersucht, die auf einem Risikobewertungssystem basieren.
Alle wichtigen Sicherheitsplattformen setzen auf dieses Prinzip, es hat allerdings auch Nachteile (wie die Anbieter auch zugeben). Auch wenn ein Warnsystem statischen Regelungen überlegen ist, gibt es Ereignisse, die in eine Grauzone fallen; außerdem basiert das System auf der Vorstellung einer Normalität, die ein cleverer Angreifer zu leicht umgehen kann.
Das beste Beispiel dafür ist die Art und Weise, wie Cyberkriminelle in dokumentierten gezielten Angriffen gestohlene Anmeldedaten eingesetzt haben. Ein Anomalie-Erkennungssystem kann gestohlene Anmeldedaten oft nicht als Anomalie identifizieren, da - aus Sicht der Policy-Engine - die Anmeldedaten für die Ressourcen, auf die zugegriffen wurde, ja zugelassen sind.
Und selbst das am besten gepflegte Anomalie-Erkennungssystem wird nicht immer richtig liegen können - und gelegentlich falsche Positive melden und so die Produktivität schmälern. Die Gefahr dabei ist, dass die Verantwortlichen das Erkennungssystem dann so einstellen, dass es weniger streng kontrolliert.
Ein weiteres Problem: Es kommen oft Warnungen aus mehreren Systemen gleichzeitig. Wenn die IT-Mitarbeiter mehr Datenquellen haben, wird es schwieriger zu entscheiden, welche davon die wichtigeren sind oder um welche Meldungen sie sich zuerst kümmern sollten. Außerdem wird dann nicht zwischen verschiedenen Bedrohungsarten unterschieden, beispielsweise taktischen Bedrohungen, wie sie täglich auftreten, versus strategischen Bedrohungen, die auf lange Sicht gefährlich sind. Und nicht zuletzt liefert die Threat Intelligence als rein technisches System den Verteidigern keine Vorstellung davon, wer sie angreift, welche Schwachstellen sondiert werden und ob der Angriff erfolgreich sein wird.
Externe Daten
Heute werden interne Live-Bedrohungsdaten durch externe Datenströme ergänzt, die von den Anbietern, aber auch von Industrieverbänden und sogar von Regierungs-CERTs stammen. Früher sah man das als optional an, in der letzten Zeit sind diese Datenquellen zu einem wichtigen Bestandteil bei der analytischen Gefahrenerkennung geworden.
Eine Quelle, die jedes Netzwerk nutzt, sind Schwachstellendaten, die mit Meldungen zu stattgefundenen Exploits kombiniert werden. Systeme wie CVE (Common Vulnerabilities and Exposures) und CVSS (Common Vulnerability Scoring System) sind vordergründig Möglichkeiten, Softwarefehler herstellerübergreifend zu referenzieren und zu ermitteln, welche die gravierendsten sind. Jeder Verteidiger weiß aber, dass solche Schwachstellendaten ein Frühwarnsystem für wahrscheinliche Einbrüche sind. Wenn ein nicht gepatchter oder ein Zero-Day-Fehler eine CVE-Einstufung bzw. bei CVSS die Einstufung „high-severity“ (hoher Schweregrad) erhält, ist das ein Fehler, den Angreifer attackieren werden.
Crowdsourcing
Ein zweiter Trend bei der Threat Intelligence ist, dass man Bedrohungsdaten teilt, statt sie für sich zu behalten. Als man anfing, externe Datenquellen bereitzustellen, handelte es sich um Datenströme aus jeweils einer Quelle, die auf bestimmtes Equipment beschränkt waren. Jeder Anbieter pflegte seine eigenen Datenströme, manchmal wurden sie ergänzt um anonymisierte Daten von den Kunden des Anbieters.
Mit zunehmender Komplexität, Masse und Präzision der Cyberangriffe erwies sich diese Zersplitterung als problematisch. Es gab einfach zu viele Angriffe, viele davon waren auch speziell auf ausgewählte Ziele abgestimmt. So wurde bald deutlich, dass es eine bessere Lösung darstellte, wenn man die Angriffs- und Bedrohungsdaten über mehrere Quellen hinweg kombinierte, idealerweise über eine API. Aus diesem Grund schlossen sich Firmen und Verbände zu Allianzen zusammen.
Ist Threat Intelligence einfach nur ein besseres Monitoring?
Der Nutzen von besseren Daten ist, dass die Unternehmen damit nicht nur eine höhere Chance haben, Angriffe abzuwenden, sondern auch, die Attacken zu entdecken, die ihre Verteidigungsmaßnahmen umgangen haben. Es geht also nicht nur darum, Angriffe vorherzusehen, sondern auch um die Reaktion darauf. Die Geschwindigkeit, mit der Unternehmen reagieren, ist heute so wichtig geworden, dass sie gleichsam das Maß wurde, das zwischen Erfolg und Misserfolg unterscheidet. Die Herausforderung besteht in der Integration und Assimilation; mehr Datenquellen zu beziehen bedeutet nicht automatisch, dass sie auch effizient genutzt werden.
Die Zukunft der Threat Intelligence sieht so aus, dass diese Kernprozesse automatisiert werden. In der absehbaren Zukunft werden weiterhin Menschen die Policies entwickeln, aber es werden zunehmend Maschinen sein, die die Datenpunkte verarbeiten und Entscheidungen treffen.
